Andrea Jelinek, la présidente du comité européen de la protection des données (EDPB), a tenté, vendredi 25 mai, d’apaiser les tensions autour de l’entrée en application du règlement général de la protection des données personnelles (GDPR).
Le comité EDPB est un nouvel organe européen indépendant chargé d’appliquer le règlement GDPR, entré en application le même jour.
À l’heure actuelle, huit de ces États membres sont en retard dans l’adaptation de leurs cadres légaux au nouveau règlement - Belgique, Bulgarie, Chypre, République tchèque, Hongrie, Lituanie, Grèce et Slovénie.
L’approche de cette date a également créé un vent de panique, notamment du côté des entreprises, contraintes de se conformer à de nouvelles obligations relatives au traitement des données personnelles de leurs clients.
Aux termes du nouveau règlement, les entreprises doivent impérativement obtenir le consentement de leurs clients pour toute exploitation de leurs données personnelles. Les conditions de leur utilisation doivent en outre être claires et concises. Les entreprises doivent enfin pouvoir prouver que les données qu’elles possèdent ont été obtenues légalement et qu’elles sont sécurisées.
Le 16 mai, trois organisations représentant les intérêts des petites et moyennes entreprises (PME) au niveau européen avaient demandé un « délai de grâce » d’un an, au cours duquel ces entreprises ne pourraient pas être frappées de sanctions (EUROPE 12020).
« Le règlement GDPR entre en application aujourd’hui, mais il a été adopté il y a deux ans », a rappelé Mme Jelinek, estimant que les entreprises avaient eu le temps de prendre connaissance de leurs nouvelles obligations et de s’organiser.
Si elle a opposé une fin de non-recevoir à tout « délai de grâce », la présidente du nouvel organe, élue le matin même, a promis de traiter « au cas par cas » les atteintes portées par les entreprises au règlement GDPR. Elle a aussi insisté sur le « principe de proportionnalité » entre l’infraction et la sanction. « Nous ne sommes pas une machine à sanctionner », a-t-elle déclaré.
« Notre tâche va consister à trouver des équilibres, et notamment entre les droits individuels et les intérêts économiques », a abondé Ventsislav Karadjov, vice-président du nouvel organe.
Nouvel organe
L’EDPB peut infliger des avertissements et des amendes d’un montant limité à 20 millions d’euros, représentant jusqu’à 4 % du chiffre d’affaires des entreprises fautives.
Le nouvel organe est composé des représentants des 28 États membres prenant des décisions à la majorité des deux tiers. La Commission plus l'Islande, la Norvège et le Liechtenstein en sont membres observateurs.
Première affaire
L’EDPB a été saisi d’une première affaire, une heure seulement après le début de son existence légale. La plainte, venue de l’activiste autrichien Max Schrems, vise Facebook.
Selon M. Schrems, le réseau social viole le nouveau règlement européen en obligeant ses utilisateurs à accepter des intrusions dans leurs vies privées pour pouvoir garder leurs comptes.
« Un consentement forcé n’est pas un consentement du tout », a estimé à ce sujet Mme Jelinek, indiquant que son équipe avait déjà commencé à lire le dossier envoyé dans la nuit par l’activiste autrichien.
Enthousiasme partagé
L’entrée en vigueur du règlement GDPR a par ailleurs créé une certaine effervescence au sein des institutions.
La commissaire à la Justice et aux Consommateurs, Věra Jourová, a affiché son enthousiasme, considérant que le règlement permettrait « un regain de confiance salutaire pour l’économie du numérique ». Selon elle, l’unicité à la fois de texte et d’autorité surveillant son application permet « une simplification vitale ».
Monique Goyens, directrice du Bureau européen des unions de consommateurs (BEUC) s’est quant à elle félicitée que les institutions aient « résisté aux différents groupes de pression » et mis le consentement au cœur du nouveau règlement. Selon elle, le GDPR amorce « un changement d’ADN ».
Vendredi 25 mai constitue « le point de départ d’un projet ambitieux », selon Michael O’Flaherty, directeur de l'Agence des droits fondamentaux de l'Union européenne (FRA), qui a insisté sur la création du droit à la portabilité des données.
« Je n’ai jamais vu un règlement européen aussi célèbre », a-t-il plaisanté, faisant référence à l’écho médiatique sans précédent du règlement GDPR et aux nombreux courriels envoyés par les entreprises exploitant des données personnelles à leurs clients ces derniers jours. (Mathieu Solal, stage avec Marion Fontana)