Réponse donnée par M. Reynders au nom de la Commission européenne

19.11.2021

En vertu du règlement général sur la protection des données (RGPD)[1], les autorités nationales indépendantes de contrôle de la protection des données sont chargées de l'application des règles en matière de protection des données, sous le contrôle des tribunaux et sans préjudice des compétences de la Commission en tant que gardienne des traités. La Commission ne dispose d'aucun pouvoir d'exécution à l'égard de responsables du traitement particuliers et n'est donc pas habilitée à s'exprimer sur des incidents précis.

La CNIL, l'autorité française de protection des données, dispose de tous les outils nécessaires en sa qualité d'autorité de contrôle compétente pour assurer un suivi auprès du responsable du traitement concerné. Le responsable du traitement a également porté l'attaque informatique présumée à l'attention des services répressifs[2].

Il appartient aux autorités délivrant les certificats COVID numériques de l'UE, en leur qualité de responsables du traitement, de mettre en œuvre les mesures de sécurité appropriées[3]. Ni le règlement (UE) 2021/953 ni le RGPD n'empêchent ces autorités de recourir à des sous-traitants externes pour s'acquitter de leurs tâches. Dans le cas où elles choisissent de faire appel à un sous-traitant externe, le RGPD prévoit des exigences applicables au contrat conclu avec ce sous-traitant, afin de garantir que le responsable du traitement conserve le contrôle dudit traitement.

La Commission n'a pas l'intention de proposer des modifications du cadre juridique pour donner suite à cet incident. Les règles relatives aux notifications de violation de données introduites par le RGPD ont permis au responsable du traitement de porter cet incident à l'attention de la CNIL et d'informer les personnes concernées. C'est précisément parce que l'UE a adopté des règles de protection des données telles que le RGPD que les autorités de contrôle compétentes peuvent agir contre des violations présumées de la vie privée et de la protection des données.

• [1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1), https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04?locale=fr
• [2] https://www.aphp.fr/contenu/lap-hp-porte-plainte-suite-une-attaque-informatique-sur-son-service-securise-de-partage-de
• [3] Voir considérants 53 et 54 du règlement (UE) 2021/953 du Parlement européen et du Conseil du 14 juin 2021 relatif à un cadre pour la délivrance, la vérification et l'acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l'UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19. Ces considérants rappellent les obligations faites aux États membres, en vertu du RGPD, de garantir une sécurité appropriée pour le traitement des données à caractère personnel.
  Le règlement peut être consulté à l'adresse suivante: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32021R0953