Il y a peu, nous revenions sur l’épineux sujet de la simplification du RGPD. Le règlement général sur la protection des données (RGPD) est un cadre très ambitieux, destiné à sanctuariser les données personnelles en Europe. Toutes les entreprises souhaitant commercialiser des biens et services (numériques ou non) sont obligées de s’y conformer, dès lors qu’elles manipulent des données personnelles, donc permettant l’identification. Et ce, qu’il s’agisse d’identification directe (coordonnées) ou indirecte (numéro, identifiant…). C’est également vrai de toute structure, publique ou privée, comme les associations et administrations.

• RGPD : l’épineux sujet de la simplification

Comme nous l’indiquions, on trouve principalement deux reproches contre le RGPD. D’une part, un manque d’accompagnement dans son application. Un problème très criant les premières années, d’autant que le règlement est imposant et que sa mise en œuvre dans les entreprises soulevait beaucoup de questions. Situation amplifiée par le manque de budget, toutes les structures n’ayant pas, par exemple, les fonds nécessaires pour ouvrir un poste de délégué à la protection des données (DPD). D’autre part, le manque de cohérence dans son application entre les États membres.

L’Omnibus IV simplifie quelques procédures

Dans son Omnibus IV (un véhicule législatif réunissant plusieurs modifications de textes existants) publié hier soir, la Commission européenne a confirmé la simplification envisagée il y a quelques semaines. Jusqu’à présent, les entreprises de moins de 250 employés étaient ainsi exemptées de certaines procédures, dont la tenue d’un registre des traitements opérés sur les données personnelles (article 30 du RGPD).

La Commission réfléchissait à relever ce plafond aux entreprises de moins de 500 personnes et ne dépassant pas un certain seuil. Dans les mesures présentées hier soir, ces exemptions seront généralisées à toutes les structures de moins de 750 personnes dont le chiffre d’affaires annuel net ne dépasse pas 150 millions d’euros. Pour celles-ci, nul besoin en outre de préparer des évaluations d’impact sur la vie privée.

Seule exception : les traitements susceptibles d’entrainer un « risque élevé » pour les droits et libertés des personnes concernées, comme défini à l’article 35. Ce qui suppose quand même un minimum de préparation et d’étude d’impact, ne serait-ce que pour savoir si les traitements entreront dans cette catégorie, ce qui est vérifié avec l’autorité de contrôle (la CNIL en France).

Simplification ou…

Si le sujet fait autant débat, c’est que le RGPD cristallise les tensions sur la manière qu’a l’Europe de réglementer. Le RGPD est à la fois un phare sur la thématique de la protection des données personnelles et, pour certains, l’exemple concret d’un cadre trop complexe pour être appliqué de manière uniforme, chaque autorité nationale de contrôle ayant sa propre interprétation.

Ainsi, pour Politico, ce n’est rien moins qu’une « fissure » dans le RGPD qui commence, considérant que l’époque où cette loi était considérée comme intouchable était maintenant « révolue ». Le RGPD serait ainsi « victime de la démarche de la Commission européenne visant à réduire les formalités administratives et à "simplifier" la législation de l'UE au profit des entreprises et de la croissance ». En cela, la Commission suivrait simplement les recettes dictées par le rapport Draghi, pour qui le RGPD entrave l’innovation et empêche l’Europe de se hisser au niveau des États-Unis et de la Chine.

Nos confrères y voient un intense lobbying ayant porté ses fruits, et ce ne sont pas les récentes prises de parole de Google et Meta sur la publicité personnalisée qui viendront contredire le message (nous allons revenir sur ce sujet dans une actualité dédiée).

Pour autant, et comme le rappelle Politico, la Commission avait prévu ces critiques et a affirmé que seules quelques règles étaient retouchées, assouplissant certaines exigences sur des rapports, sans toucher au cœur du RGPD.

