RGPD : la Commission européenne veut harmoniser le traitement des dossiers transfrontaliers
Le 4 juillet 2023, la Commission européenne a proposé une « nouvelle législation » visant à renforcer l’application du RGPD dans les situations transfrontalières. Elle doit harmoniser la collaboration entre la CNIL et ses équivalents européens tout en donnant plus de droits au chapitre aux entreprises ciblées par des réclamations et à leurs auteurs. Les observateurs ne sont pas encore convaincus.
Pour donner suite à un rapport publié en 2020 et des consultations réalisées auprès de différentes parties prenantes en 2022, la Commission européenne souhaite conférer « des droits communs aux auteurs de réclamations » afin qu’ils puissent être entendus dans les situations dans lesquelles leur plainte est rejetée et de « les associer comme il convient à l’enquête ».
Renforcer la collaboration entre les autorités de protection de données
Les organismes qui font l’objet d’une enquête pourraient bénéficier « d’un droit d’écoute à des étapes clés de la procédure » par le comité européen de la protection des données (CEPD). De plus, la Commission souhaite que les parties (responsables du traitement et sous-traitants) puissent accéder au dossier administratif constitué par l’autorité local de protection des données (APD), dont la CNIL, dossier dont le contenu devra être clarifié.
Enfin, il s’agit de « rationaliser la coopération et le règlement des litiges », en favorisant la transmission « précoce » des avis des autorités locales, ainsi que l’utilisation des « outils de coopération prévus par le RGPD » pour accélérer le traitement des dossiers transfrontaliers.
La Commission européenne mise sur la révision de deux articles du RGPD
Concrètement, il s’agit de modifier ou renforcer les éléments décrits dans les articles 60 et 65 de la réglementation générale contre la protection des données personnelles. L’article 60 « du RGPD expose les grandes lignes de la procédure de coopération. Dans les situations transfrontalières, les APD sont tenues d’échanger toute “information utile” en s’efforçant de parvenir à un consensus ». L’article 60 encadre les articles 61 (« assistance mutuelle »), 62 (« opérations conjointes des autorités de contrôles ») et 63 (« mécanisme de contrôle de la cohérence »).
Or la CE considère que cet article 60 fait l’objet d’interprétation « divergente » par les autorités locales. « Ces approches divergentes ne sont pas toujours compatibles avec la procédure prévue à l’article 60 du RGPD, qui repose sur la prémisse que les parties faisant l’objet de l’enquête ont exercé leurs droits procéduraux avant que le projet de décision ne soit présenté par l’APD cheffe de file », écrit-elle.
L’article 65 définit le règlement des litiges par le comité européen de la protection des données quand l’autorité cheffe de fil, celle qui instruit l’enquête et ses consœurs, ne tombe pas d’accord sur un cas spécifique ou quand il y a mésentente concernant la responsabilité de l’instruction.
La CE porte ici deux griefs. Premièrement, l’application de l’article 65 « devait être réservée aux situations exceptionnelles dans lesquelles la coopération loyale entre APD n’a pas débouché sur un consensus », peut-on lire dans la proposition. « Le bilan de l’application du RGPD dans les situations transfrontalières montre qu’ “avant la soumission d’un projet de décision” par l’APD cheffe de file, la coopération entre les APD est insuffisante ».
Deuxièmement, « la mesure dans laquelle les parties faisant l’objet de l’enquête doivent être entendues au cours du processus de règlement du litige par le comité prévu à l’article 65 manque de clarté ».
Ici, la CE exprime obséquieusement le fait que l’article 65 ne mentionne aucun droit d’écoute au CEPD des responsables de traitement et des sous-traitants lors de la procédure de litige. L’alinéa 6 de l’article définit simplement la manière dont la décision prise par le CEPD en conjonction avec les autorités de contrôle est communiquée aux parties.
Pour rappel, les associations, dont NOYB (None of Your Business) fondée par le désormais célèbre avocat Max Shrems, ont pointé du doigt à plusieurs reprises un manque de coopération entre les autorités et une trop grande diversité des pratiques. La Commission européenne fait donc le même constat.
« Les autorités chargées de la protection des données opèrent dans le cadre de systèmes nationaux différents, ce qui entraîne une mise en œuvre disparate du RGPD », constate Isabelle Roccia, directrice Europe de l’International Association of Privacy Professionnals (IAPP), dans un commentaire envoyé à la presse.
NOYB craint une minimisation des droits des usagers
De prime abord, la proposition de la CE semble aller dans le sens des remarques du monde associatif.
En 2021, NOYB notait la « lenteur de la procédure », du dépôt d’une plainte jusqu’à la notification d’une délibération. En France, les 13 délibérations rendues publiques à la suite de sanctions consultées par LeMagIT tendent à démontrer que la durée moyenne de ce processus est de deux ans. Elle est plutôt de trois ans quand plusieurs autorités locales interviennent.
« La résolution des divergences procédurales pourrait rendre l’application transfrontalière du RGPD plus coordonnée, harmonisée, transparente et prévisible pour les personnes concernées et les organisations », espère Isabelle Roccia.
Dans certains pays comme la France et la Suède, NOYB fait également part de l’impossibilité pour les plaignants de se constituer partie lors d’une procédure et de consulter le dossier administratif, même lorsqu’il est question de porter un recours devant le Conseil d’État.
De fait, il n’existe pas de plaignants, mais des « auteurs de réclamation », selon le texte du RGPD. Outre la formalisation des réclamations, dans le cadre de la nouvelle proposition, ceux-ci « auront la possibilité de présenter par écrit leurs observations sur les conclusions préliminaires » des APD.
Pour autant, la proposition de la CE ne vise pas à faciliter l’accès au dossier aux auteurs de la réclamation. Selon la Commission européenne, « l’auteur de la réclamation ne devrait pas avoir le droit d’avoir accès généralisé au dossier administratif », pour protéger le secret des affaires ou « d’autres informations confidentielles ». En contrepartie, la proposition envisage « de donner l’accès à une version non confidentielle des documents sur lesquels se fonde » le rejet d’une réclamation.
« Nous espérions une solution, mais il s’agit fondamentalement de transformer une procédure concernant les droits des utilisateurs en une procédure afférant aux droits des entreprises », a fait savoir Max Schrems. « Nous devons étudier la proposition plus en détail, car de nombreux éléments constituent clairement un pas en arrière pour les droits des utilisateurs », ajoute-t-il. Sur Twitter, l’avocat se montre plus critique, qualifiant la tentative de Commission de « blague ». « Au lieu de régler les problèmes de manière structurelle, elle [la Commission européenne] tente simplement de combler les lacunes et de priver les utilisateurs de leurs droits. Cela donne plus de pouvoirs aux autorités de protections de données sans aucune échéance. Cela ne répare pas le RGPD ! », s’exclame-t-il.
Cela n’est pour l’instant qu’une proposition qui devra passer la procédure législative ordinaire orchestrée par les organes de l’UE.
« Il conviendra de surveiller les réactions des États membres, qui pourraient être amenés à apporter des modifications importantes à leurs systèmes nationaux, ce qui pourrait avoir des répercussions dans d’autres domaines du droit que celui de la protection des données », précise pour sa part Isabelle Roccia.
Un avis qui va à l’encontre des présuppositions de la Commission. Considérant que la proposition ne porte pas atteinte aux droits des personnes concernées, aux obligations des responsables de traitement et des sous-traitants ni aux « motifs licites » énoncés dans le RGPD, la direction générale de la justice de la CE n’a mené « aucune analyse d’impact ».