Dans une évaluation intermédiaire, la Commission européenne a estimé, mercredi 24 juillet, que le règlement général sur la protection des données (GDPR) est généralement convenablement appliqué dans l’Union européenne, un peu plus d'un an après son entrée en vigueur.
Mieux, les règles européennes pourraient même servir de base à l'élaboration d'« un standard numérique, moderne et de haut niveau » à l’international, a déclaré la commissaire européenne à la Justice, Vĕra Jourová, qui a présenté l'évaluation de la Commission à la commission des libertés civiles (LIBE) du Parlement européen.
Une base pour le multilatéralisme
Au niveau international, le règlement GDPR pourrait asseoir « l'UE en tant que régulateur et prescripteur de normes […] par le biais de la conclusion d’accords multilatéraux », afin de promouvoir la circulation des données en toute sécurité avec les pays tiers qui partagent les valeurs européennes, a estimé la commissaire. « Partout au niveau mondial, le GDPR est reconnu comme une norme locale », a-t-elle souligné.
Des ‘clauses d’adéquation’ sont en cours d’évaluation et/ou de négociation avec onze pays tiers afin de garantir un standard équivalent, élément requis par la Cour de Justice de l’UE (CJUE) en cas de transfert de données hors UE.
Selon le rapport de la Commission, cette « convergence des normes », qui vise à faciliter les flux sécurisés des données, doit aussi s’inscrire en parallèle des négociations commerciales. Ainsi, l’accord d'adéquation mutuelle UE/Japon conclu début 2019 y est décrit comme « le meilleur exemple de telles synergies » au bénéfice de l’accord de libre-échange bilatéral (EUROPE 12178/3).
Une clause d’adéquation est aussi en voie de finalisation avec la République de Corée et des discussions similaires sont en cours avec des pays d’Amérique latine qui renouvellent leurs législations en la matière, le Chili et le Brésil, notamment.
De surcroît, la Commission « entend étudier la possibilité de mettre en place des cadres multilatéraux », en soutien à une proposition japonaise, afin d'inciter les partenaires de l'UE à adopter un niveau équivalent de protection des données personnelles.
Concernant le ‘Privacy Shield’ conclu entre les États-Unis et l’Europe, il s’agit, selon la commissaire, d'« un outil très utile pour garantir la protection de la vie privée [des données des citoyens européens] aux États-Unis » dans un cadre commercial, avec plus de 4700 sociétés participantes.
En matière de coopération judiciaire, Mme Jourová a signalé, devant la commission des libertés civiles (LIBE) du Parlement européen, que « l’approche européenne (était) différente » du ‘CLOUD ACT’ américain, l'Europe reconnaissant davantage l’importance des droits fondamentaux (EUROPE 12296/16). Elle a dès lors incité la commission LIBE à prendre position sur la directive ‘preuves électroniques’ qui encadrera les échanges de données numériques entre les pays lors de procédures pénales, ce type de preuves s’avérant nécessaires pour 85% des enquêtes (EUROPE 12227/8).
Enfin, la Commission se joindra à l’élaboration d’un protocole supplémentaire à la Convention de Budapest sur la cybercriminalité.
« Un continent, une règle »
« Le GDPR ne peut réussir pleinement que si nous appliquons uniformément la législation et si nous veillons à son application rigoureuse dans toute l'UE », a insisté Vĕra Jourová, exhortant la Grèce, le Portugal et la Slovénie à « se dépêcher » d’aligner leur législation nationale sur les règles de l’UE.
La Commission appelle aussi les États membres à éviter toute ‘surtransposition’ (‘gold plating’). « C’est un fardeau lorsque certains pays introduisent des mesures inopportunes dans certains secteurs », a dit la commissaire, prévenant que « tous nos outils, dont les procédures d'infraction », seront activés si nécessaire.
L’Allemagne oblige les entreprises de plus de 20 employés traitant quotidiennement des données personnelles à désigner un ‘data policy officer’, hors clauses d’obligations particulières au GDPR. En Hongrie, l’interprétation du GDPR se heurterait à la liberté des médias.
Est aussi souligné dans l'évaluation de la Commission le rôle des autorités nationales de protection des données, qui ont traité 516 dossiers avec le Comité européen de la protection des données. Celui-ci est invité à œuvrer en faveur d'une « culture européenne de la protection des données ».
Un avantage pour les entreprises
Selon la Commission, l’application du règlement GDPR offrirait un « avantage concurrentiel » aux entreprises, en termes de confiance du consommateur et de sécurité accrue.
Le rapport évalue également les risques en termes de transparence liés à l’intelligence artificielle. « Les gens devraient toujours savoir ce qu’il advient » de leurs données traitées par algorithmes, a estimé la commissaire.
Une évaluation complète du GDPR est attendue au printemps 2020.
Pour consulter le rapport préliminaire : http://bit.ly/2Y75Zde (Martin Molko, stage)