Le Conseil de l’UE considère le règlement général sur la protection des données (RGPD) comme un « succès » et préconise une évaluation exhaustive de ce dernier plutôt qu’une réforme.
Cinq ans après l’entrée en vigueur du RGPD, le Conseil l’UE dresse un bilan plutôt positif de la loi. Ce bilan, consulté par Euractiv, a été adopté par le Comité des représentants permanents (Coreper) du Conseil jeudi (23 novembre).
« Le RGPD continue d’être un succès. Le règlement a permis des améliorations concernant l’harmonisation du droit de l’UE et un renforcement d’une culture de la protection des données au niveau de l’UE et au niveau mondial », peut-on lire dans la position du Conseil.
Tout en reconnaissant que le RGPD a contribué au renforcement de la confiance et la sécurité juridique en matière de protection des données, le Conseil souligne plusieurs « défis pratiques de mise en œuvre » pour les organisations publiques et privées et appelle à des clarifications supplémentaires, ainsi qu’à une stratégie pour les prochaines décisions sur l’adéquation des données.
Toutefois, les gouvernements des États membres ont invité la Commission européenne à réaliser « une évaluation globale et exhaustive » de l’application et du fonctionnement du RGPD intégrée au rapport d’examen que l’exécutif européen doit publier l’année prochaine.
Dans son rapport, la Commission devra prendre en compte les conclusions du Conseil de l’UE, du Parlement et de tout autre organe compétent.
Protection des données
La position du Conseil souligne à quel point la protection des données est une « composante essentielle » d’une innovation responsable et à quel point l’approche de neutralité technologique du RGPD a permis à ce dernier de s’adapter aux défis posés par l’évolution des technologies.
Le Conseil met également l’accent sur le fait que les nombreuses plaintes déposées au cours des cinq dernières années au titre du RGPD montrent que le règlement a effectivement permis aux citoyens d’exercer leurs droits en matière de protection des données.
Le Conseil insiste aussi sur le fait que la capacité des autorités nationales à donner suite à ces plaintes reste un aspect nécessaire qui garantit une application cohérente de la loi.
Le secteur privé
Le Conseil note que les organisations privées qui traitent des données à caractère personnel ont progressivement augmenté leurs efforts pour se conformer au règlement. Parallèlement, le mécanisme de guichet unique établi par le RGPD a permis une meilleure sécurité juridique pour les entreprises dans des conditions de concurrence équitables.
Toutefois, les conclusions indiquent que le RGPD a entraîné une charge supplémentaire significative pour les PME, en particulier en ce qui concerne le traitement des données qui comporte un faible niveau de risque.
Dans ce contexte, les États membres demandent des outils pratiques tels que des modèles types pour faciliter la mise en conformité des petites structures. À ce sujet, le document indique que d’autres outils de conformité, tels que la certification et les codes de conduite, seront examinés plus en détail.
Les autorités publiques
Le Conseil a déclaré que le RGPD a engendré des processus complexes et des difficultés d’interprétation, notamment lorsque des organismes publics s’échangent des données.
Les États membres soulignent que le processus de mise en conformité est particulièrement lourd pour les autorités locales, qui ont également du mal à nommer des délégués à la protection des données. Ils invitent donc les autorités chargées de la protection des données à élaborer des outils pratiques et à trouver d’autres moyens de les orienter dans cette direction.
Pour les gouvernements européens, le droit d’accès aux données à caractère personnel prévu par le RGPD et la base juridique pour les activités de traitement des données rendues nécessaires pour se conformer aux obligations légales prévues par la législation européenne ont entraîné une incertitude juridique.
Traitement spécifique des données
Pour le Conseil, les cinq dernières années ont permis d’identifier des activités de traitement spécifiques ou des dispositions connexes du RGPD qui pourraient bénéficier d’une clarification et d’orientations supplémentaires pour garantir une mise en œuvre cohérente, comme c’est le cas pour le traitement des données à caractère personnel des mineurs, par exemple.
Les pays de l’UE souhaitent également que les conditions dans lesquelles les données à caractère personnel peuvent être traitées à des fins de recherche et d’archivage soient précisées, de même que les concepts d’anonymisation et de pseudonymisation.
En outre, le Conseil souligne les risques liés à l’utilisation de données à caractère personnel à des fins de profilage et de notation des personnes. Il demande donc, à ce titre, une évaluation du cadre juridique actuel pour déterminer s’il est efficace ou si des orientations supplémentaires sont nécessaires « pour limiter clairement les activités de profilage et de notation ».
Un mécanisme de coopération
Les États membres considèrent la mise en place du Comité européen de la protection des données (European Data Protection Board, EDPB) et des procédures connexes visant à assurer l’application cohérente du RGPD comme une « avancée », mais notent qu’une mise en œuvre efficace, y compris à l’égard des responsables du traitement des données à grande échelle, est essentielle pour garantir la protection des données à caractère personnel.
Le Conseil souligne également la nécessité d’améliorer l’application du RGPD en s’alignant sur la proposition de la Commission d’harmonisation des procédures administratives.
Transferts internationaux de données
Au niveau international, les pays de l’UE ont noté que les « décisions d’adéquation des données » ont contribué à faire du RGPD la référence mondiale en matière de protection des données.
Grâce à ces « décisions » prévues par le RGPD, la Commission européenne peut établir qu’un pays tiers ou une organisation internationale assure un niveau de protection juridique des données à caractère personnel suffisant pour autoriser les transferts de données entre les États membres et ces tiers.
« Le Conseil invite la Commission européenne à accroître la transparence de son processus d’évaluation et à présenter une stratégie globale et cohérente pour les futures décisions d’adéquation, qui devrait également explorer les possibilités et les avantages des décisions d’adéquation sectorielles ou subnationales », poursuit le texte.
Tout en reconnaissant l’utilité des outils de transfert tels que les clauses contractuelles types, les États membres encouragent l’exploration d’autres options telles que les codes de conduite, les certifications et les règles d’entreprise contraignantes.
Interaction avec les législations nationales et les autres lois de l’UE
Le Conseil estime que les marges laissées aux États membres pour définir le cadre de certaines activités spécifiques de traitement des données, telles que le droit d’accès du public aux documents officiels, constituent une approche efficace.
Parallèlement à cela, le Conseil demande à la Commission de clarifier les interactions entre le RGPD — entré en application en 2018 — et les autres législations de l’UE adoptées par la suite. Il s’agit notamment de la loi sur les marchés numériques (Digital Markets Act, DMA), la loi sur les services numériques (Digital Services Act, DSA), la loi sur la gouvernance des données (Data Governance Act), la loi sur les données (Data Act), mais aussi la loi sur l’IA (AI Act) à venir.
