Protection des données : la Commission européenne propose des mesures d’harmonisation

La Commission européenne a présenté ce mardi (4 juillet) une proposition législative visant à harmoniser certains aspects des règles de procédure nationales afin d’accélérer les affaires transfrontalières dans le cadre du règlement général sur la protection des données (RGPD).

Cette réforme a été demandée par le président du Comité européen de la protection des données (EDPB), l’organe rassemblant toutes les autorités de protection des données de l’UE, qui a souligné plusieurs divergences dans les cadres juridiques au niveau des États membres, ce qui empêche une coopération harmonieuse entre les différents régulateurs.

Le projet de loi porte sur les plaintes relatives à des violations présumées de la protection des données, les droits procéduraux des parties faisant l’objet d’une enquête, la coopération entre les autorités et le règlement des litiges.

« Nous pouvons faciliter davantage les procédures transfrontalières entre les autorités de protection des données. Nous voulons garantir des décisions plus rapides. Y compris dans les cas complexes. Ces décisions ont un impact direct sur les droits des citoyens, d’où l’urgence », a déclaré le commissaire européen à la Justice, Didier Reynders, lors de la conférence de presse de présentation de l’initiative.

Traitement des plaintes

La Commission souhaite que les plaintes soient déposées au moyen d’un formulaire type, dont l’exhaustivité est évaluée par l’autorité de protection des données à laquelle la plainte a été adressée, en fonction de la rapidité avec laquelle la plainte a été traitée, de la gravité de l’infraction présumée et de son caractère systémique ou répétitif.

La plainte peut être réglée par une solution à l’amiable entre le plaignant et le défendeur. Le régulateur compétent en matière de protection de la vie privée peut informer le plaignant s’il considère qu’une solution à l’amiable a été trouvée, ce à quoi le plaignant dispose de deux semaines pour s’opposer.

« Les plaignants se verront imposer des délais pour le temps limité qu’ils peuvent consacrer à leur propre dossier. Cependant, il n’y a pas de délais globaux pour la résolution des cas », a expliqué à EURACTIV Estelle Massé, responsable mondiale de la protection des données chez Access Now, une ONG de défense des droits civiques numériques.

« Il serait difficile d’inclure une date limite systématique », a indiqué un haut fonctionnaire de l’UE, soulignant que chaque cas pouvait varier en termes de complexité juridique et technique. « Cela n’aiderait pas à obtenir de meilleurs résultats », a-t-il poursuivi.

Le projet de loi accorde aux plaignants le droit d’être entendus uniquement si leur plainte est partiellement ou totalement rejetée. Le plaignant peut demander l’accès aux documents non confidentiels sur lesquels les autorités ont fondé leur évaluation.

« Ayant participé à plusieurs procédures dans différents États membres, je sais que les bonnes décisions reposent sur l’apport détaillé des plaignants pour contrebalancer les points de vue des parties ayant fait l’objet de l’enquête », a affirmé Johnny Ryan, membre de l’ONG Irish Council for Civil Liberties.

Confidentialité

Le projet de règlement indique que le droit d’accès au dossier ne s’étend pas à la correspondance entre les autorités concernées. L’accès au dossier peut être accordé après l’envoi des conclusions préliminaires aux parties concernées par l’enquête.

Les documents obtenus grâce à l’accès au dossier ne peuvent être utilisés que dans le cadre de procédures judiciaires et administratives. La partie soumise à l’enquête peut demander des mesures de protection si elle prouve que les informations sont commercialement sensibles.

En outre, les documents d’enquête seront exclus des demandes d’accès aux documents pendant la durée de la procédure, ce qui était jusqu’à présent possible dans certains cas, tels que les affaires de résolution de litiges devant le Comité européen de protection des données.

La possibilité d’obtenir des documents d’enquête par le biais de demandes de liberté d’information (Freedom of Information requests) a déjà été remise en question par une nouvelle loi irlandaise qui introduit également des mesures de confidentialité.

Coopération entre les autorités

Le projet de loi prévoit que les autorités de protection de la vie privée chargées d’une affaire doivent prendre toutes les mesures nécessaires pour parvenir à un consensus avec les autres autorités concernées.

L’autorité responsable doit informer régulièrement ses pairs du déroulement de l’enquête, à savoir l’ouverture de celle-ci, les demandes d’information, l’utilisation des pouvoirs d’enquête, les motifs de rejet d’une plainte, le résumé des questions critiques, les conclusions préliminaires et les réponses des parties.

L’idée de la Commission est que les autres autorités devraient apporter leur contribution plus tôt dans le processus afin d’éviter de passer par le mécanisme de résolution des litiges. Ainsi, l’autorité responsable est invitée à partager ses conclusions préliminaires avec ses homologues, qui disposeront de trois semaines pour formuler leurs observations.

Les conclusions préliminaires comprennent les mesures correctives possibles et les éléments utilisés pour calculer l’amende. La partie soumise à l’enquête recevra les conclusions préliminaires et pourra y répondre dans un délai déterminé.

Il en va de même pour les plaignants, qui ne recevront une copie non confidentielle des conclusions qu’après une déclaration de confidentialité par laquelle ils s’engagent à ne divulguer aucune information.

En l’absence de consensus entre les autorités sur des questions telles que la portée de l’enquête et l’évaluation juridique et technologique préliminaire, il sera demandé à la Commission d’adopter une décision urgente et contraignante.

Résolution des litiges

Lorsque l’autorité responsable adopte son projet de décision, les autres régulateurs peuvent à nouveau formuler des objections motivées. Toutefois, ces objections doivent être fondées exclusivement sur les éléments factuels figurant dans le dossier administratif et ne peuvent pas ajouter d’autres infractions.

Lorsque l’autorité en charge ne suit pas certaines des objections soulevées par ses pairs et qu’aucun consensus ne peut être atteint, le mécanisme de résolution des litiges est mis en place. L’autorité responsable doit fournir une série de documents, y compris le projet de décision et les objections motivées.

Avant d’adopter une décision contraignante, la Commission européenne doit informer de son raisonnement la partie ayant fait l’objet de l’enquête, qui dispose d’une semaine pour répondre. Il en va de même pour les plaignants, mais uniquement en cas de rejet partiel ou total de la plainte.

« Je ne pense pas qu’une semaine soit un délai suffisant, mais c’est un premier pas », a déclaré Vincenzo Tiani, associé du cabinet d’avocats Panetta. « Il est peut-être regrettable, cependant, que les parties n’aient pas le droit de se présenter devant le Comité européen de protection des données même à un stade antérieur. »

[Édité par Anne-Sophie Gayet]