Aujourd’hui, la Commission propose une nouvelle législation visant à rationaliser la coopération entre les autorités chargées de la protection des données (APD) lors de l’application du règlement général sur la protection des données dans les situations transfrontalières. Le nouveau règlement établira des règles de procédure concrètes à l’intention des autorités lorsqu’elles appliquent le RGPD dans les situations impliquant des particuliers résidant dans plusieurs États membres. Il introduira par exemple une obligation, pour l’autorité de protection des données cheffe de file, d’envoyer un «résumé des points essentiels» à ses homologues, contenant les principaux éléments visés par l’enquête ainsi que son avis sur le dossier, ce qui lui permettra de faire connaître son point de vue à un stade précoce de la procédure. La proposition contribuera à réduire les désaccords et facilitera le consensus entre les autorités dès les premières étapes du processus.
Pour les particuliers, les nouvelles règles clarifieront les informations qu’ils doivent fournir lorsqu’ils introduisent une réclamation et garantiront qu’ils seront dûment associés au processus. Pour les entreprises, elles préciseront leurs droits procéduraux lorsqu’une APD enquête sur une possible violation du RGPD. Les règles permettront donc une résolution plus rapide des affaires, ce qui se traduira par des voies de recours plus rapides pour les particuliers et une sécurité juridique accrue pour les entreprises. Pour les autorités chargées de la protection des données, les nouvelles règles faciliteront la coopération et renforceront l’efficacité de l’application.
Harmonisation des règles de procédure dans les situations transfrontalières
Le nouveau règlement prévoit des règles détaillées afin de contribuer au bon fonctionnement des mécanismes de coopération et de contrôle de la cohérence établis par le RGPD, en harmonisant les règles dans les domaines suivants:
- Droits des auteurs de réclamations: la proposition harmonise les exigences relatives à la recevabilité d’une réclamation transfrontalière, en supprimant les obstacles actuels, dus aux différences entre les règles suivies par les différentes APD. Elle confère des droits communs aux auteurs de réclamations, garantissant qu’ils seront entendus dans les cas où leurs réclamations sont totalement ou partiellement rejetées. Dans les cas où leur réclamation fait l’objet d’une enquête, la proposition régit la manière de les associer comme il convient à l’enquête.
- Droits des parties faisant l’objet d’une enquête (responsables du traitement et sous-traitants): la proposition donne aux parties faisant l’objet de l’enquête le droit d’être entendues à des étapes clés de la procédure, notamment durant la procédure de règlement du litige par le comité européen de la protection des données (CEPD), et clarifie le contenu du dossier administratif ainsi que le droit des parties d’accéder à ce dernier.
- Rationaliser la coopération et le règlement des litiges: conformément à la proposition, les APD pourront donner leur avis à un stade précoce des enquêtes et utiliser tous les outils de coopération prévus par le RGPD, tels que les enquêtes conjointes et l’assistance mutuelle. Ces dispositions renforceront l’influence des APD sur les dossiers transfrontaliers, favoriseront la formation rapide d’un consensus dans le cadre de l’enquête et réduiront les désaccords ultérieurs. La proposition contient des règles détaillées pour faciliter l’achèvement rapide de la procédure de règlement des litiges du RGPD et fixe des délais communs pour la coopération et le règlement des litiges transfrontaliers.
L’harmonisation de ces aspects procéduraux contribuera à l’achèvement des enquêtes en temps utile et à la mise en place de voies de recours rapides pour les particuliers.
Contexte
Comme nous l’avons vu, le RGPD fonctionne. Le règlement de la Commission ne porte atteinte à aucun élément substantiel du RGPD, comme les droits des personnes concernées ou les obligations des responsables du traitement et des sous-traitants, pas plus qu’aux motifs licites de traitement des données à caractère personnel énoncés dans le RGPD. Depuis l’entrée en vigueur du RGPD, plus de 2 000 dossiers relevant du guichet unique ont été ouverts dans le registre du CEPD et 711 décisions définitives ont été prises. Dans certains cas, des amendes atteignant des centaines de millions d’euros ont été infligées. Le prochain rapport sur l’application du RGPD est prévu pour 2024.
