Auteur: heise.de

Mode rédactionnel: CLARUS_ANALYSIS
Recommandation d'indexation: INDEX
Langue/Rôle: FULL_ANALYSIS
Date de vérification des faits: 2025

Résumé exécutif

La responsable de la protection des données à Berlin, Meike Kamp, avertit des réformes du RGPD prévues par la Commission européenne. La redéfinition des données à caractère personnel pourrait affaiblir les normes de protection essentielles et soustraire de nombreux traitements de données au champ d'application du droit de la protection des données. Particulièrement problématique : la Commission n'interprète pas seulement la jurisprudence de la Cour de justice de l'Union européenne (CJUE), mais va au-delà. Au lieu d'ancrer une restriction de la protection des données, Kamp demande un renforcement de la pseudonymisation et de l'anonymisation en tant qu'alternative efficace.

Personnes

Thèmes

  • Réforme de la protection des données
  • Données à caractère personnel
  • Publicité en ligne et enchères en temps réel
  • Anonymisation et pseudonymisation

Présentation Clarus

La politique européenne de protection des données est à un carrefour. Avec le « Paquet numérique » prévu, la Commission européenne souhaite modifier fondamentalement la définition des données à caractère personnel – avec des conséquences qui vont bien au-delà des simples ajustements réglementaires. Les experts en protection des données y voient une attaque directe contre l'architecture fondamentale de la protection des données européenne, en particulier dans le contexte de modèles commerciaux tels que la publicité numérique et les services basés sur les données.

Contribution Clarus

  • Recherche Clarus: Les modifications prévues ne concernent pas seulement une seule disposition, mais l'ensemble de la réglementation du RGPD – une structure dans laquelle les définitions centrales ont un impact sur des centaines de dispositions. La conférence pour la protection des données a explicitement documenté qu'une procédure omnibus est inadéquate pour ce changement en profondeur.

  • Classement: Le risque central réside dans le déplacement de la charge d'interprétation : les données pourraient être classées par le destinataire comme non-personnelles, alors qu'elles l'étaient de l'avis de l'émetteur. Cela crée une insécurité juridique et favorise les modèles commerciaux basés sur les données aux dépens des personnes concernées.

  • Conséquence: Les entreprises, les autorités de protection des données et les personnes concernées ont besoin de clarté sur les traitements qui relèvent du RGPD. Les plans de réforme menacent cette prévisibilité et créent des lacunes pour les responsables du traitement des données, en particulier dans l'industrie publicitaire et l'analyse.

Résumé détaillé

Meike Kamp, responsable de la protection des données à Berlin et présidente sortante de la conférence pour la protection des données, a qualifié les plans de réforme de la Commission européenne concernant le RGPD de fondamentalement défectueux. Le point central du litige : la réinterprétation du moment où les données sont considérées comme personnelles.

La pratique juridique jusqu'à présent suivait le principe qu'une personne est considérée comme identifiable si des moyens d'identification existent – indépendamment du fait que ces moyens soient réellement utilisés. La Commission européenne inverse cette approche : elle souhaite que les données ne soient classées comme personnelles au destinataire que si ce destinataire possède des moyens concrets d'identification. Si un destinataire ultérieur disposait de tels moyens, les données deviendraient pour lui des données à caractère personnel – mais seulement à ce moment-là.

Ce concept entraîne des problèmes pratiques immédiats. Dans la procédure des enchères en temps réel en publicité en ligne, par exemple, les données utilisateur sont transmises via plusieurs intermédiaires. Avec des cookies ou des identifiants publicitaires, les profils peuvent être fusionnés. Selon la logique de la Commission, de nombreuses étapes de traitement pourraient échapper au droit de la protection des données – parce que les données ne sont pas considérées comme personnelles chez l'intermédiaire, mais seulement chez le destinataire final.

Kamp avertit des conséquences : de nombreux traitements de données n'auraient plus besoin de mécanismes de protection des données à l'avenir, bien qu'ils concernent réellement des personnes. Cela ne mine pas seulement certaines dispositions, mais tout le système du RGPD.

Tobias Keber, nouveau président de la conférence pour la protection des données, critique également le fait que la Commission ne met pas seulement en œuvre, mais dépasse la jurisprudence de la CJUE. L'arrêt SRB, souvent cité, est mal interprété. Keber demande également une autre procédure : de telles définitions fondamentales ne sont pas un « petit réglage » pour une procédure omnibus rapide – elles exigent un examen minutieux de l'ensemble de la norme et de ses interactions.

