2 ans après : le premier rapport d’évaluation du RGPD par la Commission européenne

Le Règlement Général sur la Protection des Données (RGPD) prévoit, de façon classique, que la Commission européenne présente un rapport sur l’évaluation et le réexamen du règlement deux ans après son entrée en application et, par la suite, tous les quatre ans[1]. Un premier bilan de 23 pages a donc été publié le 24 juin 2020[2].

Débutant par un constat général que le RGPD a atteint avec succès ses objectifs, et qu’il a démontré son importance notamment dans la crise sanitaire en cours, le document propose plusieurs pistes d'amélioration : renforcer l’harmonisation dans l’application du Règlement, adapter le cadre légal à des technologies spécifiques, soutenir les parties prenantes, encourager la convergence et la coopération internationale.

Věra Jourová, Vice-présidente de la Commission européenne chargée des valeurs et de la transparence, a déclaré à cette occasion :

« Faisant désormais référence, le régime européen de protection des données nous guide dans la transition numérique centrée sur l’humain et constitue un pilier important sur lequel nous nous appuyons pour élaborer d’autres politiques, telles que la stratégie pour les données ou notre approche de l’intelligence artificielle. Le RGPD illustre parfaitement comment l’Union européenne, en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d’agir et offre aux entreprises des possibilités de tirer le meilleur parti de la révolution numérique. Mais nous devons tous continuer à œuvrer pour que le RGPD réalise son plein potentiel ».

 

Le rapport indique que « de l’avis général, … le RGPD a atteint ses objectifs, à savoir renforcer la protection des droits des citoyens »[3]. Ce renforcement de la protection se manifeste notamment en intensifiant la transparence et en conférant aux personnes concernées des droits opposables[4]. Ces dernières ont conscience de cette protection, 69% de la population de l’Union européenne âgée de plus de 16 ans connaissant l'existence du RGPD[5] et 71% celle de leur autorité nationale chargée de la protection des données.

La Commission européenne observe également que le RGPD contribue « à favoriser une innovation digne de confiance, notamment par son approche fondée sur les risques et des principes tels que le respect de la vie privée dès la conception »[6]. Elle constate que « l’importance et la souplesse du cadre législatif relatif à la protection des données et au respect de la vie privée ont été démontrées lors de la crise du COVID-19 »[7], notamment en ce qui concerne la conception des applications de traçage destinées à lutter contre la pandémie.

Toutefois, plusieurs domaines sont désignés comme devant faire l’objet d’améliorations afin d’assurer la transition numérique et relever les défis liés à l’environnement[8].

1.    Renforcer l’harmonisation dans l’application du RGPD

La Commission européenne souligne, tout d’abord, le manque d'harmonisation dans l'application du RGPD. Certes, les Autorités de Contrôles Nationales (ACN) chargées de la protection des données personnelles ont étendu leur coopération au moyen d’un large recours à l’assistance mutuelle et du mécanisme du guichet unique[9]. Ce mécanisme prévoit qu’une entreprise traitant des données dans un contexte transfrontière n’a pour que seule interlocutrice, l’ACN de l’État membre dans lequel est situé son établissement principal. Toutefois, des décisions importantes ayant souvent trait à de grandes multinationales technologiques restent pendantes. Alors même que ces décisions « auront une incidence considérable sur les droits des citoyens dans de nombreux États membres », l’institution européenne relève qu’« il est arrivé que la définition d’une approche commune revienne à opter pour le plus petit dénominateur commun »[10]. La déclaration du 20 août 2020 de la Data Protection Commission, l’ACN irlandaise, annonçant le report de la décision relative à une fuite de données sur le réseau social Twitter, pour désaccord entre toutes les autorités de contrôle européennes sur la sanction à appliquer, illustre parfaitement cette problématique[11].

Les difficultés rencontrées concernent également les ressources attribuées aux autorités nationales. Si leurs effectifs ont augmenté de 42% et leur budget de 49% entre 2016 et 2019, la Commission européenne estime que la situation « n’est pas encore globalement satisfaisante »[12].

Le manque d’harmonisation s’explique aussi par l’utilisation des marges de manœuvre laissées aux États membres dans la transposition du RGPD. Les exemples typiques sont ici constitués par l’âge du consentement des enfants pour les services de la société de l’information, la conciliation de la protection des données personnelles avec la liberté d’expression ainsi que les dérogations à l’interdiction générale de traiter des catégories particulières de données personnelles.

La Commission préconise donc d’adopter une approche plus efficace et plus harmonisée pour développer une véritable culture européenne commune. Cet objectif implique que les orientations données à l’échelle nationale soient strictement conformes aux lignes directrices adoptées par le Comité européen de la protection des données composé des ACN.

