Rapport 2024 de l’EDPB : les 10 points clés et priorités

1. Stratégie 2024-2027 : les grandes orientations de l’EDPB

L’EDPB a adopté sa stratégie pour la période 2024-2027¹ définissant ses priorités autour de quatre piliers. 

• Renforcer l’harmonisation des pratiques et promouvoir la conformité avec les règles de protection des données ;
• Se concentrer sur l’amélioration de la culture de l’application du RGPD et sur la coopération entre les autorités de protection des données ;
• Nécessité de protéger les données personnelles dans un environnement numérique en constante évolution et inter réglementaire ;
• Importance de contribuer au dialogue international pour promouvoir des normes élevées de protection des données.

2. Modèles « Consentir ou payer » (p19-20) : l’EDPB dénonce un consentement déséquilibré

En avril 2024, l’EDPB a émis un avis 08/2024² portant sur la validité des modèles « Consentir ou payer » (Consent or Pay) utilisés par de grandes plateformes en ligne. L’EDPB estime que ces modèles ne permettent souvent pas de recueillir un consentement librement donné, car les utilisateurs sont contraints de choisir entre consentir à la collecte de leurs données ou payer. Il souligne les risques d’un déséquilibre de pouvoir entre les plateformes et les utilisateurs et de préjudice pour ces derniers. Il recommande que les plateformes offrent des alternatives sans publicité comportementale et que les frais d’abonnement soient proportionnés.

3. Reconnaissance faciale dans les aéroports (p20-21): 

En mai 2024, l’EDPB a publié un avis 11/2024³ concernant l’utilisation de la reconnaissance faciale pour faciliter le flux des passagers dans les aéroports. Il précise que cette technologie doit être utilisée uniquement avec le consentement des passagers et lorsque cela est légalement nécessaire. L’EDPB recommande que les données biométriques (sensibles) soient stockées de manière sécurisée, de préférence directement dans les mains des passagers ou dans des bases de données chiffrées. 

4. Intelligence artificielle et RGPD (p22-23): 

L’EDPB a établi un avis 28/2024⁴ adoptée en décembre 2024, qui traite de la protection des données personnelles dans le développement des modèles d’IA. Il clarifie que les modèles d’IA formés sur des données personnelles ne peuvent pas toujours être considérés comme anonymes, nécessitant une évaluation au cas par cas. L’EDPB souligne que l’intérêt légitime peut être une base légale pour le traitement des données, mais doit respecter un test de nécessité et de proportionnalité. L’avis aborde également les conséquences d’un traitement illégal des données dans la phase de développement des IA dans le cadre du RGPD et son impact sur leur déploiement. 

5. Enquête sur le droit d’accès au sens du RGPD (p30-31) : vers une harmonisation en Europe?

L’EDPB a lancé en 2024 une action coordonnée sur le droit d’accès prévu à l’article 15 du RGPD, impliquant 30 autorités nationales de protection des données. Cette initiative visait à évaluer la conformité des responsables de traitement, en vérifiant le respect des lignes directrices 01/2022⁵ sur le droit d’accès. La première phase a impliqué l’évaluation de 1 185 responsables de traitements, avec des résultats variés, certaines grandes entreprises étant plus conformes que les PME, eu égard, à leurs moyens. Les principaux défis identifiés portent sur des interprétations incohérentes du droit d’accès et des obstacles rencontrés par les personnes concernées pour exercer leur droit.

6. Événements pour les parties prenantes (p27): 

Sur un volet plus centré sensibilisation/consultation, l’EDPB a organisé des événements avec des parties prenantes sur des sujets d’actualité, tels que les modèles « Consentir ou payer » et l’application du RGPD aux modèles d’IA. L’un des sujets explorait principalement la question de la conformité de ces modèles au RGPD, en particulier de savoir si le consentement est réellement libre et si les alternatives à celui-ci sont équitables. Le second événement traitait davantage des défis liés à la transposition des principes du RGPD aux modèles d’IA, y compris en matière de transparence et de responsabilité des acteurs.

