L'Union européenne se prépare à corriger le RGPD en améliorant la façon dont il est appliqué. Un texte est attendu avant cet été

Selon une page récemment publiée sur son site Web

Fin 2022, les autorités européennes de protection des données se sont engagées à intensifier la coopération pour traiter les cas d'importance stratégique. En octobre, le comité européen de la protection des données a envoyé à la Commission une « liste de souhaits » de modifications du droit procédural pour améliorer l'application. Parmi les idées figurent la fixation de délais pour différentes étapes procédurales dans le traitement d'une affaire et l'harmonisation des droits des différentes parties impliquées dans les enquêtes à travers l'UE.

Désormais, une initiative a été annoncée par la Commission européenne pour « harmoniser certains aspects de la procédure administrative que les autorités nationales de protection des données appliquent dans les affaires transfrontalières ».

Adopté en 2016, le règlement général sur la protection des données (RGPD) a marqué un tournant dans la réglementation technologique mondiale, obligeant les entreprises à se conformer à de nouvelles normes telles que demander le consentement pour collecter les données des personnes en ligne sous peine de se voir infliger de lourdes amendes pouvant atteindre 4 % du chiffre d'affaires annuel mondial. La loi est effectivement devenue l'affiche des responsables européens d'une législation puissante issue de Bruxelles.

L'adoption du RGPD a soufflé un vent de panique sur le web. Il faut dire que la sanction prévue en cas de non-respect (20 millions d’euros ou 4 % du chiffre d’affaires, selon le montant le plus élevé) a de quoi impressionner. Raison pour laquelle certaines entreprises, probablement encouragées par des conseils juridiques, ont sauté sur ce qu’elles ont considéré comme étant l’option la plus sûre. Aussi, les courriers d'entreprises demandant par exemple votre consentement pour vous garder dans leur liste de diffusion ou vous invitant à parcourir leurs nouvelles politiques d’utilisation qui se voulait conforme au RGPD, ont été multipliés.

Certaines entreprises ont décidé d’arrêter leurs activités en Europe. C’est le cas du site Super Monday Night Combat, une arène multijoueur lancée en 2012 par Uber Entertainment, Unroll.me, le service en ligne de gestion des courriels ou encore Verve, la société qui gère une plateforme marketing mobile alimentée par les données de localisation (elle n’était en Europe que depuis deux ans). D’autres comme Instapaper, la plateforme lancée en 2008 qui permet de sauvegarder articles et pages web en vue de les consulter ultérieurement, ont annoncé une suspension momentanée de leurs activités. C’est sans doute dans cette catégorie que le service WHOIS, pour lequel l’ICANN a demandé sans succès un moratoire au G29.

Un système inefficace pour traiter les cas majeurs relatifs aux grandes entreprises technologiques, selon les critiques

Mais cinq ans après que les autorités de protection des données de l'UE ont commencé leur travail, avec l'entrée en vigueur du RGPD, les militants, les experts et certains organismes nationaux de surveillance de la vie privée sont devenus frustrés par ce qu'ils considèrent comme un système inefficace pour traiter les cas majeurs, en particulier ceux qui concernent les grandes entreprises technologiques.

Plus particulièrement, les critiques ont déploré le rôle puissant joué par la Commission irlandaise de protection des données dans le cadre de la règle dite du guichet unique, qui oblige la plupart des enquêtes majeures à passer par le système irlandais parce que des entreprises technologiques comme Meta, Google, Apple et d'autres y ont installé leurs foyers européens. Dans le cadre du RGPD, les entreprises technologiques sont supervisées par le régulateur national du pays de l'UE où elles ont leur siège social.

L'Irlande et, dans une moindre mesure, le Luxembourg, où se trouve le siège européen d'Amazon, ont fait l'objet de critiques croissantes ces dernières années pour leur application laxiste, ce qu'ils nient. L'autorité irlandaise des données a infligé ces derniers mois d'importantes amendes de plusieurs millions d'euros pour sanctionner les infractions au RGPD de Meta, la société mère d'Instagram et de Facebook.

Désormais, un nouveau règlement de l'UE, attendu pour le deuxième trimestre de 2023, vise à établir des règles de procédure claires pour les autorités nationales de protection des données chargées des enquêtes et des infractions transfrontalières. La commission indique

Une tournure qui n'est pas surprenante

En octobre, les autorités de protection des données européennes ont établi une liste de sujets procéduraux nécessitant une harmonisation des législations nationales afin de permettre une meilleure application du RGPD au sein de l’Union européenne. Cette « liste de souhaits », adressée à la Commission européenne, fait partie des actions clés énoncées dans la déclaration de Vienne adoptée par le CEPD sur la coopération en matière répressive.

Parmi les sujets prioritaires figurent les pouvoirs d'enquête des autorités de protection des données, la mise en œuvre pratique de la procédure de coopération au niveau national, le statut et les droits des parties aux procédures administratives devant les autorités des États membres, les délais de procédure ainsi que les exigences en matière de recevabilité ou de rejet des plaintes par les autorités de protection des données.

Andrea Jelinek, présidente de l’EDPB, a déclaré à ce sujet: «L’EDPB a pris des mesures importantes pour promouvoir la coopération efficace en vue d’une application ferme et rapide du RGPD. Nous avons recensé certains obstacles qui ne relèvent pas de notre compétence et qui pourraient nécessiter une initiative législative. La multitude actuelle de procédures et de pratiques nationales a des effets néfastes sur la coopération entre les autorités de protection des données.»

La Commission souhaite que le règlement à venir soit très ciblé et limité, en partie parce qu...