2.    Adapter le cadre légal à des technologies spécifiques

En ce qui concerne des technologies spécifiques, la Commission souligne que les modalités d’application des principes établis par le RGPD à des technologies spécifiques telles que l’Intelligence Artificielle, les chaînes de blocs, l’Internet des objets ou la reconnaissance faciale, devront être précisés. Son livre blanc intitulé « Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance » par exemple, a suscité un débat public sur les circonstances particulières éventuelles qui pourraient justifier l’utilisation de l’IA à des fins d’identification biométrique à distance (comme la reconnaissance faciale) dans les lieux publics, ainsi que sur la nécessité de garanties communes[13].

3.    Soutenir les parties prenantes

Si les personnes exercent de plus en plus leurs droits, la Commission estime qu’« il est nécessaire de faciliter leur exercice et de veiller à ce qu’ils soient pleinement respectés »[14]. En particulier, le droit à la portabilité des données reste limité à quelques secteurs (principalement les secteurs bancaires et des télécommunications) alors que ce droit « a la capacité de placer les personnes au centre de l’économie fondée sur les données »[15]. Il est en outre susceptible d’« abaisser des barrières à l’entrée pour les entreprises et d’offrir des perspectives de croissance fondées sur la confiance et l’innovation »[16].

L’application du RGPD est compliquée pour les PME malgré les outils pratiques fournis par les autorités nationales[17]. Le rapport demande à ce que les efforts soient intensifiés « dans le cadre d’une approche commune afin de ne pas créer d’obstacles sur le marché unique »[18].

4.    Encourager la convergence et la coopération internationale

Au cours des deux dernières années, la Commission estime que son engagement international en faveur de transferts de données « sans entrave et sécurisés » a produit des résultats importants.

Le dialogue avec des partenaires clés pour parvenir à des décisions d’adéquation[19], qu’elle estime être un instrument essentiel du commerce international, a été maintenu. Ce dialogue a permis de parvenir à plusieurs décisions mutuelles entre l’UE et le Japon créant, depuis février 2019 le plus grand espace libre de circulation des données personnelles au monde[20]. La Commission procède actuellement à l’évaluation des systèmes de protection des onze pays et territoires tiers bénéficiant d’une décision d’adéquation[21] ainsi qu’à l’appréciation du système du Royaume-Uni dans le cadre du Brexit afin de parvenir à « un degré élevé de convergence … pour garantir une égalité des conditions de concurrence entre deux économies si étroitement intégrées »[22].

En outre, elle prévoit de moderniser d’autres mécanismes de transferts de données, dont les clauses contractuelles types qui constituent l’outil de transfert le plus couramment utilisé ; le rapport invite le Comité européen de protection des données (CEPD) à mettre à jour ses orientations sur les règles contraignantes d’entreprises ainsi qu’à développer des codes de conduite et des mécanismes de certification[23].

À cet égard, les mécanismes de transferts de données devront prendre un soin particulier à tirer toutes les conséquences de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020, dit arrêt Schrems II[24]. Cet arrêt, relatif aux transferts de données personnelles depuis l’Union européenne vers les serveurs situés sur le territoire étasuniens, invalide l’accord sur le bouclier de protection de la vie privée (Privacy Shield) conclu entre l’UE et les États-Unis. En revanche, la CJUE juge que la décision 2010/87 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers est valide[25].

Ce sujet est détaillé dans notre brève « Privacy Shield : un faux bouclier, une vraie invaliditée ».

Au niveau international, la Commission constate que le RGPD est « désormais un point de référence essentiel … incitant [de nombreux pays] à envisager l’introduction de règles modernes en matière de protection de la vie privée »[26]. Afin de poursuivre la convergence entre les différents systèmes juridiques, elle entend intensifier les dialogues bilatéraux, régionaux et multilatéraux.

Ce mouvement s’inscrit dans le cadre plus large de l’action extérieure de l’UE (par exemple dans le contexte du Partenariat Afrique-UE) ou de son soutien à des initiatives internationales telles que celle lancée par la présidence japonaise du G20 intitulée « Libre flux de données en toute confiance » (“Data Free Flow with Trust”)[27]. Enfin, la Commission européenne se dit déterminée « à s’attaquer au protectionnisme numérique »[28] dans le cadre de négociations bilatérales ( avec l’Australie, la Nouvelle-Zélande et le Royaume-Uni) et multilatérales, comme les pourparlers sur le commerce électronique avec l’Organisation Mondiale du Commerce (OMC)[29].

