Mise en oeuvre du GDPR : bilan actuel et perspectives d'avenir

La Commission Européenne a publié son second rapport sur l’application du RGPD, rendant notamment compte de la manière dont les règles sont appliquées dans les différents Etats Membres et actualisant ainsi les données et enseignements du premier rapport datant de juin 2020.

Conformément à l'article 97 du RGPD, tous les quatre ans depuis mai 2020, la Commission présente au Parlement européen et au Conseil un rapport sur l'évaluation et le réexamen du règlement. Le RGPD exige également que la Commission, lorsqu'elle procède à son évaluation et à son réexamen, tienne compte des positions et des conclusions du Parlement européen, du Conseil et d'autres organismes ou sources pertinents.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées dans ce rapport s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Conclusions

Parce qu'elles abordent tous les aspects du GDPR, dressant un compte clair de la situation actuelle et contiennent de nombreuses recommandations quand aux évolutions futures et donc de ce qu'il pourrait être attendu de tous les acteurs de cette problématique - le prochain rapport est prévu en 2028 - , il nous a paru opportun de vous communiquer les conclusions dans leur intégralité. Il s'agit, en l'occurence, d'atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE.​

"Au cours des six années qui ont suivi sa mise en application, le RGPD a donné aux personnes les moyens d’exercer un contrôle sur leurs données. Il a également contribué à créer des conditions de concurrence équitables pour les entreprises et a servi de pierre angulaire pour la panoplie d’initiatives qui contribuent à conduire la transition numérique dans l’UE.

Pour atteindre pleinement le double objectif du RGPD, à savoir assurer une protection solide pour les personnes physiques tout en garantissant le libre flux des données à caractère personnel au sein de l’UE et des flux de données sûrs en dehors de l’UE, il convient de se concentrer sur les points suivants:

• une application rigoureuse du RGPD, à commencer par l’adoption rapide de la proposition de la Commission relative aux règles de procédure afin d’offrir des voies de recours rapides et la sécurité juridique dans les affaires concernant des personnes dans l’ensemble de l’Union;

• une assistance proactive des autorités chargées de la protection des données à l’intention des parties prenantes pour les soutenir dans leurs efforts de mise en conformité, en particulier les PME et les petits opérateurs;

• une interprétation et une application cohérentes du RGPD dans l’ensemble de l’Union;

• une coopération efficace entre les autorités de réglementation, tant au niveau national qu’au niveau de l’UE, afin de garantir l’application uniforme et cohérente du corpus croissant de règles numériques de l’UE;

• poursuivre la mise en œuvre de la stratégie internationale de la Commission en matière de protection des données.

Pour soutenir l’application effective du RGPD et contribuer à de nouvelles réflexions sur la protection des données, plusieurs actions recensées ici s’imposent. La Commission soutiendra et surveillera leur mise en œuvre également dans la perspective du prochain rapport en 2028.

Mettre en place des structures de coopération efficaces

Le Parlement européen et le Conseil sont invités à adopter rapidement la proposition de règles de procédure relatives à l’application du RGPD.

Le comité et les autorités chargées de la protection des données sont invités:

> à établir une coopération régulière avec d’autres autorités de réglementation sectorielles sur les questions ayant une incidence sur la protection des données, en particulier celles qui ont été mises en place en vertu de la nouvelle législation numérique de l’UE, et participer activement aux structures au niveau de l’Union destinées à faciliter la coopération entre les autorités de réglementation;

> à faire un usage plus exhaustif des outils de coopération fournis par le RGPD, de sorte que le règlement des litiges ne soit qu'une solution de dernier ressort.

> à mettre en œuvre des modalités de travail plus efficaces et plus ciblées pour les lignes directrices, les avis et les décisions et à hiérarchiser les questions clés afin de réduire la charge pesant sur les autorités chargées de la protection des données et de réagir plus rapidement à l’évolution du marché.

Les États membres devraient :

> continuer à suivre de près l’indépendance effective et totale des autorités nationales chargées de la protection des données;

> allouer des ressources suffisantes aux autorités chargées de la protection des données pour leur permettre de s’acquitter de leurs tâches, notamment en leur fournissant les ressources techniques et l’expertise nécessaires pour faire face aux technologies émergentes et assumer de nouvelles responsabilités au titre de la législation numérique;

> doter les autorités chargées de la protection des données des outils d’enquête qui leur sont nécessaires pour utiliser efficacement les pouvoirs d’exécution prévus par le RGPD;

> soutenir le dialogue entre les autorités chargées de la protection des données et les autres autorités de réglementation nationales, en particulier celles qui ont été établies en vertu de la nouvelle législation numérique.

La Commission entend:

> soutenir activement l’adoption rapide de la proposition de règles de procédure relatives à l’application du RGPD par les colégislateurs;

> continuer à suivre de près l’indépendance effective et totale des autorités nationales chargées de la protection des données;

> créer des synergies et une cohérence entre le RGPD et l’ensemble de la législation relative au traitement des données à caractère personnel sur la base de l’expérience acquise et, si nécessaire, prendre les mesures appropriées pour assurer la sécurité juridique;

> réfléchir aux moyens d’aborder au mieux la nécessité d’une coopération entre les autorités de réglementation structurée et efficiente afin de garantir l’application efficace, logique et cohérente des règles numériques de l’UE, tout en respectant la compétence des autorités chargées de la protection des données pour toutes les questions relatives au traitement des données à caractère personnel.

Mettre en œuvre et compléter le cadre juridique

Les États membres devraient:

> veiller à ce que les autorités chargées de la protection des données soient consultées en temps utile avant l’adoption de la législation sur le traitement des données à caractère personnel.