Au contraire de Politico, la CCIA (Computer & Communications Industry Association, le lobby étatsunien des entreprises de la tech') déplore le peu d'ampleur des mesures. Elle évoque un « soulagement limité [...] loin de résoudre les problèmes structurels plus profonds qui affectent le cadre de protection des données de l'UE ».

Selon la CCIA, cet allègement des charges ne toucherait que 0,2 % des entreprises européennes. Impossible dans ces conditions de renforcer « de manière significative la compétitivité numérique déclinante de l'Europe ». La CCIA pointe également le manque de cohérence des procédures en Europe. Et elle n'est pas la seule.

… complexification ?

L’association noyb, qui se montrait déjà très critique il y a deux semaines, a ainsi communiqué de nouveau mardi soir. Dans un billet intitulé « L'UE va rendre les procédures RGPD inapplicables », l’association fondée par Max Schrems, c’est toute l’application du texte qui sera compromise par « des délais trop longs et des procédures trop complexes ».

Au cœur du problème, selon noyb, l’incapacité de la Commission à mettre tout le monde d’accord sur l’aspect procédural. Les procédures actuelles, qui peuvent durer près d’un an, étaient estimées trop longues par le Parlement européen, qui souhaitait donc poser un maximum de 3 mois. Problème, selon les pays, la procédure initiale dure entre 3 et 6 mois.

« D'après ce que nous avons entendu, il n'y a pas d'accord définitif sur les délais. Cependant, les délais déjà convenus s'élèvent à 7 mois pour planifier une procédure RGPD et à 4 mois pour rendre une décision. Si l'on tient compte du fait qu'une enquête doit également être menée, on peut parler de 2 à 3 ans pour une décision », a indiqué Max Schrems dans le billet. De plus, l’application de ce changement mettra du temps, puisque la période de transition sera de 18 mois, à compter de la publication du nouveau règlement, prévue pour fin 2026 ou début 2027.

Les utilisateurs seraient systématiquement désavantagés

noyb tire donc à boulets rouges contre cette nouvelle version, que l’association estime être aux antipodes de la volonté de simplification. Comme elle l’indiquait avec ses fameux graphiques il y a deux semaines, « de nombreuses étapes supplémentaires sont ajoutées à la procédure » et de nombreux documents doivent être émis en plusieurs exemplaires.

De fait, toute procédure prendrait plus de temps et couterait plus cher. Un problème qui serait accentué pour les utilisateurs car le nouveau texte favoriserait les entreprises « par d'innombrables petites différences ». noyb donne un exemple : lors d’une procédure, une entreprise peut contacter son autorité chef de file pour obtenir tous les documents nécessaires, tandis qu’un utilisateur devrait se les faire livrer depuis l’étranger, et sans forcément savoir qu’ils existent. De même, les entreprises peuvent être « entendues » alors que les utilisateurs ne peuvent envoyer qu’une déclaration écrite.

Selon Max Schrems, qui examine cette situation depuis deux ans, la plupart des problèmes soulevés avaient été traités par le Parlement. Ce dernier avait apporté des solutions qui, si elles n’étaient pas parfaites, avaient le mérite de traiter les principaux problèmes structurels. Mais le Parlement aurait reculé dans les négociations avec les États membres et la Commission.

« Le Parlement européen a totalement abandonné ses positions fondamentales. Il ne reste que de minuscules traces de leurs versions originales. C'est extrêmement étrange, étant donné que le principal négociateur du Parlement est un membre du Parti Pirate et un membre du Groupe des Verts – qui sont censés être de fervents défenseurs des droits des utilisateurs. Au cours des négociations de ces derniers mois, nous avons eu le sentiment général que personne ne se souciait de ce dossier. Le résultat en est le reflet absolu », a déclaré Max Schrems.

Dans le contexte actuel, celui par qui le cadre d’échange des données entre l’Europe et les États-Unis est tombé deux fois, étudie la possibilité d’un recours en annulation si le règlement est adopté dans sa forme actuelle. Il estime que ses lacunes sont telles « que la Cour de justice pourrait être amenée à l'annuler ».