La commissaire à la Justice, Věra Jourová, a célébré, mercredi 22 mai, face aux médias, le premier anniversaire du règlement général sur la protection des données, le RGDP (ou GDPR en anglais). Elle s'est réjouie une nouvelle fois des retombées positives des nouvelles règles, tout en en soulignant certaines lacunes (EUROPE 12180/10).
Alors que la Commission se retient généralement de nommer et montrer du doigt les mauvais élèves, cette fois, l'ancienne ministre tchèque du Développement régional a clairement dirigé ses critiques vers la Grèce, la Slovénie et le Portugal, qui ne sont toujours pas en conformité avec le droit européen. « Ce n'est pas bien de les nommer, mais, à mon sens, cela prend vraiment trop de temps. Ce n'est pas logique : ce sont les États membres eux-mêmes qui ont demandé à pouvoir adapter leur droit national en fonction de leurs spécificités. Autrement, le RGPD aurait été appliqué immédiatement », a indiqué la commissaire, soulignant que cette liberté laissée aux États était examinée minutieusement.
Quel bilan, un an après ?
À ce stade, on n'a pas encore de vision claire des retombées du RGDP. La Commission promet qu'elle publiera un bilan de cette année d'application lors d'une conférence, le 13 juin, tandis qu'un rapport plus détaillé sera publié en 2020, comme prévu par le règlement lui-même.
Selon une fiche d'information de la Commission, les autorités de contrôle se sont vu adresser un total de 89 271 notifications d'une violation de données à caractère personnel. Cinq amendes au moins ont été infligées dans l'UE suite au RGDP : en Allemagne (Knuddels.de, 20 000 €), en France (Google, 50 milliards €), en Pologne (entreprise X, 220 000 €), en Autriche (un café de paris sportifs, 5 280 €) et à Malte (autorité régionale, 5 000 €).
L'Irlande « fait ce qu'elle peut »
Autre chiffre intéressant : un total de 450 cas transfrontaliers sont actuellement à l'examen, dont 300 sur base de plaintes d'individus et 150 à l'initiative des autorités chargées de la protection des données (DPA). Mais aucune n'a encore abouti : « Nous sommes seulement au début de la procédure », s'est défendue Věra Jourová. « C'est un grand nombre, 450 », a-t-elle poursuivi, affirmant tout de même qu'elle interrogerait les DPA d'ici à la conférence du 13 juin.
Pour ces cas, c'est le mécanisme de contrôle de la cohérence qui s'applique, avec une autorité de contrôle chef de file jouant le rôle de guichet unique. Et donc, pour beaucoup, l'Irlande, qui héberge le siège social de Facebook. « Helen Dixon fait ce qu'elle peut », s'est empressée de commenter Mme Jourová pour défendre le travail de la commissaire irlandaise à la protection des données.
Toutefois, Věra Jourová a concédé que les autorités nationales, qui sont chargées de faire respecter le RGPD, sont généralement sous-équipées. Et de rappeler qu'elles doivent remplir 3 tâches importantes : publier et mettre à jour des lignes directrices sur les principaux aspects du RGPD, le mettre en œuvre et mener des campagnes de sensibilisation. « Globalement, ça va bien », a-t-elle commenté. Et, comme pour s'en convaincre, a ajouté : « C'est toujours en phase initiale. »
En phase initiale, oui. Mais déjà depuis un an. (Sophie Petitjean)