Ces travaux incluent la défense de la notion de « libre flux de données en toute confiance » dans les instances internationales ainsi que des négociations internationales, « notamment en ce qui concerne la coopération en matière de répression pénale, par exemple dans le domaine de l’accès transfrontière aux preuves électroniques, le but étant de veiller à ce que les transferts de données soient assortis de garanties adéquates en matière de protection des données »[30].

 


Claire Levallois-Barth, Maître de conférences en droit à Télécom Paris, Coordinatrice de la Chaire VP-IP


 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), JO L 119 du 4.5.2016, p. 1. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[2] Communication de la Commission au Parlement européen et au Conseil, La protection des données : un pilier de l'autonomisation des citoyens et de l'approche de l'Union à l'égard de la transition numérique – deux années d'application du règlement général sur la protection des données, COM(2020)264 final du 24 juin 2020,

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52020DC0264.

[3] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 5.

[4] Tels que les droits d’accès, de rectification et d’effacement, le droit d’opposition et le droit à la portabilité des données personnelles.

[5] Agence des droits fondamentaux de l’Union européenne (FRA), 2020 : enquête sur les droits fondamentaux 2019. Protection des données et technologies, https://fra.europa.eu/en/publication/2020/fundamental-rights-survey-data-protection.

[6] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 5.

[7] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 14.

[8] Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions, Le pacte vert pour l’Europe, COM(2019) 640 final du 11 décembre 2019, https://ec.europa.eu/info/sites/info/files/european-green-deal-communication_fr.pdf.

[9] Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont été soumis dans le cadre de la procédure du guichet unique, dont 79 ont abouti à une décision définitive.

[10] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 6.

[11] En effet, plusieurs ACN concernées par la violation des données personnelles refusent la première analyse de la Commission irlandaise, Twitter privacy ruling delayed after dispute among EU regulators, 20 août 2020, https://ca.reuters.com/article/technologyNews/idCAKBN25G1EL-OCATC.

[12] L'exemple irlandais est assez éloquent. Centre névralgique de la protection des données, la Data Protection Commission reçoit 2,5 fois plus de plaintes que son équivalent français, pour un budget quasiment identique. Et ses moyens n’ont été que faiblement augmenté pour l’année 2020.

[13] Commission européenne, Livre blanc, Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance, COM(2020) 65 final du 19 février 2020, https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf.

[14] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 10.

[15] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 10.

[16] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 12.

[17] Par exemple des modèles de contrats de traitement et des registres des activités de traitement, des lignes directes de consultation, ou l’organisation de séminaires.

[18] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 12.

[19] Pour rappel, les décisions d’adéquation permettent un flux libre de données personnelles vers un pays tiers sans que l’exportateur des données n’ait à fournir de garanties supplémentaires ou obtenir une autorisation.

[20] En outre, les discussions avec la République de Corée ont atteint un stade avancé et des entretiens préliminaires sont menés avec des partenaires en Asie et en Amérique latine.

[21] Ces pays et territoires sont l'Andorre, l'Argentine, le Canada, Guernesey, l'Île de Man, les Îles Féroé, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.

[22] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 14.

[23] Sur les mécanismes de certification dans le RGPD, voir Claire Levallois-Barth, « Les mécanismes de labellisation issus du Règlement général sur la protection des données (RGPD) », in Claire Levallois-Barth. « Signes de confiance – L’impact des labels sur la gestion des données personnelles », https://cvpip.wp.imt.fr/2018/03/19/2018-01-signes-de-confiance-limpact-des-labels-sur-la-gestion-des-donnees-personnelles/.

[24] CJUE, Grande chambre, arrêt du 16 juillet 2020, Facebook Ireland Ltd contre Maximillian Schrems, aff. C‑311/18, http://curia.europa.eu/juris/document/document.jsf?docid=228677&doclang=FR.

[25] Décision 2010/87 de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil [notifiée sous le numéro C(2010) 593], JOUE L 39/5 du 12 février 2010, https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32010D0087.

[26] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 15.

[27] Voir, par exemple, le texte de la déclaration d’Osaka des dirigeants du G20: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf.

[28] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 16.

[29] « 84 membres de l’OMC sont désormais engagés dans des négociations multilatérales sur le commerce électronique, à la suite d’une initiative de déclaration conjointe adoptée par les ministres le 25 janvier 2019 à Davos. Dans le cadre de ce processus, l’UE a présenté, le 3 mai 2019, sa proposition relative aux futures règles et obligations en matière de commerce électronique. La proposition comporte des dispositions horizontales relatives aux flux de données et à la protection des données à caractère personnel: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf », Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 16, note 62.

[30] Communication de la Commission, La protection des données : un pilier de l'autonomisation des citoyens, précitée, p. 18.

Commentaires Clos.