RGPD : accélérer sa mise en oeuvre, une priorité des régulateurs européens

La présidente du Comité européen de la protection des données (CEPD), Andrea Jelinek, a adressé une « liste » des aspects procéduraux qu’il serait souhaitable d’harmoniser au niveau de l’UE au commissaire européen à la Justice, Didier Reynders, dans une lettre publiée mercredi (12 octobre).

L’initiative vise à accélérer la mise en œuvre du règlement général sur la protection des données (RGPD), le règlement européen sur la vie privée entré en application en 2018. Chaque autorité nationale mène actuellement ses enquêtes en suivant les règles procédurales propres à chaque pays.

Le contrôleur européen de la protection des données, Wojciech Wiewiórowski, a déclaré lors d’une conférence organisée en juin que « laisser les droits procéduraux entièrement dans le giron des États membres de l’UE entraîne des problèmes critiques pour la coopération entre les autorités de protection des données. »

Cette liste avait été prévue dans une déclaration adoptée par le CEPD en avril. Mme Jelinek a qualifié de « prématurées » les tentatives de réforme du RGPD. Elle estime que le processus de réforme prend de la vitesse et que la coopération transfrontalière devient de plus en plus efficace grâce au travail du Conseil.

Selon Mme Jelinek, la divergence des pratiques administratives dans plusieurs domaines a un « impact négatif » sur la coopération transfrontalière.

Parties impliquées

Une différence fondamentale entre les pays de l’UE est de savoir dans quelle mesure le plaignant peut prendre part à la procédure en tant que partie active dotée de droits spécifiques. Les différents statuts juridiques dans le droit procédural national entraînent en effet des disparités de traitement selon la juridiction.

De même, la Commission est appelée à dresser une liste des droits procéduraux auxquels les différentes parties peuvent prétendre, puisque cela « serait également bénéfique dans les situations où l’affaire doit également être traitée au niveau européen. »

La présidente du CEPD a notamment souligné le droit des parties à accéder aux documents liés à la procédure, les documents à considérer comme faisant partie du dossier et l’existence éventuelle d’exigences de confidentialité.

Une harmonisation plus poussée est demandée concernant le droit des parties d’être entendues, l’un des principes fondamentaux de la Charte des droits fondamentaux de l’UE. Les autorités européennes souhaitent que Bruxelles définisse non seulement qui bénéficie de ce droit mais aussi ses modalités et son calendrier.

Délais de procédure

La lettre relève que bien que le RGPD fixe une série de délais, il existe encore plusieurs étapes procédurales au niveau européen et national qui ne sont pas soumises à un délai spécifique.

Tout en accordant à l’autorité une flexibilité raisonnable en fonction de la complexité de l’affaire, Mme Jelinek indique que des délais devraient être définis pour établir la recevabilité de la plainte, transférer les plaintes à l’autorité principale et ouvrir une enquête.

D’autres aspects qui bénéficieraient d’une normalisation sont la communication des informations aux autres autorités concernées, l’émission d’un projet de décision, la modification de la décision après réception des objections pertinentes et l’adoption d’une décision définitive.

Dans le cas où l’autorité en charge d’une affaire n’est pas en mesure de la traiter dans un délai spécifique, Mme Jelinek souhaite créer une possibilité de justification, car « cela pourrait contribuer à atténuer les critiques des plaignants ou du grand public sur certaines affaires transfrontalières, qui sont considérées comme étant traitées trop lentement ».

Traitement des affaires

Les conditions d’admission d’une plainte varient considérablement d’un État membre à l’autre. Les divergences portent sur des aspects fondamentaux tels que la résidence dans la juridiction concernée ou la nécessité ou non pour le plaignant de démontrer un intérêt.

À cet égard, l’absence de règles harmonisées est particulièrement problématique dans les affaires transfrontalières, notamment lorsqu’une plainte est déposée dans un pays de l’UE mais que celle-ci doit être transmise à une autre autorité car l’organisation concernée y a son siège.

En outre, la rationalisation des règles de rejet ou de renvoi d’une plainte ainsi que la procédure de résiliation sont également invoquées. Cet aspect concerne les exigences minimales en matière de preuves ou un filtre de « crédibilité » pour admettre les plaintes.

En ce qui concerne le rejet, la présidente du CEPD souhaiterait que des règles prévoient qu’il doit prendre la forme d’une lettre officielle communiquée aux autres autorités concernées et pouvant faire l’objet d’un appel devant les tribunaux.

Enfin, elle a demandé un cadre juridique pour le règlement à l’amiable des plaintes, une possibilité couverte par le RGPD qui n’est pas réglementée dans la plupart des États membres.

Pouvoirs d’enquête

Un autre point soulevé dans la lettre est que « les autorités ont des points de vue différents quant au degré auquel elles peuvent enquêter sur les activités de traitement et les contrôleurs pour établir leur compétence ».

La codification de ces pouvoirs est jugée souhaitable, notamment en ce qui concerne les enquêtes préliminaires sur la nature transfrontalière des plaintes et leur impact local potentiel.

Procédures de coopération

Bien que l’autorité principale soit tenue de partager des informations avec les autres autorités concernées, le contenu et les modalités de la coopération à ce stade précoce et au fur et à mesure de l’évolution de l’affaire ne sont pas clairs.

La coopération entre les autorités chargées de la protection des données pourrait également bénéficier de règles uniformes concernant le délai et les modalités de publication d’une décision.