Contexte du bilan

Le Règlement Européen sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2016, laissant un délai de deux ans avant son entrée en application le 25 mai 2020.

Le rapport de la Commission européenne est le premier exercice d’évaluation et de réexamen du RGPD. Il répond aux exigences de l’article 97 du Règlement qui prévoit un premier rapport au plus tard le 25 mai 2020, puis tous les quatre ans.
Si, à ce jour, le rapport n’est disponible qu’en anglais, la Commission européenne a accompagné sa publication d’un communiqué disponible en français.

Comme le prévoit le RGPD, l’évaluation et le réexamen effectués par la Commission ont tenu compte des positions formulées par le Parlement européen et le Conseil, mais aussi d’autres sources pertinentes, en particulier le Comité européen de la protection des données (CEPD/EDPB) qui a formulé ses propres remarques.

L’AFCDP, association des professionnels de la protection des données qui représente en particulier les Délégués à la protection des données (DPD/DPO) a également contribué à ce bilan, via CEDPO, confédération européenne d’associations de DPD/DPO.

Les grandes lignes du bilan

Dans son bilan, la Commission européenne estime que le RGPD a été globalement un succès, tout en reconnaissant, pour le futur, l’existence de diverses pistes d’amélioration. Elle estime également qu’il serait prématuré de tirer des conclusions définitives et de proposer des révisions du texte. Avec l’expérience, l’application du RGPD par les États membres et les parties concernées devrait encore s’améliorer dans les prochaines années. De plus, la convergence mondiale autour des principes du RGPD devrait contribuer à des échanges de données plus faciles et plus sûrs, pour le bénéfice des entreprises comme des citoyens.

Parmi les éléments positifs, la Commission note que les citoyens sont davantage responsabilisés et conscients de leurs droits issus du RGPD, qui renforce la transparence et donne aux individus des droits exécutoires comme les droits d’accès, de rectification, d’effacement, d’opposition et le droit à la portabilité de leurs données. Selon une enquête européenne, les trois quarts de la population connaissent le RGPD et leur autorité de contrôle.

La Commission note avec satisfaction qu’avec le RGDP, les entreprises, y compris les PME, disposent dans toute l’Union européenne d’un référentiel unique, qui crée en outre des conditions de concurrence équitables avec les entreprises non européennes qui exercent leur activité sur le territoire de l’Union. Finalement, la protection des données devient progressivement un élément essentiel dans les choix consommateurs.

Le rapport note également que le RGPD a été conçu sur une approche fondée sur le risque et technologiquement neutre, ce qui permet de s’adapter aux risques des traitements, y compris liés aux technologies émergentes. Cette approche technologiquement neutre et évolutive du RGPD s’est d’ailleurs a été mise en œuvre à l’occasion de la pandémie COVID-19, et devrait se montrer adaptée dans le futur cadre de l’UE pour l’intelligence artificielle.

Autre satisfaction, les autorités de contrôle ont travaillé activement au sein du CEPD/EDPB, mettant en œuvre les mécanismes d’assistance mutuelle et de cohérence prévus par le RGPD, sans avoir toutefois enclenché ni procédure de règlement des litiges ni procédure d’urgence. La Commission estime que les affaires transfrontalières pourraient être traitées de manière plus efficace et plus cohérente par l’utilisation des outils de coopération prévus dans le RGPD, pour tenir compte de différences entre procédures administratives nationales, entre interprétations des concepts relatifs au mécanisme de coopération ou entre approches sur la procédure de coopération.

Le bilan de la Commission se félicite que le RGPD soit devenu une référence et un catalyseur pour de nombreux pays qui envisagent de moderniser leurs règles en matière de protection de la vie privée. Cette tendance à la convergence mondiale devrait permettre d’accroître la protection des Européens tout en facilitant la circulation des données et en réduisant les coûts de transaction pour les opérateurs commerciaux.

Sur la mise en œuvre du RGPD, le bilan note que les autorités de contrôle nationales sont désormais dotées de pouvoirs d’exécution harmonisés et renforcés. Elles utilisent leur éventail de pouvoirs correctifs prévus par la RGPD, comme les amendes administratives, les avertissements et les rappels à l’ordre, les ordres de se conformer aux demandes de la personne concernée, de mettre les traitements en conformité avec le règlement, de rectifier, d’effacer ou de restreindre le traitement. Dans certains cas, une interdiction de traitement ou la suspension des flux de données peut même se révéler beaucoup plus puissante qu’une sanction financière.

Le bilan de la Commission présente enfin une liste d’améliorations qui pourraient être apportées à l’avenir. À commencer par une attention sur les législations nationales, y compris sectorielles, qui doivent être conforme au RGPD ; mais aussi l’attribution aux autorités de contrôle par les États membres, de ressources humaines, financières et techniques suffisantes pour appliquer les règles de protection des données, mais aussi pour assurer le lien avec les citoyens et les PME ; ou l’amélioration des procédures de coopération et de cohérence, un véritable recours aux codes de conduite et une attention soutenue vis-à-vis des nouvelles technologies comme l’intelligence artificielle, l’internet des objets ou la « blockchain ».