Le RGPD est mis en œuvre par des ADP nationales indépendantes et des juridictions nationales. Dans les cas impliquant un traitement qui a lieu ou affecte sensiblement des personnes concernées dans plusieurs États membres, le système du «guichet unique» du RGPD s’applique. Il signifie que c’est l’ADP du pays dans lequel se situe l’entité faisant l’objet de l’enquête qui mène l’enquête, en coopération avec les autres ADP concernées. En vertu du RGPD, les ADP coopèrent dans un effort pour parvenir à un consensus sur l’application du RGPD dans les situations transfrontalières. Lorsque les ADP ne parviennent pas à dégager un consensus, le RGPD prévoit le règlement du litige par le comité européen de la protection des données (CEPD).
Lorsqu’elles mettent le RGPD en œuvre, les APD appliquent les règles de procédure nationales. Dans son rapport de 2020 sur l’application du RGPD, la Commission a relevé que les différences dans les procédures appliquées par les APD entravent le fonctionnement harmonieux et efficace des mécanismes de coopération et de règlement des litiges du RGPD. En octobre 2022, le CEPD a envoyé à la Commission une «liste de souhaits» avec ses suggestions pour rationaliser et améliorer certains aspects procéduraux, afin de renforcer la coopération et de contribuer à offrir une voie de recours plus rapide aux personnes concernées.
La proposition présentée aujourd’hui tient compte des contributions d’un large éventail de parties prenantes, dont le CEPD, des représentants de la société civile, des entreprises, des universitaires, des praticiens du droit et des États membres. La Commission a publié un appel à contributions de février à mars 2023 et a reçu des contributions provenant d’un large éventail de parties prenantes, parmi lesquelles des représentants de la société civile et des associations sectorielles. Elle a également organisé, à la demande, des réunions bilatérales sur sa proposition, avec des représentants de la société civile, des autorités nationales et des organisations sectorielles.
Citation(s)
« Le RGPD est devenu synonyme, au niveau mondial, de loi effective de protection des données. Maintenant, c’est la mise en œuvre de cette loi qui est déterminante pour son plein succès. Les autorités indépendantes font un travail impressionnant, mais il est temps de faire en sorte que nous puissions agir plus vite et de manière plus décisive. Particulièrement dans les situations graves où une violation unique peut faire de nombreuses victimes dans toute l’UE. Notre proposition fixe des règles dans le but de garantir une coopération harmonieuse entre les autorités chargées de la protection des données, permettant une application plus rigoureuse du règlement, dans l’intérêt des particuliers comme dans celui des entreprises. » Věra Jourová, vice-présidente chargée des valeurs et de la transparence – 04/07/2023
« Il y a cinq ans, la législation la plus ambitieuse et la plus innovante au monde en matière de protection des données est entrée en vigueur. Cinq ans après, le RGPD est devenu une législation majeure dans l’UE, source d’inspiration au niveau mondial. Il est clair que la mise en œuvre du RGPD est effective, mais les procédures dans les situations transfrontalières peuvent encore être améliorées. Aujourd’hui nous avons présenté cette proposition pour montrer que nous pouvons faire mieux, assurer un traitement plus rapide et plus efficace des dossiers. Nous avons écouté les voix du comité européen de la protection des données, des autorités chargées de la protection des données, de la société civile et de l’industrie. Notre proposition répond à leurs appels et s’appuie sur nos propres conclusions quant à la manière de mieux protéger le droit des Européens à la vie privée, d’apporter une sécurité juridique aux entreprises et de rationaliser la coopération entre les autorités chargées de la protection des données sur le terrain. » Didier Reynders, commissaire à la justice – 04/07/2023