Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Le Conseil de l’UE considère le règlement général sur la protection des données comme un « succès », et préconise une « évaluation globale et exhaustive » plutôt qu’à une « réforme » du RGPD.

Le RGPD « continue d’être un succès »

« Le RGPD continue d’être un succès. Le règlement a permis des améliorations concernant l’harmonisation du droit de l’UE et un renforcement d’une culture de la protection des données au niveau de l’UE et au niveau mondial », précise le Conseil dans un bilan adopté par le Comité des représentants permanents (Coreper) consulté par Euractiv.

Il reconnaît que le RGPD a « contribué au renforcement de la confiance et la sécurité juridique » et que « les nombreuses plaintes » déposées au cours des cinq dernières années au titre du RGPD « montrent que le règlement a effectivement permis aux citoyens d’exercer leurs droits » en matière de protection des données. Le RGPD est pour rappel entré en application en mai 2018.

• Le RGPD entre en application : 10 questions, 10 réponses

Les États membres reconnaissent de leur côté que les « décisions d’adéquation des données » ont « contribué à faire du RGPD la référence mondiale en matière de protection des données », relève Euractiv.

Des amendes pour plusieurs milliards d’euros

Au début de l’année, la Commission nationale de l'informatique et des libertés faisait le bilan des sanctions prononcées depuis que le règlement est en vigueur : « Au niveau européen, […] les amendes prononcées par les autorités de protection des données sur la base de ce texte dépassent le montant total de 2,5 milliards d’euros ».

La CNIL à elle seule avait « prononcé des sanctions pour un montant cumulé d’un peu plus d’un demi-milliard d’euros pour des manquements commis tant au RGPD qu’à la directive ePrivacy (cookies) ». Google arrive en tête avec plus de 300 millions d’euros.

Une charge de travail supplémentaire significative

Pour autant, le Conseil souligne plusieurs « défis pratiques de mise en œuvre » pour les organisations publiques et privées, et appelle à des « clarifications supplémentaires », ainsi qu’à une « stratégie pour les prochaines décisions sur l’adéquation des données ».

Il estime en effet que le RGPD a « entraîné une charge supplémentaire significative pour les PME », en particulier pour ce qui est du traitement des données comportant « un faible niveau de risque », précise Euractiv.

Les États veulent plus d’outils pratiques

Les États membres demandent dès lors des « outils pratiques tels que des modèles types » pour « faciliter la mise en conformité » des petites structures (le terme de « conformité » désignant le fait de parvenir à respecter – et donc de se « conformer » à – la loi, NDLR), entre autres « autres outils de conformité » en matière de certification et de codes de conduite.

Le Conseil estime aussi que le RGPD a « engendré des processus complexes » et des « difficultés d’interprétation », notamment « lorsque des organismes publics s’échangent des données », expliquent nos confrères.

Les États membres soulignent en effet que le processus de mise en conformité « est particulièrement lourd pour les autorités locales », qui peinent en outre à désigner des délégués à la protection des données. Et ce, alors que le droit d’accès aux données à caractère personnel prévu par le RGPD et la base juridique pour les activités de traitement des données ont « entraîné une incertitude juridique ».

Les pays de l’UE souhaitent au surplus que les traitements de données personnelles « à des fins de recherche et d’archivage » soient « précisées, de même que les concepts d’anonymisation et de pseudonymisation », relève Euractiv.

Des effets contrastés dans certains cas

En juin, suite Privacy Research Day de la CNIL, nous pointions des effets contrastés du RGPD. Plusieurs points étaient soulevés, notamment le fait d'augmenter l’effet dissuasif des sanctions. « Il faut que se conformer à la loi vaille quelque chose », expliquait un juriste.

Autre point mis en avant : le flou autour de la notion d’« intérêt légitime ». S’agit-il de celui de l’utilisateur et/ou de celui de l’entreprise ? Il y avait également la question de l’adaptation aux règlements, « souvent, faites au dernier moment ».

On l’a vu avec la période de grâce de deux ans (2016 à 2018), alors que le pic d’activité est arrivé au moment de l’entrée en vigueur du texte. Période de grâce ensuite des autorités de régulation qui ont parfois mis du temps (des années) avant de prononcer des sanctions. Pour les cookies par exemple, la CNIL a attendu… mai 2021.

• • Les effets contrastés du RGPD

• • Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics

Le Conseil demande une évaluation du cadre actuel

Le Conseil réclame également une évaluation du cadre juridique actuel pour déterminer s’il est efficace ou si des orientations supplémentaires seraient nécessaires « pour limiter clairement les activités de profilage et de notation ».

Il demande enfin à la Commission de clarifier les interactions entre le RGPD et les autres législations de l’UE adoptées depuis lors, et notamment le Digital Markets Act (DMA), le Digital Services Act (DSA), le Data Governance Act, le Data Act et l’AI Act en devenir.

• • RGPD, DSA, DMA, Privacy Shield… les DPO sont largués

• • AI Act, DSA, DMA, etc. : la French Tech' peine à suivre le rythme des règlements européens