La Commission entend:

> continuer à utiliser tous les outils à sa disposition, y compris les procédures d’infraction, pour veiller à ce que les États membres respectent le RGPD;

> continuer à soutenir les échanges de vues et les pratiques nationales entre les États membres, y compris par l’intermédiaire du groupe d’experts des États membres sur le RGPD;

> mener des actions visant à garantir que les enfants sont protégés, autonomisés et respectés en ligne;

> réfléchir aux prochaines étapes possibles concernant la proposition de règlement «vie privée et communications électroniques», y compris sa relation avec le RGPD.

Soutenir les parties prenantes

Le comité et les autorités chargées de la protection des données sont invités:

> à engager un dialogue constructif avec les responsables du traitement et les soustraitants sur le respect du RGPD;

> à intensifier encore les efforts visant à soutenir le respect des règles par les PME, en proposant des orientations et des outils sur mesure, en répondant à toute inquiétude infondée concernant la conformité des PME dont l’activité principale ne consiste pas à traiter des données à caractère personnel, et en les accompagnant dans leurs efforts de mise en conformité;

> à soutenir la mise en œuvre de mesures efficaces de mise en conformité par les entreprises, telles que la certification et les codes de conduite (y compris en tant qu’outils de transfert), en dialoguant avec les parties prenantes au cours du processus d’approbation, en fournissant des calendriers clairs pour les approbations et, comme annoncé dans la stratégie 2024-2027 du comité, en expliquant aux groupes clés de parties prenantes comment ces outils peuvent être utilisés;

> à veiller à ce que les lignes directrices nationales et l’application du RGPD au niveau national soient conformes aux lignes directrices du comité et à la jurisprudence de la Cour de justice;

> à résoudre les divergences d’interprétation du RGPD entre autorités chargées de la protection des données, y compris entre les autorités d’un même État membre;

> à fournir des lignes directrices concises, pratiques et accessibles au public concerné, comme annoncé dans la stratégie 2024-2027 du comité;

> à organiser une consultation plus précoce et plus utile sur les lignes directrices et les avis, afin de mieux comprendre la dynamique du marché et les pratiques commerciales, à tenir dûment compte des retours d’information reçus et à tenir compte de l’application concrète des interprétations adoptées;

> à achever en priorité les travaux en cours sur les lignes directrices consacrées aux données relatives aux enfants, à la recherche scientifique, à l’anonymisation, à la pseudonymisation et à l’intérêt légitime;

> à intensifier les activités de sensibilisation, les actions d’information et de contrôle de l’application des règles afin de veiller à ce que les délégués à la protection des données puissent s’acquitter de la mission qui leur incombe au titre du RGPD.

La Commission entend:

> continuer à apporter un soutien financier aux autorités chargées de la protection des données pour toutes les activités qui facilitent la mise en œuvre des obligations du RGPD par les PME;

> utiliser tous les moyens dont elle dispose pour apporter des éclaircissements opportuns sur des questions importantes pour les parties prenantes, y compris les PME, notamment en demandant l’avis du comité.

Étoffer la boîte à outils pour les transferts de données et la coopération internationale

Le comité et les autorités chargées de la protection des données sont invités:

> à achever les travaux visant à rationaliser et à raccourcir le processus d’approbation des règles d’entreprise contraignantes, ainsi qu’à mettre à jour les orientations sur les éléments figurant dans les règles d’entreprise contraignantes applicables aux soustraitants;

> à étudier les moyens/outils permettant d’aider davantage les exportateurs de données dans leurs efforts de mise en conformité avec les exigences de Schrems II;

> à explorer d’autres manières de veiller à la mise en œuvre effective des dispositions à l’égard des opérateurs établis dans des pays tiers qui relèvent du champ d’application territorial du RGPD.

Les États membres devraient:

> veiller à ce que la convention modernisée 108+ du Conseil de l’Europe soit signée et ratifiée dans les meilleurs délais, en vue de permettre son entrée en vigueur. La Commission entend:

> réaliser de nouveaux progrès dans les pourparlers en cours sur l’adéquation, se pencher sur la question de savoir s’il est opportun de développer plus avant les constats d'adéquation existants et engager de nouveaux dialogues sur l’adéquation avec les partenaires intéressés;

> soutenir une coopération accrue au sein du réseau des pays bénéficiant de décisions d’adéquation;

> parachever les travaux sur des clauses contractuelles types supplémentaires, en particulier pour les transferts de données à des importateurs de données dont le traitement est directement soumis au RGPD et les transferts au titre du règlement (UE) 2018/1725 pour les transferts de données par les institutions et organes de l’Union;

> coopérer avec des partenaires internationaux pour faciliter les flux de données sur la base de clauses contractuelles types;

> appuyer les processus de réforme en cours dans des pays tiers visant à renouveler ou à moderniser les règles en matière de protection des données, grâce au partage d’expériences et de bonnes pratiques;

> dialoguer avec des organisations internationales et régionales telles que l’OCDE et le G7 pour promouvoir des flux de données fiables fondés sur des normes élevées en matière de protection des données, y compris dans le contexte de l’initiative de libre circulation des données en toute confiance;

> faciliter et soutenir les échanges entre autorités de réglementation européennes et les autorités de réglementation internationales, y compris par l’intermédiaire de son Académie pour la protection des données;

> contribuer à faciliter la coopération internationale en matière répressive entre les autorités de surveillance, y compris grâce à la négociation d’accords de coopération et d’assistance mutuelle.