Groupe 29
Guidelines on Personal data breach notification under Regulation 2016/679 (6 february 2018)
(Endorsed by the EDPB)
The General Data Protection Regulation (the GDPR) introduces the requirement for a personal data breach (henceforth “breach”) to be notified to the competent national supervisory authority (or in the case of a cross-border breach, to the lead authority) and, in certain cases, to communicate the breach to the individuals whose personal data have been affected by the breach.
Obligations to notify in cases of breaches presently exist for certain organisations, such as providers of publicly-available electronic communications services (as specified in Directive 2009/136/EC and Regulation (EU) No 611/2013). There are also some EU Member States that already have their own national breach notification obligation. This may include the obligation to notify breaches involving categories of controllers in addition to providers of publicly available electronic communication services (for example in Germany and Italy), or an obligation to report all breaches involving personal data (such as in the Netherlands). Other Member States may have relevant Codes of Practice (for example, in Ireland). Whilst a number of EU data protection authorities currently encourage controllers to report breaches, the Data Protection Directive 95/46/EC, which the GDPR replaces, does not contain a specific breach notification obligation and therefore such a requirement will be new for many organisations. The GDPR now makes notification mandatory for all controllers unless a breach is unlikely to result in a risk to the rights and freedoms of individuals. Processors also have an important role to play and they must notify any breach to their controller.
The Article 29 Working Party (WP29) considers that the new notification requirement has a number of benefits. When notifying the supervisory authority, controllers can obtain advice on whether the affected individuals need to be informed. Indeed, the supervisory authority may order the controller to inform those individuals about the breach. Communicating a breach to individuals allows the controller to provide information on the risks presented as a result of the breach and the steps those individuals can take to protect themselves from its potential consequences. The focus of any breach response plan should be on protecting individuals and their personal data. Consequently, breach notification should be seen as a tool enhancing compliance in relation to the protection of personal data. At the same time, it should be noted that failure to report a breach to either an individual or a supervisory authority may mean that under Article 83 a possible sanction is applicable to the controller.
Controllers and processors are therefore encouraged to plan in advance and put in place processes to be able to detect and promptly contain a breach, to assess the risk to individuals, and then to determine whether it is necessary to notify the competent supervisory authority, and to communicate the breach to the individuals concerned when necessary. Notification to the supervisory authority should form a part of that incident response plan.
The GDPR contains provisions on when a breach needs to be notified, and to whom, as well as what information should be provided as part of the notification. Information required for the notification can be provided in phases, but in any event controllers should act on any breach in a timely manner.
In its Opinion 03/2014 on personal data breach notification, WP29 provided guidance to controllers in order to help them to decide whether to notify data subjects in case of a breach. The opinion considered the obligation of providers of electronic communications regarding Directive 2002/58/EC and provided examples from multiple sectors, in the context of the then draft GDPR, and presented good practices for all controllers.
The current Guidelines explain the mandatory breach notification and communication requirements of the GDPR and some of the steps controllers and processors can take to meet these new obligations. They also give examples of various types of breaches and who would need to be notified in different scenarios.
Read the Guidelines
Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (6 february 2018)
(Endorsed by the EDPB)
The General Data Protection Regulation (the GDPR), specifically addresses profiling and automated individual decision-making, including profiling.
Profiling and automated decision-making are used in an increasing number of sectors, both private and public. Banking and finance, healthcare, taxation, insurance, marketing and advertising are just a few examples of the fields where profiling is being carried out more regularly to aid decision-making.
Advances in technology and the capabilities of big data analytics, artificial intelligence and machine learning have made it easier to create profiles and make automated decisions with the potential to significantly impact individuals’ rights and freedoms.
The widespread availability of personal data on the internet and from Internet of Things (IoT) devices, and the ability to find correlations and create links, can allow aspects of an individual’s personality or behaviour, interests and habits to be determined, analysed and predicted.
Profiling and automated decision-making can be useful for individuals and organisations, delivering benefits such as:
- increased efficiencies; and
- resource savings.
They have many commercial applications, for example, they can be used to better segment markets and tailor services and products to align with individual needs. Medicine, education, healthcare and transportation can also all benefit from these processes.
However, profiling and automated decision-making can pose significant risks for individuals’ rights and freedoms which require appropriate safeguards.
