L'Union semble loin d'en avoir terminé avec le débat entourant la simplification du Règlement général sur la protection des données (RGPD). Un document de travail du Comité des représentants permanents des États membres (Coreper), daté du 14 novembre, dans lequel la Présidence danoise du Conseil résume plusieurs mois de discussions, montre que, si certains États poussent pour une révision très ciblée du règlement, beaucoup restent frileux à l'idée de toute modification. Certaines propositions rejoignent par ailleurs, en partie, les ajustements présentés par la Commission le 19 novembre dans sa proposition de simplification ('omnibus') de la législation sur le numérique (EUROPE 13755/4).
Le document recoupe les conclusions de deux discussions politiques, qui se sont tenues en juillet, puis en octobre dernier. En points clés : une volonté générale de ne pas toucher au cœur des principes du RGPD et d'éviter à tout prix une réouverture complète du règlement, mais une « relative ouverture » à la possibilité « d'envisager des modifications ciblées sur la base de preuves pratiques ».
Notoirement en faveur d'une plus grande simplification du cadre législatif européen, la Présidence danoise du Conseil considère qu'au vu des échanges réalisés, « il reste possible d'alléger la charge administrative et réglementaire du RGPD (...) grâce à une combinaison de recommandations claires et pratiques (...), une intégration accrue d'une approche fondée sur les risques et, éventuellement, des améliorations législatives limitées et ciblées ».
Toutes les délégations ne sont cependant pas d'accord sur le degré de modification à apporter au texte. La majorité des pays membres se montrent favorables à ce que la Commission apporte des orientations et des lignes directrices, assure une interprétation harmonisée des principes du RGPD, offre des outils d'aide directe aux entreprises et clarifie l'articulation du règlement avec d'autres textes législatifs.
Mais les Vingt-Sept sont divisés sur la question des ajustements directs au règlement. Trois groupes s'opposent : les premiers s'y montrent réticents, avec comme arguments l'impact de telles modifications sur le degré de protection des données européennes.
Un second groupe a indiqué sa volonté « d'examiner les futures propositions en fonction des justifications qui les accompagnent ». Enfin, un troisième groupe de pays, plus enclins à modifier le texte, a suggéré des propositions concrètes « pour des modifications limitées et ciblées ».
Parmi ces modifications, on retrouve l'exemption de rapportage (reporting) pour les cas de traitement de données qui ne sont pas considérés comme « à risque », la clarification de certaines définitions, notamment pour l'Article 9 sur le traitement des données à caractère sensible, ou l'articulation entre la pseudonymisation des données et l'anonymisation complète (EUROPE 13702/24).
Le paquet de simplification numérique, présenté par la Commission le 19 novembre, propose plusieurs ajustements aux Articles 4 et 9 du RGPD, intègre des exemptions pour l'intelligence artificielle et ajoute d'autres mesures sur le droit d’accès aux données et l’extension du délai de notification des fuites.
Ces propositions promettent de faire l'objet de vifs débats dans la suite du processus législatif. Plusieurs pays, comme la Slovénie, l’Estonie ou l’Autriche, ont déjà fait savoir qu'à leurs yeux, le RGPD ne « nécessite aucune modification supplémentaire pour le moment » (EUROPE 13750/21).
Voir le document : https://aeur.eu/f/jk6 (Isalia Stieffatre)