La bataille des données est officiellement ouverte. Dans leur premier compromis sur la partie 'RGPD' du paquet de simplification numérique (EUROPE 13785/2), les Vingt-sept suppriment purement et simplement la définition révisée des données à caractère personnel, telle que l'avait modifiée la Commission dans sa proposition. Ils abrogent également le nouvel article 41(a), sur le recours à la pseudonymisation des données.
En supprimant les deux principales modifications proposées par la Commission, les États membres enterrent de facto la volonté de simplification de l'institution et la réouverture, même ciblée, du RGPD.
Dans les rares ajouts apportés au texte, les Vingt-sept réinstaurent des garde-fous plus importants pour la sauvegarde des droits fondamentaux et de la vie privée et renforcent certaines missions du Comité européen de la protection des données (CEPD, EDPB).
Concernant la pseudonymisation des données, le compromis charge le comité « d'émettre des lignes directrices, des recommandations et des bonnes pratiques en matière de pseudonymisation, de clarifier les circonstances dans lesquelles une personne physique est identifiable et les moyens raisonnablement susceptibles d'être utilisés pour identifier une personne physique et de préciser les moyens et les critères permettant de déterminer si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ».
Une façon de passer outre les justifications juridiques de la Commission sur la question (EUROPE 13702/24), qui ne semblent pas avoir convaincu les États membres.
Ce virage à 180 degrés n'est pas une grande surprise. Plusieurs délégations avaient émis des doutes importants à l'idée de modifier cette partie de la législation, en estimant qu'une telle révision constituait un « changement substantiel » du RGPD (EUROPE 13756/20).
Consciente des écueils auxquels allaient se heurter les négociations, la Présidence chypriote du Conseil de l'UE avait émis une note de travail en amont pour tenter de clarifier les attentes des États membres les plus réticents et rassurer ceux qui s'inquiètent d'une réouverture large du règlement. Force est de constater que la frilosité des Vingt-sept est intacte.
Le compromis actuel vide de sa substance la proposition de la Commission et rend visiblement caduque sa volonté de réviser le RGPD. L'enjeu du règlement, vu par beaucoup comme la pierre angulaire du cadre de protection des données de l'Union, semble trop grand : le projet de simplification numérique européen pourrait trouver ici sa limite.
Voir le compromis : https://aeur.eu/f/kur (Isalia Stieffatre)