La commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a organisé, lundi 22 septembre, un échange de vues consacré au paquet de simplification numérique ('digital simplification package') - prévu pour le quatrième trimestre de cette année - et à l'évaluation du cadre législatif numérique en matière de protection des droits fondamentaux, notamment pour aborder la question des contraintes administratives sans rien céder sur la protection de ces droits.
Le directeur chargé de l’État de droit, des droits fondamentaux et de la démocratie à la Direction générale de Justice de la Commission européenne, Julien Mousnier, a abordé la problématique dans la continuité du RGPD. Il s’agit donc non pas de remettre en cause des principes, mais d’adapter les obligations en fonction du niveau de risque, pour que les formalités ne s’appliquent pleinement qu’aux traitements de données sensibles, telles que les données de santé, les données pénales, ou d’autres traitements susceptibles de menacer les droits et libertés des individus.
Le principal changement proposé concerne l’obligation de tenir un registre des traitements de données (article 30 du RGPD). La Commission souhaite que cette obligation ne s’applique qu’aux traitements présentant un « haut risque » pour les droits des personnes (article 35), tout en élargissant l’exemption de registre aux entreprises de taille moyenne, jusqu’à 750 salariés.
L’ambition n’est pas de « déréguler », mais de supprimer des exigences procédurales peu corrélées à la protection effective des personnes, afin de préserver l’effort de conformité sur les opérations sensibles.
Julien Mousnier a également rappelé trois garde-fous nécessaires à la protection des droits.
D’abord, les principes du RGPD restent intouchables. Ainsi, le traitement doit être légal, limité aux données strictement nécessaires, transparent et sécurisé, tout en garantissant les droits des personnes concernées.
Ensuite, il y a le principe de responsabilité (article 5), selon lequel les responsables de traitement doivent pouvoir démontrer à tout moment leur conformité.
Enfin, on notera l’approche établie sur le risque, précisée par les lignes directrices du Comité européen de la protection des données et par les listes nationales des traitements nécessitant une analyse d’impact.
Les inquiétudes des députés ont porté sur l’égalité de protection dans l’Union (éviter des divergences d’interprétation du « haut risque ») et la sécurité juridique pour les petites structures, c'est-à-dire ne pas remplacer des obligations précises par des règles floues qui créeraient de l’incertitude juridique.
Selon la Commission européenne, la définition du « haut risque » reste encadrée par l’article 35 du RGPD et par les lignes directrices du Comité européen de la protection des données. Les autorités nationales publient d’ailleurs des listes de traitements considérés comme sensibles.
La Commission veut éviter d’ajouter de nouvelles obligations et préfère clarifier les règles existantes. Donc, la compétitivité ne doit pas être obtenue au détriment des droits. De fait, moins de formalités pour les traitements à faible risque ne signifie pas pour autant une fin de la responsabilité.
Les entreprises restent tenues de prouver leur conformité, d’informer les personnes, d’assurer la sécurité et de coopérer avec les régulateurs.
Néanmoins, dès qu’il s’agit de données sensibles relatives à la vie privée, à la dignité ou à la non-discrimination, les exigences de traçabilité et de documentation s’appliquent pleinement. (Nithya Paquiry)