Des demandes hétérogènes pour le réexamen du RGPD : divergence de compréhension et d'interprétation du texte
A l’occasion de la présentation des avis des Etats-membres de l’Union européenne dans le cadre des rapports sur l’évaluation et le réexamen du RGPD, Datacy vous propose une synthèse des premiers retours d’expérience des Etats-membres sur la mise en place pratique du RGPD au sein de l’UE.
Conformément aux dispositions de l’article 97 du RGPD intitulé « Rapports de la Commission », la Commission présentera au Parlement européen et au Conseil un rapport sur l’évaluation et le réexamen du RGPD (au plus tard le 25 mai 2020, puis tous les 4 ans).
Ont notamment été évalués :
- les transferts de données vers des pays en dehors de l’UE et les décisions d’adéquation ;
- la coopération et de cohérence entre les autorités de contrôles et les Etats-membres de l’UE.
La Commission peut ainsi demander des informations aux Etats-membres ainsi qu’aux autorités de contrôle. Elle prendra en compte les positions et les conclusions du Parlement européen, du Conseil ainsi que celles d’autres organismes ou sources pertinentes. L’évolution technologique sera également prise en compte afin de proposer des modifications du RGPD.
C’est dans ce cadre que le secrétariat général du Conseil a publié le 9 octobre 2019 les observations écrites de 19 Etats-membres sur les expériences tirées de l’application du RGPD et leurs premières suggestions concernant les points à inclure dans ce rapport.
La dernière réunion du DAPIX (Groupe "Échange d'informations et protection des données") aura lieu le 5 décembre prochain et la version finale du rapport du Conseil sera présentée d’ici la fin de l’année.
Les observations portent sur les points spécifiques visés à l’article 97 mais également sur d’autres sujets jugés importants.
En effet, ces évaluations et réexamens sont nécessaires dans la mesure où ce règlement a pour double objectif de créer un cadre solide et plus uniforme pour la protection des données dans l’Union et également de générer la confiance qui permettra le développement de l’économie numérique.
19 Etats-membres ont donné leur avis sur les points spécifiques visés à l’article 97 mais également sur quelques points susceptibles de faire l’objet d’améliorations.
La Belgique, Bulgarie, République tchèque, Danemark, Allemagne, Estonie, Irlande, France, Croatie, Lettonie, Lituanie, Luxembourg, Pays-Bas, Autriche, Pologne, Portugal, Roumanie, Slovénie, Suède ont successivement émis leurs avis et fourni les informations qu’ils ont recueillies (lorsque c’était le cas) sur les transferts de données ainsi que sur la coopération et la cohérence.
Ce rapport montre bien l’étendue des difficultés et des points de frictions sur la mise en œuvre pratique des dispositions du RGPD.
Ce qui est remarquable dans ce rapport, c’est la diversité des points abordés par les Etats-membres, l’importance des points relevés ainsi que le détail apporté pour démontrer qu’un point devrait être corrigé.
Cette différence de taille s'explique notamment par une « prise en main » inégale de ce texte par chaque pays en raison de nombreux facteurs : les propres lois nationales, la « culture informatique et libertés » du pays, l’interprétation faite de ces termes, l’implication et le budget accordé, la sensibilisation des personnes et la vulgarisation de l’information.
Toutefois, plusieurs points ont été mis en avant comme :
- L’exception de tenue de registre pour les PME, soulevés par l’Allemagne, les Pays-Bas et des coûts pour les entreprises de la mise en œuvre de cette documentation.
- La protection des données des enfants en ligne : Irlande, France, les Pays-Bas.
- Les problèmes pratiques relatifs à la mise en œuvre de codes de conduite et de mécanismes de certification : la Bulgarie, l’Allemagne, la France, les Pays-Bas, l’Autriche, la Pologne (qui souligne notamment que l’incitation faite par le RGPD n’est pas suffisamment forte).
De manière générale, les problématiques de compétence et de conflit de lois ont été soulevés à l’occasion des traitements transfrontières de données personnelles.
Ont également été soulevés des incompréhensions concernant des points et notions spécifiques du texte comme par exemple les notions de responsables de traitement et de sous-traitant.
Par ailleurs, des demandes spécifiques ont été formulées sur :
- Le traitement des données sensibles dans le cadre d’un contrat (République Tchèque) ;
- Les relations entre l’article 6.1 et 9 du RGPD (Allemagne) ;
- La précision des exigences pour le traitement de données sans consentement, article 6.1.f) (Allemagne)
- Le traitement de données pour l’archivage dans l’intérêt public, article 89 (France) ;
- La clarification de « cas échéant », article 23, (Autriche) ;
- Les icônes et la standardisation, article 12.7 et 12.8 (Pologne) ;
- Le retrait de la référence à la sécurité nationale à l’article 23.1 du RGPD (Pologne) ;
- Le droit d’opposition pour les données traitées par les autorités publiques, article 21.1 (Allemagne) ;
- Une clarification sur l’usage des données personnelles rendues publiques (Pologne).
Des points assez surprenants ont aussi été soulevés :
- Dans le cadre du droit d’accès, la personne ne devrait recevoir la copie de ses données seulement si elle en fait la demande explicitement afin d’éviter une charge trop lourde pour les responsables de traitement (Lituanie) ;
- La protection des données personnelles des entrepreneurs, considérant 14 du RGPD (Pologne).
De plus, des propositions ont été émises afin d’harmoniser la compréhension du RGPD, comme par exemple :
- La publication en ligne de cas concrets d’études afin que les solutions apportées puissent bénéficier aux autres Etats-membres ;
- La publication d’une liste de traitement exemptés de PIA de la part de l’EDPB ;
- Le privacy-by-design et privacy-by-default
- Une meilleure harmonisation des amendes administratives (à des fins d’évitement de forum shopping).
L’émergence des nouvelles techniques de type biométrie et blockchain sont également au cœur des préoccupations pour la République tchèque, les Pays-Bas (qui ont notamment développé ce point de manière approfondie) et la Pologne.
Les Pays-Bas ont également proposé une liste de pays pouvant prétendre à une décision d’adéquation parmi lesquels : les pays de la Convention 108, Singapour, la Colombie, le Mexique, l’Afrique du Sud, la Serbie, Dubaï International Financial Centre (DIFC).
Le Luxembourg émet quant à lui de nombreuses réserves et relève, qu’à ce stade, il est encore trop tôt pour se prononcer. Le Portugal relève également que les marges de manœuvres laissées aux Etats membres ont pour conséquence un échec de l’harmonisation désirée.
A bientôt 2 ans de l’entrée en application du texte, de nombreuses questions quant à son implémentation pratique subsistent. Une meilleure information entre les autorités de contrôle et le partage de cas d’études sont aussi globalement demandés.
Si des solutions devraient émerger à mesure que les parties prenantes s’approprient les textes et les mécanismes nouvellement créés, il n’en demeure pas moins une forte demande de la part des Etats-membres d’une prise de position et de lignes directrices beaucoup plus fortes de la part de l’Union européenne.
Pour lire le texte en son intégralité et version originale