La Commission européenne a proposé d’apporter des changements chirurgicaux à la législation historique du bloc sur la confidentialité des données.
Connue sous le nom de Règlement général sur la protection des données (RGPD), la loi a redéfini ce que signifie la vie privée au 21e siècle et a donné aux Européens le droit de décider qui a accès à leurs données personnelles, d’exiger des corrections et de déposer des plaintes légales.
Il a également inscrit dans la loi le désormais célèbre « droit à l’oubli », que les citoyens peuvent invoquer pour supprimer définitivement leurs données du registre d’une entreprise.
Mais cinq ans après son entrée en vigueur, l’héritage du RGPD est loin d’être immaculé.
Les organismes gouvernementaux, le secteur privé, les défenseurs de la vie privée et les organisations de la société civile ont tous fait part de leurs inquiétudes quant à la manière dont la législation est appliquée, notamment les frais élevés requis pour déposer une affaire, les procédures divergentes entre les États membres et les longs délais d’attente pour la résolution.
Un autre point de controverse de longue date est la relation entre les autorités de protection des données (DPA) de chaque État membre.
« En cinq ans, nous pouvons compter plus de 711 décisions définitives qui ont été prises par les autorités de protection des données. Cela montre clairement que le RGPD est bien appliqué. Mais nous pouvons faire mieux », a déclaré mardi Didier Reynders, le commissaire européen à la justice.
Dans le cadre du RGPD, l’exécution incombe à l’autorité du pays dans lequel l’entreprise a établi son siège européen. La grande majorité des cas GDPR ont une dimension nationale et impliquent un seul DPA.
Cependant, dans certains cas, l’infraction a un caractère transfrontalier et plusieurs autorités sont appelées à intervenir. Cette collaboration s’est souvent avérée tendue et alambiquée, entraînant des retards et des contentieux au détriment des plaignants.
Une attention particulière a été accordée à la DPA irlandaise, qui doit traiter les cas les plus médiatisés compte tenu de l’abondance des entreprises Big Tech présentes en Irlande.
Plus tôt cette année, un désaccord entre l’APD irlandaise et d’autres autorités nationales a forcé l’intervention du comité européen de la protection des données (EDPB) dans une affaire contre Meta, qui a abouti à une amende record d’une valeur de 1,2 milliard d’euros.
Afin de répondre à ces tensions persistantes, la Commission européenne a proposé un règlement qui introduit une réforme ciblée du règlement intérieur du RGPD, en mettant l’accent sur les litiges transfrontaliers.
Les obligations proposées obligeront la DPA principale à faire participer les autorités des autres pays concernés dès les premières étapes du processus afin de discuter collectivement du fond de l’affaire, y compris sa portée juridique, les violations potentielles, la collecte de preuves et le bilan technologique.
Cette ligne de communication, selon la Commission, facilitera le consensus et aidera à régler les différends avant qu’ils ne deviennent incontrôlables. Les nouvelles règles harmoniseront les conditions de recevabilité des affaires transfrontalières et garantiront aux citoyens un traitement égal dans tous les États membres, quelle que soit leur nationalité.
Autrement dit, travailler plus près pour mieux travailler.
« Ce que nous essayons de faire ici, c’est d’avoir une meilleure application du GDPR grâce à des règles communes dans les affaires transfrontalières, d’harmoniser les différentes règles au niveau national et de faire en sorte qu’il soit possible de réagir plus tôt que maintenant car maintenant, parfois, il (prend) très longtemps pour organiser le processus jusqu’à la décision finale », a déclaré Reynders.
Le commissaire a réfuté les appels à une révision complète de la loi, arguant que le moment n’était pas venu d’avoir une telle conversation entre les colégislateurs de l’UE, et a défendu le principe du pays d’origine, qui permet aux citoyens de s’adresser directement à les DPA dans leur langue maternelle.
Le GDPR est un « très jeune enfant », a déclaré Reynders. « Cela fait cinq ans et nous devons continuer à voir comment il est possible d’appliquer de mieux en mieux le RGPD. »
« Pour le moment, nous ne voulons pas rouvrir la boîte de Pandore », a-t-il ajouté.
Mais ce n’est peut-être qu’une question de temps avant que Bruxelles ne se rende compte que le RGPD nécessite une entité centralisée au-dessus des APD nationales pour tenir efficacement les Big Tech responsables, déclare Alexandre de Streel, directeur du programme de recherche numérique au Centre sur la régulation en Europe. (CERRE).
« Cette réforme est un pas dans la bonne direction, mais ce ne sera probablement pas suffisant », a déclaré de Streel à L’Observatoire de l’Europe dans une interview. « Pour les Big Tech – ces entreprises qui sont présentes à l’échelle mondiale – vous avez besoin d’un régulateur européen. Ce ne peut pas être seulement le pays d’origine qui fait la tâche pour tous les Européens. »
Les échecs de l’application du RGPD, a déclaré de Streel, ont eu une influence évidente sur la réglementation qui a suivi 2018, comme la loi sur les services numériques (DSA) et la loi sur les marchés numériques (DMA), qui confèrent toutes deux à la Commission européenne le pouvoir ultime. rôle de superviseur.
L’émergence de chatbots alimentés par l’IA, qui sont formés avec de vastes quantités de données pour apprendre de nouvelles tâches par eux-mêmes, renforce encore la nécessité d’une refonte complète, a ajouté l’universitaire.
« Le principe du pays d’origine a été créé pour les petites entreprises qui souhaitaient se développer sur le marché international, et non pour les entreprises qui se sont déjà développées. C’est le grand malentendu », a déclaré de Streel, faisant référence à des géants comme Meta, Apple, Amazon, Google et TikTok, dont la valeur marchande dépasse largement le PIB de l’Irlande.
« Vous ne pouvez pas compter sur l’Irlande pour être le juge de toute l’Europe. »