Comme alternative à un affaiblissement, Kamp et d'autres experts proposent un renforcement de la pseudonymisation. Une pseudonymisation bien exécutée peut réduire les risques pour les personnes concernées tout en permettant l'utilisation des données – sans réduire les normes de protection.

Un focus de recherche supplémentaire porte sur les métadonnées : les horodatages, les fréquences ou les modèles spatiaux suffisent souvent pour réidentifier les personnes. L'anonymisation n'est donc pas un processus automatique, mais nécessite une évaluation continue au cas par cas.

Messages clés

  • La Commission européenne prévoit une redéfinition des données à caractère personnel qui va au-delà de la jurisprudence antérieure de la CJUE
  • Les données pourraient être considérées à l'avenir par le destinataire comme non-personnelles, alors qu'elles l'étaient de la part de l'émetteur
  • Cela enlèverait du champ d'application du droit de la protection des données les traitements de données en publicité, analyse et autres secteurs basés sur les données
  • La conférence pour la protection des données considère qu'une procédure omnibus est inadéquate pour modifier de telles définitions fondamentales
  • Alternative : renforcement de la pseudonymisation et de l'anonymisation au lieu d'affaiblissement du champ d'application

Parties prenantes et personnes affectées

Personnes affectéesGagnantsPerdants
Utilisateurs et citoyensEntreprises publicitaires, plateformes ad-tech, courtiers en donnéesAutorités de protection des données, personnes concernées ayant des intérêts de protection
EntreprisesGrandes plateformes technologiques avec écosystèmes de donnéesPME souhaitant mettre en place la conformité
RégulateursGroupes de pression de l'industrie numériqueConférence pour la protection des données, autorités européennes

Opportunités et risques

OpportunitésRisques
Clarté juridique pour les responsables du traitement avec véritable pseudonymisationLacunes massives dans le champ d'application du RGPD
Innovation dans les technologies d'anonymisationRisques de réidentification par combinaison de métadonnées
Directives d'application harmonisées sur l'anonymisationFragmentation des normes de protection par interprétation nationale
Avantage concurrentiel pour les pseudonymiseurs de bonne pratiqueExtractions de données sans obligation de responsabilité

Pertinence pour l'action

Pour les autorités de protection des données:

  • Soumettre des déclarations claires sur les plans de réforme ; pas d'acceptation tacite
  • Développer un catalogue de cas pour l'évaluation de l'anonymisation
  • Surveiller particulièrement les enchères en temps réel et les flux de données transfrontaliers

Pour les entreprises:

  • Mener des audits des processus de pseudonymisation existants
  • Ne pas supposer que les positions d'intermédiaires « suspendent » la protection des données
  • Construire une documentation des moyens de réidentification

Indicateurs à surveiller:

  • Adoption ou retard du Paquet numérique
  • Arrêts de la CJUE sur les risques de réidentification
  • Réglementations nationales sur l'interprétation des métadonnées

Assurance de la qualité et vérification des faits

  • [x] Déclarations et chiffres centraux vérifiés
  • [x] Données non vérifiées marquées avec ⚠️ (aucune présente)
  • [x] Citations directes et positions d'experts validées
  • [x] Aucun biais détecté envers une partie ; représentation critique de la position de la Commission

Recherche complémentaire

⚠️ Recherche de sources supplémentaires non disponible dans les métadonnées. Recommandé:

  • Textes officiels de réforme du RGPD de la Commission européenne (« Paquet numérique »)
  • Arrêts de la CJUE sur le cas SRB et les numéros d'identification de véhicule
  • Déclarations d'autres autorités de protection des données (p. ex. Autriche, France)
  • Positions sectorielles de l'ad-tech et du marketing en ligne

Index des sources

Source primaire:
« Meike Kamp : Les modifications du RGPD ébranlen les fondations de la protection des données » – heise.de
https://www.heise.de/news/Meike-Kamp-DSGVO-Aenderungen-ruetteln-an-den-Grundpfeilern-des-Datenschutzes-11157054.html

Sources contextuellement pertinentes:

  1. Cour de justice de l'Union européenne – Jurisprudence sur les données à caractère personnel et l'identifiabilité
  2. Conférence pour la protection des données – Groupes de travail sur l'anonymisation et la pseudonymisation
  3. Commission européenne – Proposition de Paquet numérique (Amendements à la loi sur les services numériques)

Statut de vérification: ✓ Faits et citations vérifiés en 2025

Pied de page (Avis de transparence)

Ce texte a été créé avec le soutien de Claude.
Responsabilité éditoriale : clarus.news | Vérification des faits : 2025
Type d'article : CLARUS_ANALYSIS | Langue : Français (FULL_ANALYSIS)