L’Europe veut revoir les règles du RGPD pour les dossiers transfrontaliers, le projet ne plait pas à tout le monde
Clarification des procédures, obfuscation des dossiers
Le 07 juillet 2023 à 06h47
8 min
Droit
Droit
En début de semaine, la Commission européenne a proposé de réformer le RGPD en modifiant la façon dont les CNIL européennes interagissent quand un dossier concerne plusieurs d'entre elles. Certaines associations dénoncent un déséquilibre entre plaignants et entreprises.
Mardi 4 juillet, la Commission européenne a publié sa proposition [PDF en français] de nouvelles règles pour « renforcer l'application du RGPD dans les situations transfrontalières ». Ce qu'elle appelle « situations transfrontalières », dans le cadre du RGPD, ce sont les dossiers de contentieux qui concernent les CNIL de plusieurs pays. Cela concerne soit les traitements de données « par une entreprise disposant de plusieurs établissements dans plusieurs États européens », soit ceux « d’une entreprise établie dans un seul État, mais [qui] affectent sensiblement des personnes d’au moins un autre État membre ».
Elle propose dans ce texte de modifier la façon dont ces dossiers sont gérés entre autorités de protection des données. Dans sa foire aux questions, la Commission prend bien soin de préciser que cela ne modifie pas les règles en vigueur : « Le RGPD fonctionne. Le règlement de procédure de la Commission ne porte atteinte à aucun élément substantiel du RGPD, comme les droits des personnes concernées ou les obligations des responsables du traitement et des sous-traitants, pas plus qu'aux motifs licites de traitement des données à caractère personnel énoncés dans le RGPD ».
Une procédure actuelle lente et conflictuelle
Certaines CNIL et ONG fustigent régulièrement la lenteur des échanges entre autorités dans la gestion de ces dossiers, notamment quand il s'agit de cas de grandes multinationales comme les GAFAM.
Mais, d'un autre côté, d'autres autorités de régulation (qui sont aussi celles qui font trainer les dossiers), et notamment l'irlandaise Data Protection Commission (DPC), mettent la pression sur le Comité européen de la protection des données (CEPD, ou en anglais European Data Protection Board, EDPB) pour garder leur indépendance.
La DPC a même menacé en janvier dernier d'attaquer le CEPD devant la Cour de justice européenne, considérant qu'il outrepassait ses droits en lui ordonnant de mener une nouvelle enquête dans le dossier du traitement illégal par Meta des données des utilisateurs pour la publicité personnelle.
Dans ce contexte, la commission assure vouloir simplifier ce processus, mais des associations pointent la création d'un déséquilibre entre utilisateurs et entreprises dans l'accès à la procédure.
Ces autorités de protection des données sont chargées d'appliquer le RGPD depuis son application en mai 2018. Tant que le plaignant et l'entreprise concernée sont dans le même pays, tout est simple : le dossier est instruit par la CNIL locale qui est chargée de faire respecter le règlement tout en prenant en compte la transposition nationale.
Lorsque les deux parties du dossier ne dépendent pas de la même autorité, il est facile de réaliser que des conflits peuvent naître entre autorités pour savoir qui est référent. Le RGPD a prévu à l'origine un système décentralisé « à guichet unique » : l'autorité qui instruit le dossier (dite « cheffe de file ») est celle dont dépend l'entreprise (là où son établissement principal ou celui de son sous-traitant est situé).
Elle doit coopérer avec les autres autorités concernées « en s’efforçant de parvenir à un consensus grâce à un dialogue mené dans un esprit de coopération loyale et efficace » comme l'explique la Commission. S'il y a litige entre les différentes autorités concernées, l'une d'entre elles peut saisir le CEPD (réunissant toutes les autorités) qui tranche. Mais, le détail des procédures de ce mécanisme a été laissé à l'appréciation des différents états et autorités. Ce flou permet à chacun de voir midi à sa porte et entraine une lenteur de la procédure.