7. Coopération européenne dans le cadre du RGPD (p32-33): 

En 2024, les initiatives coopératives de l’EDPB ont permis de traiter 350 cas transfrontaliers et de lancer 982 procédures par l’intermédiaire du mécanisme de guichet unique, avec 485 décisions finales prises. Ces chiffres démontrent l’effectivité du RGPD et l’importance d’une collaboration étroite entre autorités nationales et l’EDPB, afin de garantir la conformité des organisations peu importe leur localisation. Notre cabinet d’avocats  accompagne ses clients pour assurer leur conformité RGPD

8. Mémorandum de coopération avec PEReN (p31) : quelle coopération autour de l’IA ?

En avril 2024, l’EDPB a signé un mémorandum de coopération avec le PEReN⁶, pôle d’expertise de la régulation numérique et structure intergouvernementale sous l’autorité conjointe des ministères français de l’économie, de la culture et du numérique. L’accord vise à renforcer la collaboration technique pour répondre aux défis émergents de la protection des données. PEReN est notamment reconnu pour son expertise en science des données et transparence algorithmique. Il fournira un soutien technique aux autorités et administrations. L’accord PEReN-EDPB se concentrera, entre autres, sur l’audit des applications mobiles, la transparence des systèmes algorithmiques, avec un accent mis sur la conformité des systèmes d’IA (SIA) avec le RGPD.

9. Rapport sur l’application du RGPD (p26): 

Une déclaration 6/2024 de l’EDPB a été publiée en décembre 2024 sur l’application du RGPD. Cette déclaration souligne l’importance de garantir une cohérence entre le RGPD et les nouvelles réglementations numériques, comme l’AI Act/RIA. L’EDPB met l’accent sur la nécessité d’améliorer la compréhension des principes de protection des données, en particulier pour les PME et les non-experts. Il appelle également à davantage de ressources pour faire face aux défis croissants de la protection des données et assurer une bonne application du RGPD dans l’ensemble de l’UE.

10. Sanctions RGPD : bilan 2024 des mesures correctrices à l’échelle de l’UE (p37-39): 

Dans un contexte plus répressif, en 2024, les autorités de protection des données ont pris des mesures correctrices pour assurer la conformité au RGPD. Le bilan de ces mesures correctrices est détaillé dans le tableau ci-dessous, illustrant l’intensité et l’impact des actions menées :

Le rapport souligne que les actions et sanctions des autorités révèlent des manquements et des défis récurrents, souvent élémentaires, tels que :

• Des mesures techniques et organisationnelles insuffisantes pour sécuriser les données personnelles;
• Des traitements réalisés sans base légale appropriée, notamment l’absence de consentement;
• Des traitements illicites de données sensibles, telles que les données relatives à la santé;
• L’absence d’information claire sur les activités de traitement et le non-respect des droits individuels, comme le droit à l’effacement et le droit d’accès;
• Le défaut de notification des violations de données ou une évaluation insuffisante des risques associés.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources:

1. https://www.edpb.europa.eu/news/news/2024/edpb-sets-out-priorities-2024-2027-and-clarifies-implementation-dpf-redress_fr – EDPB, stratégie et priorités de 2024-2027 ↩︎
2. https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_fr – EDPB, Avis 08/2024 sur la validité du consentement dans le cadre des modèles « consentir ou payer » mis en place par les grandes plateformes en ligne ↩︎
3. https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-112024-use-facial-recognition-streamline_fr – EDPB, Avis 11/2024 sur l’utilisation des technologies de reconnaissance faciale pour rationaliser le flux de passagers dans les aéroports ↩︎
4. https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en – EDPB, Avis 28/2024 sur certains aspects de la protection des données liées au traitement des données personnelles dans le contexte des modèles d’IA ↩︎
5. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr – EDPB, Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès ↩︎
6. https://www.peren.gouv.fr/ – PEReN – Pôle d’Expertise de la Régulation Numérique ↩︎