Moins urgent techniquement, mais tout aussi sensible politiquement – voire plus – que la révision du règlement sur l'intelligence artificielle (EUROPE 13784/5), le paquet de simplification du règlement européen sur la protection des données (RGPD) sera pour la première fois sur la table des discussions de travail entre délégations, vendredi 16 janvier, sous l'égide de la Présidence chypriote du Conseil de l'UE.
Dans cette perspective, Nicosie a préparé une note de travail, qu'Agence Europe a pu consulter, destinée à la réunion du groupe Antici sur la simplification. Pour baliser le terrain, la Présidence chypriote du Conseil pose plusieurs questions ouvertes sur les objectifs du paquet de simplification, notamment pour clarifier les attentes des États membres les plus réticents (EUROPE 13756/20).
Selon plusieurs sources chypriotes, l'objectif principal, à ce stade des discussions, est d'assurer une bonne compréhension des enjeux du nouveau texte : celui-ci ne rouvre pas le RGPD dans son ensemble et il n'est pas question de dérégulation dans les modifications souhaitées par la Commission.
Prenant en compte les retours préalables des États membres, émis sous la Présidence danoise du Conseil (EUROPE 13750/21), la note met l'accent sur les deux changements les plus controversés du RGPD : les modifications apportées à la définition des données personnelles, avec l'amendement à l'Article 4, ainsi que le recours à la pseudonymisation des données, par l'ajout d'un nouvel Article 41(a).
Plusieurs délégations avaient émis des réserves sur ces modifications, que la Commission justifie en se basant sur un arrêt récent de la CJUE, qui avait confirmé que la pseudonymisation des données peut effectivement les alléger de leur caractère personnel, du moment que celles-ci sont légitimement anonymisées (EUROPE 13702/24).
Pour certains pays, ces changements posent des questions en termes de continuité et de responsabilité dans des cadres d'utilisation de plusieurs processeurs/sous-processeurs dans des secteurs à fort échange de données, tels que la publicité en ligne, et constituent un « changement substantiel » du RGPD.
La Présidence chypriote du Conseil de l'UE demande aux États membres de choisir parmi trois options pour traiter ces questions : continuer les discussions pour aboutir à une « formulation appropriée qui prenne en compte les incidences en termes de mise en œuvre d'application » ; garder la définition des données personnelles telle quelle dans le RGPD, mais « poursuivre les discussions sur les moyens de traiter la pseudonymisation par le biais de dispositions législatives » ; ne rien modifier dans le règlement.
En parallèle, les délégations sont également invitées à donner leur avis sur le nouvel Article 88a, relatif à la « fatigue du consentement » qui révise les règles relatives aux cookies, en les intégrant dans le RGPD et en élargissant le champ des exemptions.
Malgré son périmètre limité, cette révision ciblée du RGPD pourrait se heurter à de fortes résistances. Plusieurs ONG, eurodéputés et certains États membres y voient un précédent risqué et redoutent qu’un assouplissement au nom de la compétitivité ouvre la voie à une dilution progressive des garanties en matière de protection des données personnelles (EUROPE 13757/9).
La Présidence chypriote du Conseil de l'UE espère obtenir un mandat de négociation final fin juin, selon plusieurs sources. (Isalia Stieffatre)