These processes can be opaque. Individuals might not know that they are being profiled or understand what is involved.
Profiling can perpetuate existing stereotypes and social segregation. It can also lock a person into a specific category and restrict them to their suggested preferences. This can undermine their freedom to choose, for example, certain products or services such as books, music or newsfeeds. In some cases, profiling can lead to inaccurate predictions. In other cases it can lead to denial of services and goods and unjustified discrimination.
The GDPR introduces new provisions to address the risks arising from profiling and automated decision-making, notably, but not limited to, privacy. The purpose of these guidelines is to clarify those provisions.
This document covers:
- Definitions of profiling and automated decision-making and the GDPR approach to these in general – Chapter II
- General provisions on profiling and automated decision-making – Chapter III
- Specific provisions on solely automated decision-making defined in Article 22 - Chapter IV
- Children and profiling – Chapter V
- Data protection impact assessments and data protection officers– Chapter VI
The Annexes provide best practice recommendations, building on the experience gained in EU Member States.
The Article 29 Data Protection Working Party (WP29) will monitor the implementation of these guidelines and may complement them with further details as appropriate.
Read the Guidelines
Jurisprudence de la CJUE
C-465/00 ; C-138/01 ; C-139/01 (20 mai 2003)
1) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne s'opposent pas à une réglementation nationale, telle que celle en cause dans les affaires au principal, à la condition qu'il soit établi que la large divulgation non seulement du montant des revenus annuels, lorsque ceux-ci excèdent un certain plafond, des personnes employées par les entités soumises au contrôle du Rechnungshof, mais également des noms des bénéficiaires de ces revenus, est nécessaire et appropriée à l'objectif de bonne gestion des ressources publiques poursuivi par le constituant, ce qu'il incombe aux juridictions de renvoi de vérifier.
2) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46 sont directement applicables, en ce sens qu'ils peuvent être invoqués par un particulier devant les juridictions nationales pour écarter l'application des règles de droit interne contraires à ces dispositions.
Conclusions de l'Avocat général
Arrêt rendu
C-342/12 (30 mai 2013)
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.
2) Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.
Arrêt rendu
C-683/13 (19 juin 2014)
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.
2) Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.
3) Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.
Arrêt rendu
C-398/15 (9 mars 2017)
L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.
Conclusions de l'Avocat général
Arrêt rendu
Le GDPR
On constate d’abord que le principe de loyauté et de licéité du traitement est complété par un principe de transparence.
La transparence implique que toute information adressée au public ou à la personne concernée doit être aisément accessible et facile à comprendre, et être formulée en termes simples et clairs, particulièrement en ce qui concerne les informations relatives à l’identité du responsable et aux finalités du traitement (cfr. le considérant 39.). Les obligations d’information à charge du responsable du traitement résultant du principe de transparence sont détaillées aux articles 12 et suivants du Règlement.
Une nouvelle exception est reconnue à l’interdiction de poursuite de finalités incompatibles avec la finalité initiale (art. 5, § 1er, b) : l’archivage dans l’intérêt public pour autant -comme pour les finalités de recherches historiques, statistiques et scientifiques- que ces traitements répondent aux conditions fixées par l’article 89 du Règlement. Le principe de l’interdiction est du reste maintenu malgré une tentative de l’assouplir un peu au vu des difficultés qu’il pose concernant les changements de finalités (cfr le commentaire de l’article 6).
L’article 5, § 1er, c) du Règlement précise que les données doivent être « limitées au minimum nécessaire au regard des finalités du traitement », alors que la Directive obligeait les responsables à ne traiter que des données « non excessives » au regard des finalités du traitement. Le Règlement consacre donc le principe de minimisation des données, selon seules les données à caractère personnel qui apparaissent nécessaires à la réalisation de la finalité peuvent être traitées. On retrouve en réalité une application classique d’une règle de proportionnalité.
S’agissant du principe de durée limitée de conservation des données, le point e) rappelle que les données permettant l’identification des personnes ne doivent pas être conservées au-delà du délai nécessaire à la réalisation des finalités du traitement. En d’autres termes, les données permettant l’identification des personnes concernées doivent être supprimées dès l’instant où elles ne sont plus nécessaires au traitement, sauf exception pour les finalités d’archivage dans l’intérêt public et de recherches scientifiques, statistiques ou historiques, pour autant que les droits des personnes concernées soient protégés par des mesures techniques et organisationnelles (cfr article 89 §1er).
