L’Europe veut revoir les règles du RGPD pour les dossiers transfrontaliers, le projet ne plait pas à tout le monde

En début de semaine, la Commission européenne a proposé de réformer le RGPD en modifiant la façon dont les CNIL européennes interagissent quand un dossier concerne plusieurs d'entre elles. Certaines associations dénoncent un déséquilibre entre plaignants et entreprises.

Mardi 4 juillet, la Commission européenne a publié sa proposition [PDF en français] de nouvelles règles pour « renforcer l'application du RGPD dans les situations transfrontalières ». Ce qu'elle appelle « situations transfrontalières », dans le cadre du RGPD, ce sont les dossiers de contentieux qui concernent les CNIL de plusieurs pays. Cela concerne soit les traitements de données « par une entreprise disposant de plusieurs établissements dans plusieurs États européens », soit ceux « d’une entreprise établie dans un seul État, mais [qui] affectent sensiblement des personnes d’au moins un autre État membre ».

Elle propose dans ce texte de modifier la façon dont ces dossiers sont gérés entre autorités de protection des données. Dans sa foire aux questions, la Commission prend bien soin de préciser que cela ne modifie pas les règles en vigueur : « Le RGPD fonctionne. Le règlement de procédure de la Commission ne porte atteinte à aucun élément substantiel du RGPD, comme les droits des personnes concernées ou les obligations des responsables du traitement et des sous-traitants, pas plus qu'aux motifs licites de traitement des données à caractère personnel énoncés dans le RGPD ».

Une procédure actuelle lente et conflictuelle

Certaines CNIL et ONG fustigent régulièrement la lenteur des échanges entre autorités dans la gestion de ces dossiers, notamment quand il s'agit de cas de grandes multinationales comme les GAFAM.

Mais, d'un autre côté, d'autres autorités de régulation (qui sont aussi celles qui font trainer les dossiers), et notamment l'irlandaise Data Protection Commission (DPC), mettent la pression sur le Comité européen de la protection des données (CEPD, ou en anglais European Data Protection Board, EDPB) pour garder leur indépendance.

La DPC a même menacé en janvier dernier d'attaquer le CEPD devant la Cour de justice européenne, considérant qu'il outrepassait ses droits en lui ordonnant de mener une nouvelle enquête dans le dossier du traitement illégal par Meta des données des utilisateurs pour la publicité personnelle.

Dans ce contexte, la commission assure vouloir simplifier ce processus, mais des associations pointent la création d'un déséquilibre entre utilisateurs et entreprises dans l'accès à la procédure.

Ces autorités de protection des données sont chargées d'appliquer le RGPD depuis son application en mai 2018. Tant que le plaignant et l'entreprise concernée sont dans le même pays, tout est simple : le dossier est instruit par la CNIL locale qui est chargée de faire respecter le règlement tout en prenant en compte la transposition nationale.

Lorsque les deux parties du dossier ne dépendent pas de la même autorité, il est facile de réaliser que des conflits peuvent naître entre autorités pour savoir qui est référent. Le RGPD a prévu à l'origine un système décentralisé « à guichet unique » : l'autorité qui instruit le dossier (dite « cheffe de file ») est celle dont dépend l'entreprise (là où son établissement principal ou celui de son sous-traitant est situé).

Elle doit coopérer avec les autres autorités concernées « en s’efforçant de parvenir à un consensus grâce à un dialogue mené dans un esprit de coopération loyale et efficace » comme l'explique la Commission. S'il y a litige entre les différentes autorités concernées, l'une d'entre elles peut saisir le CEPD (réunissant toutes les autorités) qui tranche. Mais, le détail des procédures de ce mécanisme a été laissé à l'appréciation des différents états et autorités. Ce flou permet à chacun de voir midi à sa porte et entraine une lenteur de la procédure.

Une proposition de clarification par la Commission

Après avoir consulté les différents acteurs et notamment le CEPD, qui a produit une liste [PDF] des aspects de procédure qui pourraient être davantage harmonisés, la Commission propose donc d'établir des règles communes pour le bon traitement de ces dossiers « transfrontaliers ».

