Le Conseil de l’UE est prêt à adopter sa position sur le réexamen du règlement général sur la protection des données (GDPR). Le texte a été approuvé à la suite d’une procédure de silence lancée le 6 décembre 2019 et devrait être formellement adopté, sans discussion, dans les jours à venir, possiblement lors du Conseil ‘Ecofin’ du 21 janvier, selon une source européenne.
La Commission doit en effet présenter au Parlement européen et au Conseil de l'UE un rapport sur l’évaluation et le réexamen du règlement d’ici le 25 mai 2020, en tenant compte des positions des colégislateurs. Le règlement ‘GDPR’ prévoit que cette évaluation doit, en particulier, porter sur l’application et le fonctionnement du chapitre V sur le transfert de données à caractère personnel vers des pays tiers, ainsi que sur le chapitre VII sur la coopération et la cohérence.
Néanmoins, comme laissaient déjà présager les premières observations écrites présentées par les États membres en octobre (EUROPE 12349/16), le Conseil demande à la Commission d’adopter une « vue d’ensemble » lors de son réexamen et d'aller au-delà de ces deux chapitres.
Si le texte final, daté du 15 janvier, reconnaît que le règlement ‘GDPR’ a été un « succès », il recense plusieurs questions d’application et d’interprétation qui préoccupent particulièrement les États membres, notamment le renforcement de la coopération entre les autorités de surveillance.
La question de la pertinence des ressources des autorités nationales de surveillance et du Comité européen de la protection des données (CEPD) devrait absolument être abordée lors du réexamen par la Commission, pointe le Conseil.
Il souligne aussi le risque de fragmentation de la législation en raison de la marge de manœuvre laissée aux législateurs nationaux pour maintenir ou introduire des dispositions plus spécifiques afin d'adapter l'application de certaines règles. Si le Conseil considère que cette marge de manœuvre reste justifiée, il estime néanmoins que son évolution doit être suivie de près.
Dans leurs commentaires écrits, plusieurs pays, notamment la France et l'Irlande, avaient en effet jugé que le pouvoir discrétionnaire laissé aux États membres en ce qui concerne l'âge de consentement des mineurs (article 8), à fixer entre 13 et 16 ans, a donné lieu à une insécurité juridique et à une fragmentation du marché numérique de l’UE.
Le texte mentionne en outre les nouvelles obligations et l'augmentation de la charge de travail pour les PME, les difficultés liées à la détermination ou à l'application de garanties appropriées en l'absence d'une décision d'adéquation ainsi que les mesures à prendre par les autorités de contrôle pour faire face aux situations dans lesquelles les responsables du traitement des données établis dans des pays tiers ne désignent pas de représentant dans l'UE.
Autre source de préoccupation : les nouvelles technologies. Le Conseil demande à la Commission de clarifier dès que possible la manière dont le règlement 'GDPR' s’applique aux nouvelles technologies, telles que l’intelligence artificielle, la reconnaissance faciale, la technologie ‘blockchain’ ou encore les nouveaux types de profilage. S’il note que certaines technologies émergentes peuvent aussi constituer des atouts pour améliorer la vie privée des citoyens européens, il préconise de suivre de près leur évolution.
Enfin, le Conseil souligne que le règlement ‘GDPR’ n’est appliqué que depuis le mois de mai 2018. Il estime ainsi que la plupart des questions recensées par les États membres bénéficieront d'une plus grande expérience dans l'application du règlement au cours des prochaines années. Des orientations supplémentaires de la part du Comité européen de protection des données (CEPD) pourraient aussi aider à résoudre certaines questions, selon lui.
Voir le texte : https://bit.ly/2NxsjW4 (Marion Fontana)