Règles de procédure supplémentaires relatives à l'application du règlement (UE) 2016/679

Proposition de règlement du Parlement européen et du Conseil établissant des règles de procédure supplémentaires relatives à l'application du règlement (UE) 2016/679 - COM(2023) 348

Le présent texte propose de renforcer l'efficacité des procédures de coopération entre les autorités de protection lors des situations transfrontières relevant du Règlement général sur la protection des données (RGPD).

La coopération entre les autorités de protection nationales chargées de la mise en oeuvre du RGPD relève actuellement des articles 60 et suivants du RGPD, qui dispose en particulier que :

- en cas de traitement transfrontalier, une autorité de contrôle dite « cheffe de file » est compétente (en général, il s'agit de celle de l'établissement principal du responsable du traitement ou du sous-traitant faisant l'objet de l'enquête) ;

- l'autorité cheffe de file coopère avec les autres autorités de contrôle, en échangeant toute information utile dans le but de parvenir à un consensus ;

- l'autorité cheffe de file peut demander assistance aux autres autorités de contrôle concernées et doit leur communiquer tout projet de décision ;

- des opérations conjointes peuvent être menées entre les autorités ;

- si aucun consensus ne se dégage, le comité européen de la protection des données (CEPD), organe indépendant rassemblant les représentants des autorités nationales, peut adopter une décision contraignante.

La commission a dressé en juin 2020 un premier constat sur l'application du RGPD. Dans sa communication au Parlement européen et au Conseil, elle note que « de nouvelles avancées doivent être réalisées en vue d'un traitement plus efficace et davantage harmonisé des situations transfrontières dans l'ensemble de l'UE, y compris sur le plan procédural »^1(*)

La résolution du Parlement européen du 25 mars 2021 concernant le rapport d'évaluation de la Commission sur la mise en oeuvre du règlement général sur la protection des données deux ans après son entrée en application « presse la Commission d'évaluer si les procédures administratives nationales entravent la pleine efficacité de la coopération au titre de l'article 60 du RGPD ainsi que sa mise en oeuvre effective ». Elle demande également au CEDP « d'établir les éléments de base d'une procédure administrative commune pour traiter les réclamations dans les affaires transfrontalières en vertu de la coopération mise en place au titre de l'article 60 » ainsi que de « renforcer le mécanisme de cohérence et de le rendre obligatoire pour toute question d'application générale ou pour toute affaire ayant des effets transfrontaliers, afin d'éviter l'incohérence des approches et des décisions des différentes autorités chargées de la protection des données, car celle-ci menacerait l'uniformité d'interprétation et d'application du RGPD »^2(*).

En réponse, le CEPD a engagé une réflexion aboutissant, en octobre 2022, à la transmission d'une liste d'aspects procéduraux susceptibles d'être davantage harmonisés. Après diverses consultations, la Commission a présenté en juillet 2023 sa proposition de règlement établissant des règles de procédure supplémentaires relatives à l'application du RGPD.

***

La proposition de règlement modificative, fondée sur l'article 16 (protection des données à caractère personnel) du Traité sur le fonctionnement de l'Union européenne (TFUE), vise ainsi à améliorer et harmoniser les procédures de coopération entre les autorités de protection lors des litiges transfrontières relatifs au RGPD. Elle est composée de 31 articles répartis en sept chapitres relatifs, outre aux dispositions générales et finales, à l'introduction et au traitement des réclamations, à la coopération au sens de l'article 60 du RGPD, à l'accès au dossier administratif et au traitement de informations confidentielles, à la question du règlement des litiges et à la procédure d'urgence.

La proposition permettrait ainsi :

1- de rationaliser la coopération entre les autorités de protection en introduisant des étapes complémentaires pour favoriser la formation d'un consensus rapide entre les autorités de protection concernées et, par conséquent, éviter le recours au mécanisme de règlement des litiges par le CEPD.

La coopération commencerait à un stade précoce, l'autorité cheffe de file devant envoyer, dès qu'elle s'est forgée un avis sur les questions soulevées, un résumé des points essentiels (qui devrait contenir, outre les principaux éléments de l'enquête, l'avis de l'autorité cheffe de file) aux autres autorités de protection concernées par le dossier. Ces dernières auraient alors quatre semaines à réception du résumé pour formuler leurs observations. Sans observation de leur part, la procédure serait considérée comme non contentieuse et les conclusions préliminaires adressées aux parties dans un délai de neuf mois. Dans le cas contraire, l'autorité cheffe de file et les autres autorités de protection concernées engageraient des échanges pour obtenir un consensus. En cas d'échec, l'autorité cheffe de file demanderait au comité une décision contraignante d'urgence sur la portée de l'enquête.

