La Commission européenne a présenté, mardi 4 juillet, une proposition de règlement visant à harmoniser certaines procédures administratives liées à l’application du règlement général sur la protection des données. Objectif : faciliter la coopération entre les autorités nationales chargées de la protection des données (APD) dans les affaires transfrontalières.
« Nous voulons garantir des décisions plus rapides, y compris dans les affaires complexes [mais aussi] solides pour résister au test de la [Cour de justice de l’UE] et les droits des parties concernées doivent être respectés », a résumé le commissaire à la Justice, Didier Reynders.
Faciliter le consensus
Pour réduire les désaccords entre les APD dès les premières étapes de la procédure d’investigation d’une affaire transfrontalière, les nouvelles règles imposeront à l’autorité « dirigeante », qui guide l'enquête, de fournir un « résumé des points essentiels » aux autres APD impliquées.
Il devra contenir les principaux éléments visés par l’enquête ainsi que l’avis de l’autorité « dirigeante ». Les autres autorités concernées auront alors un temps donné pour communiquer leur propre position. « Cela réduira la probabilité de désaccords à un stade ultérieur de la procédure, ce qui nécessiterait le recours à un mécanisme de résolution des litiges » et, par conséquent, accélérera l’ensemble de la procédure, a conclu M. Reynders.
En ce sens, alors qu’actuellement, certaines contestations n’émergent qu’après la publication d’un projet de résolution, « les APD devront trouver un consensus sur les questions clé, telles que la portée de l’enquête dans une affaire fondée sur une plainte, plus tôt dans la procédure », a-t-il ajouté. Le cas échéant, le Comité européen de la protection des données (EDPB) peut résoudre le désaccord en adoptant une « décision urgente contraignante ».
Droits des plaignants
En outre, la proposition de règlement vise à harmoniser les exigences relatives à la recevabilité d’une plainte transfrontalière. « Cela signifie que nous n'aurons plus de situations où une plainte est renvoyée parce que l'autorité ‘dirigeante’ évalue les plaintes différemment de l'autorité qui a reçu la plainte », a résumé le commissaire.
En outre, pour la Commission, les règles assureront que les plaignants soient associés « dûment » au processus et qu’ils disposent des mêmes droits, indépendamment du lieu de plainte ou de l’APD « dirigeante ».
Concrètement, ils pourront être entendus avant le rejet d’une plainte et contester ce rejet devant un tribunal. « Lorsqu’une APD donne suite à une plainte, les plaignants auront aussi l’opportunité d’exprimer leur avis sur les allégations faites à l’encontre des responsables du traitement et des sous-traitants », a complété M. Reynders.
Droits des parties sous enquête
En parallèle, la proposition de la Commission confère et clarifie les droits des parties faisant l’objet d’une enquête, soit les responsables du traitement ou les sous-traitants.
Ils pourront notamment être entendus à des « étapes clés de la procédure », en particulier, avant que l’EDPB adopte une décision dans un règlement de litige.
La proposition clarifie également le contenu du dossier administratif ainsi que le droit des parties sous enquête d'y accéder. L'autorité « dirigeante » devra en outre leur communiquer ses conclusions préliminaires, notamment les allégations à leur encontre et les preuves correspondantes.
En effet, selon la Commission, ces entités risquant des sanctions potentiellement sévères, elles doivent « bénéficier de garanties similaires à celles prévues dans les procédures revêtant un caractère pénal ».
Pas de « réouverture » du RGPD
Enfin, le commissaire a souligné que la proposition de règlement répond aux inquiétudes des APD et aux conclusions du rapport de 2020 de la Commission sur le RGPD (EUROPE 12513/10). Il ne s’agit donc pas de rouvrir la réglementation générale ni de remettre en question le principe du « guichet unique » (« one-stop-shop »), a-t-il insisté.
Alors que la Commission publiera une nouvelle évaluation du RGPD en mai 2024, « ce sera l'occasion de discuter des différents aspects du RGPD », tels qu’un renforcement éventuel du secrétariat de l’EDPB et le principe du « guichet unique », a ajouté M. Reynders.
Des réactions mitigées
En dépit des arguments de la Commission, les nouvelles règles ont peiné à convaincre.
Le représentant des intérêts de l’industrie technologique CCIA Europe a jugé qu’en dépit « d’améliorations mineures », la proposition ne comble pas « les lacunes procédurales les plus pressantes » du règlement général. Au-delà d’un renforcement insuffisant du principe du « guichet unique », il déplore notamment les délais trop brefs laissés aux entreprises pour répondre aux allégations formulées à leur encontre et leur impossibilité de faire appel aux décisions de l’EDPB.
Au contraire, Nyob, l’association du militant pour la protection des données Max Schrems, a estimé que l’on passe d’une « procédure fondée sur les droits des utilisateurs à une procédure fondée sur les droits des entreprises », étant donné que ces dernières pourront être entendues « tout au long de la procédure et [auront] accès aux dossiers ».
Enfin, si le bureau européen de l’Association des professionnels de la confidentialité a admis qu’une « résolution des divergences procédurales pourrait rendre l'application transfrontalière du RGPD plus coordonnée, harmonisée, transparente et prévisible », elle a appelé à la prudence. « Il conviendra de surveiller les réactions des États membres, qui pourraient être amenés à apporter des modifications importantes à leurs systèmes nationaux, ce qui pourrait avoir des répercussions dans d'autres domaines du droit que celui de la protection des données », a précisé Isabelle Roccia, directrice générale.
Le même jour, la Cour de justice de l’UE a également rendu un arrêt sur Meta, estimant que les autorités chargées de la concurrence peuvent évaluer le respect du RGPD lorsqu’elles enquêtent sur un abus de position dominante (voir autre nouvelle).
La proposition de règlement : https://aeur.eu/f/7w9 (Hélène Seynaeve)