Designs trompeurs, certification et transferts : les trois lignes directrices adoptées par le CEPD en février

22 mars 2023

Le 14 février 2023, le CEPD a adopté trois lignes directrices portant respectivement sur la certification comme outil de transfert, sur l’articulation entre le champ d’application du RGPD et les règles en matière de transfert ainsi que sur les moyens d’identifier et d’éviter l’utilisation de designs trompeurs sur les réseaux sociaux.

À l’issue d’une consultation publique, le Comité européen de la protection des données a adopté dans leur version définitive trois lignes directrices :

les lignes directrices sur la certification comme outil de transfert ;
les lignes directrices sur l’articulation entre l’article 3 (champ d’application) et le Chapitre V (transfert de données) du RGPD ;
les lignes directrices sur les « deceptive design patterns » dans les interfaces de réseaux sociaux.

Des lignes directrices sur la certification comme outil de transfert de données

Ces lignes directrices, pour lesquelles la CNIL était co-rapporteur, clarifient l’utilisation du mécanisme de certification comme outil d’encadrement des transferts internationaux de données. Elles avaient été soumises à une consultation publique jusqu’au 30 septembre 2022.

Elles complètent celles sur la définition des critères de certification et celles relatives à l’agrément des organismes de certification.

Elles comportent quatre parties, chacune se concentrant sur des aspects spécifiques concernant la certification en tant qu'outil pour les transferts, tels que :

l'objectif, le champ d'application et les différents acteurs impliqués ;
des conseils de mise en œuvre concernant les exigences d'accréditation pour les organismes de certification ;
des critères de certification spécifiques dans le but de démontrer l'existence de garanties appropriées pour les transferts ;
et les engagements contraignants et exécutoires à appliquer.

Les modifications apportées à la version initiale de ces textes visent notamment à clarifier certains points s'agissant des relations et responsabilités respectives des différentes parties (exportateur, importateur et organisme de certification).

Guidelines 07/2022 on certification as a tool for transfers [en anglais]

Des lignes directrices sur l’articulation entre le champ d’application du RGPD et les transferts de données

Le RGPD ne définit pas la notion de transfert de données vers un pays tiers ou une organisation internationale. Ces nouvelles lignes directrices du CEPD clarifient les situations dans lesquelles il est considéré qu’il y a un transfert au sens du RGPD.

Trois critères cumulatifs doivent être remplis :

un responsable de traitement ou sous-traitant « exportateur de données » est soumis au RGPD ;
l’exportateur transmet ou rend disponible ces données à un autre responsable de traitement, co-responsable de traitement ou sous-traitant « importateur » ;
soit cet importateur est dans un pays tiers, même s’il n’est pas soumis lui-même au RGPD, soit il s’agit d’une organisation internationale.

Si ces trois critères sont remplis, il s’agit d’un transfert de données au sens du RGPD, ce qui s’accompagne de certaines obligations.

Ces lignes directrices sur l'articulation entre le champ d'application du RGPD (article 3) et les dispositions relatives aux transferts de données personnelles (Chapitre V) ont été soumises à une consultation publique jusqu’au 31 janvier 2022.

Afin de répondre à des interrogations soulevées lors de la consultation publique, diverses modifications ont été apportées à la version soumise à consultation.

Certaines notions, et notamment le critère 2 (« rendre des données accessibles ») et le critère 3 (« l’importateur est dans un pays tiers »), ont été clarifiées.
De nouveaux exemples, ainsi qu’une annexe illustrant ces différents exemples ont été intégrés.
Les obligations et garanties à mettre en œuvre dans certains cas de figure ont été détaillées.

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR [en anglais]

Des lignes directrices sur les designs trompeurs (deceptive design) dans les réseaux sociaux

Le RGPD pose le principe de loyauté : les données personnelles ne peuvent être collectées ou utilisées de manière inattendue ou trompeuse pour les personnes concernées. Ces lignes directrices du CEPD sur les designs trompeurs ont ainsi pour objectif d’accompagner le développement d’interfaces utilisateur claires et respectueuses des droits des personnes.

Une version de ces lignes directrices du CEPD sur les designs trompeurs, pour lesquelles la CNIL était rapporteur, a été soumise à consultation publique jusqu'en mai 2022.

A l’issue de la consultation publique plusieurs changements ont été apportés :

La classification des cas de « deceptive design patterns » a été alignée, dans certains cas, avec des publications récentes d'acteurs sur les designs trompeurs, et ce notamment concernant leurs définitions.
Des cas d'usage ont été modifiés afin de clarifier certaines recommandations et d'ajouter des renvois vers d'autres ressources.
La liste de bonnes pratiques a été étoffée avec de nouveaux éléments tels que les tables de bord "vie privée", les URL auto-explicatives pour le paramétrage de la protection des données, des formulaires pour l'exercice des droits des personnes concernées. L'annexe II a été également ajoutée afin de donner un rapide panorama de ces bonnes pratiques.

Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them [en anglais]