2- d'harmoniser les procédures et les droits procéduraux en uniformisant les éléments devant être fournis par les auteurs à l'appui de leur demande. La proposition contient ainsi en annexe un formulaire de réclamation unique devant être utilisé dans toutes les réclamations introduites au titre de l'article 77 du RGPD, relatif au droit d'introduire une réclamation auprès d'une autorité de contrôle. L'autorité recevant la demande serait chargée de déterminer sa recevabilité.

Si l'autorité cheffe de file envisage de rejeter totalement ou partiellement la plainte, ou si elle émet des conclusions préliminaires^3(*), elle doit avertir l'autorité de contrôle ayant reçu la réclamation, afin que cette dernière informe le plaignant.

Les auteurs de plainte peuvent ainsi :

- donner leur point de vue sur les projets de rejet partiel ou total, ainsi que sur les conclusions préliminaires et les projets de décision révisés, d'une réclamation ;

- demander communication des documents non confidentiels sur la base desquels la proposition de rejet a été prise. Dans l'hypothèse de conclusions préliminaires, l'autorité cheffe de file donne accès aux documents non confidentiels si cela est nécessaire pour que l'auteur fasse connaitre utilement son point de vue, à condition qu'il remplisse au préalable une déclaration de confidentialité. L'accès au dossier administratif ne s'étend ni à la correspondance et aux échanges de vue entre l'autorité de contrôle cheffe de file et les autorités de contrôle concernées, ni aux informations contenant des secrets d'affaires ou informations confidentielles, sauf disposition contraire ;

- effectuer un recours juridictionnel après adoption d'une décision de rejet.

Les parties mises en cause sont autorisées à :

- répondre par écrit à toute conclusion préliminaire dans un délai fixé, exposer les faits et arguments pertinents pour leur défense et joindre tout document à l'appui de leurs dires ;

- avoir accès au dossier administratif dès qu'elles se voient notifier les conclusions préliminaires. L'accès au dossier administratif ne s'étend ni à la correspondance et aux échanges de vue entre l'autorité de contrôle chef de file et les autorités de contrôle concernées, ni aux informations contenant des secrets d'affaires ou informations confidentielles, sauf disposition contraire.

3- de préciser les procédures de règlement des litiges et d'urgence par le CEPD conformément aux articles 65 et 66 du RGPD. Sont ainsi déterminés les délais ainsi que la liste des éléments à fournir à l'appui de la demande.

S'agissant du règlement des litiges, le comité doit rédiger un exposé des motifs préalable à toute adoption d'une décision contraignante et le transmettre aux parties faisant l'objet de l'enquête ou, en cas de rejet, à l'auteur de la demande. Les parties ont alors une semaine pour faire connaitre leur point de vue.

***

Ce texte est présenté par la Commission comme un texte d'harmonisation ne portant nullement atteinte aux règles en matière de protection de données, aux droits des personnes concernées ou aux obligations des responsables de traitement.

Une coopération efficace entre autorités de protection, lors des situations transfrontières, est bien évidemment nécessaire. Toutefois, la proposition actuelle contient des dispositions laissant craindre un alourdissement des procédures, ce qui n'est pas souhaitable.

Outre la complexification du processus et l'augmentation de la charge administrative qui pourraient découler d'un règlement rédigé conformément à la proposition actuelle, un point en particulier appelle notre vigilance : celui des accords de confidentialité. En effet, si ces derniers étaient rendus obligatoires, imposant ainsi un formalisme plus étendu qu'une simple obligation générale de confidentialité, serait introduite une notion inédite en droit français : l'obligation pour un plaignant de signer un accord de confidentialité.

Une réserve sur ce point précis ne nous paraît pas d'une ampleur telle qu'elle justifierait l'adoption par le Sénat d'un avis motivé dénonçant la non-conformité de cette proposition de règlement au principe de subsidiarité. Toutefois, il pourrait être opportun qu'au nom de la commission des affaires européennes chargée pour le Sénat de contrôler le respect de ce principe, son président signale aux autorités françaises en charge de la négociation de ce texte au Conseil la vigilance du Sénat sur ce point précis, par exemple sous la forme d'un courrier, qui pourrait être cosigné par le président de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, si ce dernier y consent.

La présidence espagnole a d'ores et déjà annoncé son souhait de faire avancer le plus possible les négociations sur ce texte au Conseil, qui se poursuivront à raison d'une réunion par mois à compter de septembre.

* ¹ « La protection des données: un pilier de l'autonomisation des citoyens et de l'approche de l'Union à l'égard de la transition numérique - deux années d'application du règlement général sur la protection des données », COM(2020) 264 Final, page 6 - https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52020DC0264

* ² https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_FR.html - Point 21

* ³ Dans le cas où elle projette de rendre une décision constatant une violation du RGPD.