Les eurodéputés ont adopté mercredi (10 avril) des amendements visant à renforcer l’application du règlement général sur la protection des données (RGPD), mais des parties prenantes ont réclamé d’autres modifications, en particulier en ce qui concerne les droits des plaignants et les questions transfrontalières.
Entré en vigueur en 2018, le RGPD régit la manière dont les données à caractère personnel sont traitées par les organismes sur tout le territoire de l’Union européenne, en insistant sur le droit à la vie privée des individus.
Les amendements au règlement sur les procédures d’application du RGPD adoptés par les eurodéputés mercredi ont pour objectifs de renforcer les droits des plaignants, de clarifier les procédures d’application et de répondre aux préoccupations en matière de procédure. Selon l’eurodéputé allemand et rapporteur du dossier Sergey Lagodinsky (Verts/ALE), cela permettra d’apporter davantage de clarté juridique.
Entre autres, les amendements adoptés au RGPD modifient le rôle des autorités de contrôle et suppriment certaines de leurs obligations en matière de partage des conclusions préliminaires.
Cependant, ces amendements ne sont pas du goût de tous.
Le Parlement a manqué l’occasion de « remédier aux graves lacunes identifiées au niveau de la commission » et n’est pas parvenu à rationaliser les processus d’application du RGPD, comme c’était l’intention initiale de la proposition, estime Constantin Gissler, directeur général de DOT Europe, une association représentant les entreprises de l’Internet en Europe.
Au lieu de cela, les amendements pourraient, « de manière détournée », saper les principes mêmes du RGPD, a-t-il averti.
Ursula Pachl, directrice générale adjointe du Bureau européen des unions de consommateurs (BEUC), a annoncé mercredi dans un communiqué que, bien que la décision du Parlement permette de traiter beaucoup plus rapidement les plaintes relatives au RGPD, « il reste encore beaucoup à faire pour parvenir à un résultat satisfaisant pour les consommateurs qui déposent des plaintes contre une entreprise ».
Dans les cas où les autorités de protection des données traitent de questions transfrontalières, elles devraient disposer de plus de temps pour vérifier le travail de l’autorité de contrôle principale, a-t-elle poursuivi.
Et lorsque différentes autorités ne parviennent pas à se mettre d’accord sur une décision, les personnes qui ont déposé une plainte devraient avoir la possibilité d’être entendues, a fait remarquer Mme Pachl.
Autorité de contrôle
L’un des amendements adoptés autorise les autorités de contrôle, qui sont des organes indépendants établis par chaque État membre, à demander des décisions contraignantes d’urgence au Comité européen de la protection des données (CEPD) en cas de conflit de procédure.
Si une autorité de contrôle cheffe de file ne peut respecter un délai en raison d’enquêtes complexes, elle peut demander une prolongation pouvant aller jusqu’à neuf mois. L’amendement prévoit que les demandes doivent inclure « les faits invoqués et tout élément de preuve dont l’autorité ou la partie dispose », les « motifs juridiques de la demande » et la décision de prolongation du délai que l’autorité ou la partie demande au CEPD. Le Comité doit ensuite statuer dans un délai de deux semaines et ses décisions sont contraignantes.
En vertu d’un autre amendement, les autorités de contrôle peuvent demander des enquêtes d’office lorsqu’elles soupçonnent une violation du RGPD affectant les personnes concernées. L’autorité principale doit approuver la demande d’enquête ou la déléguer à un autre organisme de règlementation. Si l’enquête de l’autorité de contrôle est approuvée, un projet de décision doit être publié dans un délai de neuf mois, bien que des prolongations puissent être accordées.
Les enquêtes d’office permettent aux autorités de régulation d’ouvrir de manière indépendante des enquêtes sur les aides d’État présumées illégales, sans devoir s’appuyer sur des plaintes externes.
Pour Laura Wiesenfeld, responsable politique pour l’Europe au sein de l’association commerciale Information Technology Industry Council (ITI), les amendements votés « menacent la viabilité du mécanisme essentiel de guichet unique du RGPD, réduisent les protections de la confidentialité, restreignent les droits des parties soumises à une enquête et transforment le processus d’application en un processus accusatoire ».
Pour rappel, le principe du guichet unique permet aux entreprises opérant dans plusieurs États membres de l’UE de traiter principalement avec une seule autorité de contrôle en matière de respect de la protection des données.
Suppressions
Les eurodéputés ont également voté sur la suppression de certaines parties d’une disposition qui auraient permis aux plaignants d’avoir accès aux conclusions préliminaires.
Selon la disposition supprimée, l’autorité de contrôle cheffe de file d’une affaire donnée aurait été obligée de partager une version non confidentielle de ses conclusions préliminaires avec la partie plaignante. Elle aurait également fixé un délai pour que cette dernière fournisse des observations écrites formelles sur les conclusions.
Un amendement rejeté aurait exigé que le président du CEPD fournisse un exposé des motifs aux parties faisant l’objet de l’enquête et/ou au plaignant avant de prendre une décision contraignante.
Deux amendements ont également été rejetés lors de la plénière du Parlement. Tous deux concernaient l’établissement de normes procédurales équitables pour le traitement des cas de protection des données, garantissant un traitement impartial et le droit pour les parties d’être entendues avant que les décisions ne soient prises, ainsi que l’accès aux dossiers.
Après le vote, le président de la commission des Libertés civiles, de la Justice et des Affaires intérieures (LIBE) du Parlement, Juan Fernando López Aguilar, a demandé un renvoi en commission pour des négociations institutionnelles.
Le dossier sera poursuivi par le Parlement après les élections de juin.
[Édité par Anne-Sophie Gayet]