Du côté des plaignants, la commission veut imposer aux autorités de protection des données d'avoir un formulaire de plainte type unifié. « Aucune autre information ne doit être exigée pour qu’une réclamation soit recevable », affirme son texte.

Ce serait à l'autorité auprès de laquelle la réclamation a été introduite qui aurait seule la charge d'évaluer l'exhaustivité du dossier. Le texte donne aussi des dates limites d'accusé de réception et d'étude de cette exhaustivité. La commission demande que cette autorité à laquelle a été confié la plainte d'évaluer la gravité de la violation alléguée, s'il peut exister une mesure réparatoire et sa «  nature systémique ou répétitive ».

Le texte précise qu'un règlement à l'amiable peut avoir lieu entre l’auteur de la réclamation et l'entreprise ou les entreprises visées. C'est l'autorité qui juge si cet accord a été trouvé, l'auteur de la réclamation ayant un mois pour contester.

Le texte détaille ensuite la coopération entre l'autorité « cheffe de file » qui va mener l'enquête et les autres autorités concernées, notamment avec l'établissement d'un résumé des points essentiels (faits pertinents, appréciations juridiques et techniques, mesures correctrices envisagées... ) qui pourra faire l'objet d'observations dans un délai fixé. Le texte fixe aussi la façon dont devraient se dérouler les discussions entre autorités lors de l'établissement du consensus. Il détaille aussi le mécanisme de règlement des litiges entre les différentes autorités au sein du CEPD.

Droit d'être entendu pour tous, pas forcément d’accéder au dossier 

La Commission fixe, dans sa proposition de texte, un droit d'être entendu pour l'auteur de la réclamation avant son rejet (partiel ou total). Celui-ci pourra, selon ce texte, accéder aux documents sur lesquels se fonde la proposition de rejet de la réclamation. Mais ce sera une version « non confidentielle » à laquelle il pourra accéder.

Si la plainte n'est pas rejetée, l'enquête est menée par l'autorité «cheffe de file », avec concertation des autres autorités. Le plaignant et l'entreprise faisant l'objet de l'enquête recevront les conclusions préliminaires et pourront y répondre. Mais l'entreprise pourra aussi être réentendue sur le projet de décision révisé, contrairement à l'auteur de la plainte.

Le gros nœud du problème réside aussi dans l'accès au dossier administratif de l'enquête. Le texte prévoit de donner cet accès aux seules « parties faisant l’objet de l’enquête » (à l'exception des discussions entre les autorités). L'auteur de la réclamation ne pourra donc donner son avis qu'en se basant sur les conclusions préliminaires qui lui seront transmises, sans accéder aux différentes pièces et réponses de l'entreprise visée.

noyb monte au créneau

L'association noyb pointe ici, dans un communiqué, un déséquilibre. « Alors que les citoyens ne seront entendus que de manière minimale, le projet prévoit de nombreux droits pour les entreprises : elles sont entendues tout au long de la procédure et ont accès aux dossiers. Cela pourrait conduire à cimenter les problèmes existants devant des régulateurs opaques tels que le DPC plutôt qu'à les résoudre ».

L'association considère que l'approche de la Commission n'est pas la bonne, expliquant que « lorsqu'elle tente de résoudre les problèmes, la Commission ne cherche qu'à combler les lacunes individuelles du système, qui sont apparues dans les premières affaires importantes entre le DPC irlandais et ses homologues européens [...] la Commission n'adopte pas une approche systématique [...] ».

noyb avait d'ailleurs prévenu avec 25 autres associations (dont ARTICLE 19, Irish Council for Civil Liberties, Politiscope) mi-juin. Celles-ci avaient demandé au cabinet d'avocats bruxellois Timelex d'étudier le projet de proposition de la Commission. Le cabinet soulignait dans ces conclusions [PDF] le besoin de reconnaître le plaignant comme une partie à part entière pour que le principe d'égalité de traitement soit respecté et affirmait que limiter son droit d'être entendu créerait une incertitude juridique.

Les associations pointent aussi l'absence d'étude d'impact. Dans sa proposition, la commission balaie ce besoin, affirmant que son texte n'aurait pour « seule incidence d’améliorer le fonctionnement de la procédure d’application transfrontalière définie par le RGPD ».