Une proposition de clarification par la Commission
Après avoir consulté les différents acteurs et notamment le CEPD, qui a produit une liste [PDF] des aspects de procédure qui pourraient être davantage harmonisés, la Commission propose donc d'établir des règles communes pour le bon traitement de ces dossiers « transfrontaliers ».
Du côté des plaignants, la commission veut imposer aux autorités de protection des données d'avoir un formulaire de plainte type unifié. « Aucune autre information ne doit être exigée pour qu’une réclamation soit recevable », affirme son texte.
Ce serait à l'autorité auprès de laquelle la réclamation a été introduite qui aurait seule la charge d'évaluer l'exhaustivité du dossier. Le texte donne aussi des dates limites d'accusé de réception et d'étude de cette exhaustivité. La commission demande que cette autorité à laquelle a été confié la plainte d'évaluer la gravité de la violation alléguée, s'il peut exister une mesure réparatoire et sa « nature systémique ou répétitive ».
Le texte précise qu'un règlement à l'amiable peut avoir lieu entre l’auteur de la réclamation et l'entreprise ou les entreprises visées. C'est l'autorité qui juge si cet accord a été trouvé, l'auteur de la réclamation ayant un mois pour contester.
Le texte détaille ensuite la coopération entre l'autorité « cheffe de file » qui va mener l'enquête et les autres autorités concernées, notamment avec l'établissement d'un résumé des points essentiels (faits pertinents, appréciations juridiques et techniques, mesures correctrices envisagées... ) qui pourra faire l'objet d'observations dans un délai fixé. Le texte fixe aussi la façon dont devraient se dérouler les discussions entre autorités lors de l'établissement du consensus. Il détaille aussi le mécanisme de règlement des litiges entre les différentes autorités au sein du CEPD.
Droit d'être entendu pour tous, pas forcément d’accéder au dossier
La Commission fixe, dans sa proposition de texte, un droit d'être entendu pour l'auteur de la réclamation avant son rejet (partiel ou total). Celui-ci pourra, selon ce texte, accéder aux documents sur lesquels se fonde la proposition de rejet de la réclamation. Mais ce sera une version « non confidentielle » à laquelle il pourra accéder.
Si la plainte n'est pas rejetée, l'enquête est menée par l'autorité «cheffe de file », avec concertation des autres autorités. Le plaignant et l'entreprise faisant l'objet de l'enquête recevront les conclusions préliminaires et pourront y répondre. Mais l'entreprise pourra aussi être réentendue sur le projet de décision révisé, contrairement à l'auteur de la plainte.
Le gros nœud du problème réside aussi dans l'accès au dossier administratif de l'enquête. Le texte prévoit de donner cet accès aux seules « parties faisant l’objet de l’enquête » (à l'exception des discussions entre les autorités). L'auteur de la réclamation ne pourra donc donner son avis qu'en se basant sur les conclusions préliminaires qui lui seront transmises, sans accéder aux différentes pièces et réponses de l'entreprise visée.
noyb monte au créneau
L'association noyb pointe ici, dans un communiqué, un déséquilibre. « Alors que les citoyens ne seront entendus que de manière minimale, le projet prévoit de nombreux droits pour les entreprises : elles sont entendues tout au long de la procédure et ont accès aux dossiers. Cela pourrait conduire à cimenter les problèmes existants devant des régulateurs opaques tels que le DPC plutôt qu'à les résoudre ».
L'association considère que l'approche de la Commission n'est pas la bonne, expliquant que « lorsqu'elle tente de résoudre les problèmes, la Commission ne cherche qu'à combler les lacunes individuelles du système, qui sont apparues dans les premières affaires importantes entre le DPC irlandais et ses homologues européens [...] la Commission n'adopte pas une approche systématique [...] ».
noyb avait d'ailleurs prévenu avec 25 autres associations (dont ARTICLE 19, Irish Council for Civil Liberties, Politiscope) mi-juin. Celles-ci avaient demandé au cabinet d'avocats bruxellois Timelex d'étudier le projet de proposition de la Commission. Le cabinet soulignait dans ces conclusions [PDF] le besoin de reconnaître le plaignant comme une partie à part entière pour que le principe d'égalité de traitement soit respecté et affirmait que limiter son droit d'être entendu créerait une incertitude juridique.