Point de vue de l’AFCDP

Les Délégués à la protection des données et les professionnels de la protection des données membres de l’AFCDP partagent globalement le constat de la Commission européenne.

L’AFCDP confirme en particulier que la connaissance et la prise en compte du RGPD ont fortement progressé dans les organisations. En outre, l’augmentation des interactions avec les DPD/DPO, en particulier pour l’exercice des droits d’accès ou d’opposition, confirme que les particuliers ont également compris l’importance de la protection de leurs données personnelles et de l’intérêt que présente le RGPD pour y contribuer.

Toutefois, les DPD/DPO observent dans leur pratique quotidienne que la promesse d’une réglementation uniforme dans l’ensemble des États membres est largement battue en brèche par des dispositions locales diverses, voire divergentes, qu’il s’agisse de dispositions législatives permises par le RGPD, ou de positions individuelles des autorités de contrôle.

Par exemple, sur la question sensible des cookies et autres traceurs, la CNIL et certaines des 26 autres autorités ont édicté des recommandations qui ne sont pas cohérentes entre elles, ce qui conduit les DPD/DPO confrontés à des activités multinationales, à devoir prendre en compte une multitude de préconisations difficiles à concilier entre elles.

D’autre part, l’AFCDP remarque avec étonnement que le bilan établi par la Commission ne fait à aucun moment mention du Délégué à la protection des données, dont la création et les missions sont pourtant parmi les points les plus notables du RGPD.

Par ailleurs, l’AFCDP ne partage pas la satisfaction de la Commission à l’égard du droit à la portabilité des données, censé mettre les individus « au centre de l’économie de la donnée en leur permettant de changer de fournisseur de services ». Manifestement mal défini, ce droit est le plus souvent détourné de son esprit et utilisé à des fins discutables., par exemple pour la collecte en temps réel des transactions des consommateurs dans la grande distribution.

Enfin, l’AFCDP a bien entendu que l’évaluation du RGPD entreprise par la Commission ne devrait pas conduire à une proposition de révision du texte avant 2024. L’AFCDP regrette que cette démarche ne permette pas de résoudre à court terme un certain nombre de difficultés qu’elle a détectées dans l’application opérationnelle du Règlement, en raison d’imprécisions ou de manque de clarté dans le texte du RGPD. Elle rappelle que ces difficultés techniques portent en particulier sur une douzaine de points pour lesquels elle avait proposé des formulations propres à être intégrées dans une révision du Règlement.

Annexe : douze propositions de correction ou d’évolution du RGPD

Les propositions de correction ou d’évolution du RGPD proposées par l’AFCDP portent sur les points suivants :

– l’incertitude sur l’obligation de tenir un registre pour les petites et moyennes entreprises dans les cas où le traitement « n’est pas occasionnel », compte tenu de l’imprécision de cette formulation, selon les termes de l’article 30(5) ;

– le manque de réalisme de l’obligation de notification d’une violation de données « si possible 72 heures » après sa découverte, selon l’article 33 ;

– l’imprécision de l’article 33(2) qui laisse penser, à tort, qu’il appartient au sous-traitant de qualifier si un incident est une violation de données et qui ne comporte aucun délai maximum de notification du sous-traitant au responsable de traitement ;

– le souhait de préciser à l’article 34, que la notification d’une violation de données aux personnes a pour objectif de leur donner la possibilité de se protéger ;

– la nécessité de préciser, à l’article 35(7), qu’en cas d’analyse d’impact sur la protection des données (AIPD) les risques résiduels pèsent explicitement sur le responsable de traitement ;

– le manque de clarté, à l’article 36, de la définition des cas où les risques identifiés par une AIPD rendent obligatoire la consultation de l’autorité de contrôle ;

– le souhait qu’en cas de consultation de l’autorité de contrôle à l’issue d’une AIPD, le silence de l’autorité de contrôle après le délai légal signifie que son avis est réputé favorable ;

– la nécessité de clarifier la notion d’intérêt légitime pour les autorités publiques dans le cas des traitements effectués pour leur propre compte, en dehors de l’exécution de leurs missions ;

– le besoin d’enrichir l’article 38 pour préciser que bien qu’il soit soumis au secret professionnel, le DPD/DPO ne peut accéder à certains types de données, comme celles qui sont couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou par le secret médical.

– l’absence de définition de « transfert de données hors UE », notion large qui donne lieu à plusieurs situations distinctes (transfert vers un pays dit « adéquat », vers les États-Unis, ou vers un pays tiers n’ayant fait l’objet d’aucune décision d’adéquation) ;

– la nécessité de clarifier la relation entre traitement et finalité, pour la définition du fondement légal ;

– la nécessité d’homogénéiser en Europe le traitement des demandes d’exercice des droits présentées par un mandataire, dont la pratique actuelle fait courir le risque de satisfaire un droit (par exemple accès aux données) au bénéfice d’une personne différente de la personne concernée.

Pour toutes ces questions, l’AFCDP avait proposé des formulations propres à être intégrées dans une révision du RGPD.