Initialement, la première proposition de Règlement faisait obligation au responsable de vérifier périodiquement la nécessité de poursuivre la conservation. Cet élément n’a pas été retenu.
Le Règlement érige aussi en principe le devoir de sécurité et de confidentialité du traitement (intégrité et confidentialité), déjà contenu dans les articles 16 et 17 de la Directive (art. 5, § 1er, f), qui oblige le responsable à garantir une sécurité et une confidentialité appropriées, et notamment à prévenir l'accès non autorisé à ces données et à l'équipement servant à leur traitement ainsi que l'utilisation non autorisée de ces données et de cet équipement (cfr. considérant 39).
Le Règlement consacre enfin un principe de responsabilité, en vertu duquel le responsable du traitement est responsable du respect des principes de traitement définis à l’article 5. Il appartient donc au responsable de garantir et de démontrer que son traitement est conforme aux principes visés à l’article 5, paragraphe 1er pendant toute la durée du traitement. Son respect implique que le responsable mette en place des mécanismes et des systèmes de contrôle (mesures d’audit, politique interne…) au sein de son entité pour garantir la conformité du traitement pendant toute sa durée et pour en conserver la preuve. Cette obligation de rendre compte est davantage explicitée par l’article 24 du Règlement.
La Directive
L’article 6 de la Directive déterminait les conditions générales dans lesquelles le traitement de données est licite. À travers cette disposition, le législateur de l’Union avait mis en place plusieurs principes fondamentaux qui sous-tendent tout traitement de données à caractère personnel. Ils ont été repris à l’article 4 de la loi du 8 décembre 1992 et à l’article 6 de la loi Informatique et Libertés et Libertés.
Le principe de loyauté et de licéité de la collecte des données suppose que les personnes concernées puissent connaître l'existence des traitements et bénéficier, lorsque des données sont collectées auprès d'elles, d'une information effective et complète au regard des circonstances de cette collecte. En outre, les données ne peuvent être obtenues à l’aide de procédés illicites ou déloyaux (article 6, paragraphe 1er, a).
En vertu du principe de finalité, la finalité doit être déterminée, explicite et légitime. Toute finalité incompatible avec la finalité annoncée est dès lors interdite sauf exception pour les finalités historiques, statistiques ou scientifiques (article 6, paragraphe 1er, b).
En vertu du principe de proportionnalité, les traitements de données à caractère personnel à effectuer doivent être adéquats, pertinents et non excessifs au regard des finalités poursuivies, ce qui suppose que le moyen utilisé soit adéquat et nécessaire pour réaliser l’objectif poursuivi (article 6, paragraphe 1er, c)).
Selon le principe de qualité des données, les données doivent être exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées.
Enfin, les données ne peuvent être conservées indéfiniment. Les données doivent être supprimées dès lors que leur conservation excède la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (cfr. article 6, paragraphe 1er, e) de la Directive ; l’article 6, 5° de la loi Informatique et Libertés et Libertés), ainsi que l’article 4, paragraphe 1er, 5° de la loi du 8 décembre 1992).
Belgique
L’article 4 de la loi du 8 décembre 1992 énumérait un certain nombre de principes contenant les exigences fondamentales que doit respecter tout traitement de données à caractère personnel, dans des termes identiques que ceux de l’article 6 de la Directive (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).
France
Les principes de protection des données contenus à l’article 6 de la Directive furent transposés dans des termes identiques à l’article 6 de la loi Informatique et Libertés (principe de loyauté et de licéité, de finalité, de proportionnalité, principe de qualité, et de durée limitée de conservation).
Difficultés probables
Les principes de base ne sont pas bouleversés, seulement affinés.
Le renforcement des principes de transparence et de responsabilité va impliquer une révision des processus de traitement actuel dans l’organisation du responsable du traitement ainsi que l’implémentation de mesures de contrôle et d’audit interne ou externe de la conformité de ces traitements au Règlement.
On regrette que le principe de compatibilité n’ait pas fait l’objet d’un assouplissement vu les difficultés qu’il pose en termes d’évolution des finalités (cfr commentaire de l’article 6).