Aujourd’hui, la Commission propose une nouvelle loi visant à rationaliser la coopération entre les autorités de protection des données (APD) lors de l’application de la Règlement général sur la protection des données dans les affaires transfrontalières. Le nouveau règlement mettra en place des règles de procédure concrètes pour les autorités lors de l’application du RGPD dans les cas qui concernent des personnes situées dans plus d’un État membre. Par exemple, elle introduira une obligation pour l’autorité de protection des données principale d’envoyer un « résumé des questions clés » à ses homologues concernés, identifiant les principaux éléments de l’enquête et son point de vue sur l’affaire, et leur permettant ainsi de donner leur avis tôt. La proposition contribuera à réduire les désaccords et à faciliter le consensus entre les autorités dès les premières étapes du processus.
Pour les particuliers, les nouvelles règles préciseront ce qu’ils doivent soumettre lorsqu’ils déposent une plainte et veilleront à ce qu’ils soient impliqués de manière appropriée dans le processus. Pour les entreprises, les nouvelles règles clarifieront leurs droits à une procédure régulière lorsqu’une APD enquête sur une violation potentielle du RGPD. Les règles apporteront donc une résolution plus rapide des cas, ce qui signifie des recours plus rapides pour les particuliers et plus de sécurité juridique pour les entreprises. Pour les autorités chargées de la protection des données, les nouvelles règles faciliteront la coopération et renforceront l’efficacité de l’application.
Harmoniser les règles de procédure dans les affaires transfrontalières
Le nouveau règlement fournit des règles détaillées pour soutenir le bon fonctionnement du mécanisme de coopération et de cohérence établi par le RGPD, en harmonisant les règles dans les domaines suivants :
- Droits des plaignants : La proposition harmonise les conditions de recevabilité d’une plainte transfrontalière, supprimant les obstacles actuels apportés par les APD suivant des règles différentes. Elle établit des droits communs pour les plaignants d’être entendus dans les cas où leurs plaintes sont totalement ou partiellement rejetées. Dans les cas où une plainte fait l’objet d’une enquête, la proposition précise les règles leur permettant d’être correctement impliqués.
- Droits des parties faisant l’objet d’une enquête (responsables du traitement et sous-traitants) : La proposition accorde aux parties faisant l’objet d’une enquête le droit d’être entendues aux étapes clés de la procédure, y compris lors du règlement des litiges par le comité européen de la protection des données (EDPB), et clarifie le contenu du dossier administratif et les droits d’accès des parties aux le fichier.
- Rationalisation de la coopération et du règlement des différends: Dans le cadre de la proposition, les autorités de protection des données pourront donner leur avis en amont des enquêtes et utiliser tous les outils de coopération prévus par le RGPD, tels que les enquêtes conjointes et l’assistance mutuelle. Ces dispositions renforceront l’influence des autorités de protection des données sur les affaires transfrontalières, faciliteront l’établissement d’un consensus précoce dans l’enquête et réduiront les désaccords ultérieurs. La proposition précise des règles détaillées pour faciliter la mise en place rapide du mécanisme de règlement des litiges du RGPD et prévoit des délais communs pour la coopération transfrontalière et le règlement des litiges.
L’harmonisation de ces aspects procéduraux soutiendra la l’achèvement en temps voulu des enquêtes et la mise en place de recours rapides pour les particuliers.
Arrière-plan
Comme nous l’avons vu, le RGPD fonctionne. Le règlement de la Commission n’affecte aucun élément substantiel du RGPD, tels que les droits des personnes concernées, les obligations des responsables du traitement et des sous-traitants, ou les motifs légitimes de traitement des données à caractère personnel tels que définis par le RGPD. Depuis l’entrée en vigueur du RGPD, plus de 2 000 cas à guichet unique ont été créés dans le registre des cas du CEPD et 711 décisions finales ont été prises. Dans certains cas, des amendes de plusieurs centaines de millions d’euros ont été infligées. Le prochain rapport sur l’application du RGPD est attendu en 2024.
Le RGPD est appliqué par des APD nationales indépendantes, ainsi que par des tribunaux nationaux. Dans les cas impliquant un traitement qui a lieu ou affecte de manière substantielle des personnes concernées dans plus d’un État membre, le système d’application du « guichet unique » du RGPD s’applique. Cela signifie que l’autorité de protection des données où est basée l’entité faisant l’objet de l’enquête mène l’enquête en coopération avec d’autres autorités de protection des données concernées. Dans le cadre du RGPD, les APD coopèrent dans le but de parvenir à un consensus sur l’application du RGPD dans les affaires transfrontalières. Lorsque les APD ne parviennent pas à un consensus, le RGPD prévoit le règlement des litiges par le comité européen de la protection des données (EDPB).
Lors de l’application du RGPD, les DPA appliquent les règles de procédure nationales. Dans son rapport 2020 sur l’application du RGPD, la Commission a noté que les différences de procédure appliquées par les APD entravent le fonctionnement harmonieux et efficace des mécanismes de coopération et de règlement des litiges du RGPD. En octobre 2022, le CEPD a envoyé à la Commission un ‘liste de souhaits», contenant des suggestions visant à rationaliser et à améliorer certains aspects procéduraux afin de renforcer la coopération et d’aider à offrir un recours plus rapide aux personnes concernées.
La proposition d’aujourd’hui tient compte des contributions d’un large éventail de parties prenantes, y compris les EDPB, des représentants de la société civile, des entreprises, des universités et des praticiens du droit, ainsi que des États membres. De février à mars 2023, la Commission a publié un appel à preuves, recevant des commentaires d’un large éventail de parties prenantes, y compris la société civile et les associations industrielles. La Commission a également organisé des réunions bilatérales sur la proposition à la demande, avec des représentants de la société civile,
autorités nationales et organisations représentatives de l’industrie.