Les associations pointent aussi l'absence d'étude d'impact. Dans sa proposition, la commission balaie ce besoin, affirmant que son texte n'aurait pour « seule incidence d’améliorer le fonctionnement de la procédure d’application transfrontalière définie par le RGPD ».
L’Europe veut revoir les règles du RGPD pour les dossiers transfrontaliers, le projet ne plait pas à tout le monde
-
Une procédure actuelle lente et conflictuelle
-
Une proposition de clarification par la Commission
-
Droit d'être entendu pour tous, pas forcément d’accéder au dossier
-
noyb monte au créneau
Commentaires (12)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/07/2023 à 08h22
il faudrait une sorte une sorte de bureau qui serait autorisé à faire des investigations dans tous les états.
Hmm… Ca me rappelle un truc.
Le 07/07/2023 à 09h29
Le FBI ? Interpol ?
Le 07/07/2023 à 09h17
Pour le moment, la commission est plutôt en mode ‘le citoyen n’a pas à savoir’, c’est plutôt inquiétant.
Le 07/07/2023 à 09h50
FBI, DEA, CBP…
Avoir des agences qui ont une compétence inter-états pose invariablement la question de définir l’autorité supérieure dont elles dépendent. Le fameux “Qui gardera les gardiens ?”
Les USA sont une fédération d’état et ils ont réglé le problème avec des institutions qui sont au-dessus des états (dans le cas qui nous intéresse, c’est le DoJ).
Si on veut le même genre de fonctionnement, il faut devenir des “Etats Unis d’Europe”. Et donc accepter de renoncer à nos états-nations et aller vers des états fédérés au sein d’une seule nation.
Le 07/07/2023 à 10h51
La question est de savoir si toutes les règles valent pour tout le monde où si, comme pour d’autres sujet, un état peut choisir quelles règles de l’U.E. il décide de saborder en mode cause toujours. Surtout quand cette position crée une distorsion supplémentaire au marché.
Après, je suis tout à fait pour un label de qualité “Not hosted in Ireland - Privacy friendly” apposé sur les sites web pour montrer qu’on embrouille pas le monde avec la DPC
Le 07/07/2023 à 11h28
Interdit aux chiens et aux Irlandais
Le 07/07/2023 à 12h43
Euh, non, ça c’est limite haineux… moi je propose juste de montrer qu’on les vois magouiller et que le coup de faire une loi pénalisant le partage d’information sur les dossiers de la DPC doit leur porter atteinte au niveau crédibilité.
Le 07/07/2023 à 13h20
du “name and shame” à la stigmatisation haineuse, il n’y a pas loin.
Notre gouvt actuel semble d’ailleurs s’orienter vers cette voie.
Le 07/07/2023 à 13h44
Quand un pays fait un truc honteux au détriment de l’ensemble des citoyens européens, ce n’est pas du ‘name and shame’, c’est de l’autodéfense face à un tireur-au-cul.
Ils forcent l’opacité, on leur met juste le spot dans la gueule.
Le 07/07/2023 à 21h55
moi je dis je suis d’accord
vous vous dites: on s’en fout
mais franchement arrivera-t-il 1 jour où il n’y aura plus d’hypocrisie étatique? (pas beau mais désolé je ne sais faire mieux)
Le 09/07/2023 à 00h30
Ils veulent pas sortir d’UE aussi par hasard ?
Le 13/07/2023 à 09h37
Ben non, d’un point de vue géopolitique, ce serait une catastrophe pour eux..
Et vu la volonté actuelle de la commission pour faire rentrer les pays dans le rang quand il y en a un qui fait le malin, l’Irelande a tout à gagner en continuant son dumping social et son dumping de la vie privée.