Les négociations du trilogue de l'UE pour un règlement de procédure qui devrait harmoniser et accélérer l'application du règlement général sur la protection des données (RGPD) auront probablement leur dernière réunion ce mercredi (21 mai). Cependant, la proposition risque de compromettre l'application du GDPR en introduisant des délais trop longs et des procédures trop complexes. Malgré la présence d'un négociateur en chef du Parti vert au Parlement européen, la proposition établit également une discrimination structurelle à l'égard des utilisateurs et accorde un traitement préférentiel aux grandes entreprises technologiques, tout en renonçant systématiquement à la protection des données personnelles et accorde un traitement préférentiel aux Big Tech, tout en abandonnant systématiquement les positions du Parlement. Le règlement proposé menace non seulement de paralyser l'application de la législation, mais pourrait également constituer une violation des éléments essentiels du droit à une procédure équitable et à une bonne administration. En conséquence, noyb étudie les possibilités d'introduire un recours en annulation si le règlement est adopté dans sa forme actuelle.

- Comparaison de la proposition de la Commission et des amendements du Parlement et du Conseil
- Article de fond comprenant une vue d'ensemble des étapes procédurales proposées après les premières négociations du trilogue
L'une des grandes promesses du nouveau règlement procédural du GDPR était d'accélérer les procédures. Cependant, le règlement n'est pas seulement extrêmement compliqué, mais il peut également conduire à des procédures plus longues. Alors que le Parlement européen prévoyait à l'origine des délais globaux de trois mois seulement, les délais convenus pour certaines étapes de la procédure (phase de planification, droit d'être entendu et phase de décision) s'élèvent déjà à plus d'un an. Les négociateurs doivent encore décider de la durée de la partie principale de la procédure : l'enquête. Il est donc probable que nous nous retrouvions avec des délais de plus de deux ans. En outre, le règlement lui-même sera extrêmement retardé, puisque la période de transition est fixée à 18 mois à compter de la publication du règlement, soit vers la fin de 2026 ou le début de 2027. Si l'on tient compte de tous ces éléments, il est probable que le premier cas de GDPR susceptible de se heurter à une date limite se situe aux alentours de 2029.
Max Schrems :"D'après ce que nous avons entendu, il n'y a pas d'accord définitif sur les délais. Cependant, les délais déjà convenus s'élèvent à 7 mois pour planifier une procédure GDPR et à 4 mois pour rendre une décision. Si l'on tient compte du fait qu'une enquête doit également être menée, on peut parler de 2 à 3 ans pour une décision. À l'origine, le Parlement européen avait demandé des délais aussi courts que 3 mois. De nombreux États membres ont des délais de 3 à 6 mois
En contradiction avec le programme de "simplification" de l'UE. Au lieu de simplifier et de rationaliser les procédures, le nouveau règlement fait exactement le contraire : de nombreuses étapes supplémentaires sont ajoutées à la procédure, de nombreux documents doivent être émis en deux ou trois versions pour différentes autorités et parties. Au lieu de disposer d'un système numérique central contenant tous les documents, le système ne contiendra qu'un petit nombre de documents, tandis que la plupart des dossiers seront stockés et distribués entre les plus de 40 autorités de protection des données de l'UE et devront être échangés manuellement. Tout cela coûtera des dizaines de milliers d'heures de travail, ce qui se traduira probablement par des millions d'euros de coûts inutiles dans les États membres.
Max Schrems :"Ce règlement ajoute des tonnes d'étapes et de paperasserie supplémentaires aux procédures existantes. Les autorités et les entreprises auront plus de travail avec les procédures GDPR - pas moins. Cela augmente les coûts de mise en conformité et la surcharge des autorités, sans aucun avantage pour les utilisateurs ou les entreprises. C'est exactement le contraire de ce que promet la simplification de l'UE"
Discrimination structurelle entre les utilisateurs et les entreprises. D'une manière générale, le règlement établit également une discrimination structurelle à l'égard des utilisateurs. Par d'innombrables petites différences, le règlement permet aux entreprises de défendre leurs intérêts beaucoup plus facilement qu'aux utilisateurs de défendre leur droit à la protection des données. Par exemple : les entreprises peuvent obtenir tous les documents localement auprès de leur autorité chef de file, tandis que les utilisateurs doivent se faire livrer les documents de l'étranger, sans aucun moyen réaliste de découvrir l'existence des documents ou de prendre des mesures si les documents ne sont pas fournis. Les entreprises ont le "droit d'être entendues", tandis que les utilisateurs n'ont que la "possibilité de faire connaître leur point de vue". Alors que les entreprises peuvent (dans certaines juridictions) avoir droit à une audition, au cours de laquelle elles peuvent débattre avec une autorité, les utilisateurs n'ont que la possibilité d'envoyer une déclaration écrite. De nombreux éléments de la procédure sont régis par la législation de l'État membre où réside l'entreprise, et non par celle de l'État membre où se trouve le siège de l'utilisateur.
Max Schrems : "L'ensemble du règlement est orienté contre les utilisateurs. Dans presque tous les articles, les entreprises sont privilégiées et les utilisateurs discriminés. Il n'y a absolument pas d'"égalité des armes" dans cette procédure. Alors que la législation européenne protège généralement la partie la plus faible, ce règlement la discrimine"
Le PE s'est "vendu" à la Commission et au Conseil. Alors que le projet de la Commission a été largement critiqué par de nombreuses parties, le Parlement européen a entrepris un exercice de reformulation substantiel. Bien qu'ils ne soient pas parfaits, les principaux problèmes structurels de la proposition de la Commission ont été résolus par le Parlement. Toutefois, lors des négociations entre la Commission, les États membres de l'UE et le Parlement, ce dernier a renoncé à la quasi-totalité de ses positions. Presque toutes les dispositions concernant les droits des utilisateurs, les délais courts ou les procédures transparentes ont été éliminées. Toute possibilité d'appliquer de manière réaliste les nouvelles règles aux autorités chargées de la protection des données qui ne s'y conforment pas a été écartée.
Max Schrems :"Le Parlement européen a totalement abandonné ses positions fondamentales. Il ne reste que de minuscules traces de leur version originale. C'est extrêmement étrange, étant donné que le principal négociateur du Parlement est un membre du Parti Pirate et un membre du Groupe des Verts - qui sont censés être de fervents défenseurs des droits des utilisateurs. Au cours des négociations de ces derniers mois, nous avons eu le sentiment général que personne ne se souciait de ce dossier. Le résultat en est le reflet absolu"
noyb envisage des procédures d'annulation. Le droit communautaire doit être conforme aux principes fondamentaux inscrits dans la Charte des droits fondamentaux de l'Union européenne. Parmi ceux-ci figurent le droit à une bonne administration (article 41), le droit à une procédure équitable dans un délai raisonnable (article 47) ou l'égalité de traitement en droit (article 20). En outre, l'UE doit également veiller à ce que le droit fondamental à la protection des données énoncé à l'article 8 de la Charte puisse être effectivement appliqué par les utilisateurs. Le nouveau règlement semble violer structurellement ces exigences. Toute personne directement concernée peut donc engager une procédure d'annulation devant les tribunaux de l'UE afin de faire déclarer le règlement nul, que ce soit dans son ensemble ou en grande partie.
Max Schrems :"Le règlement présente de telles lacunes structurelles que la Cour de justice pourrait être amenée à l'annuler. Le projet actuel viole vraisemblablement la Charte de multiples façons en ce qui concerne l'accès aux preuves, l'équité, l'égalité des armes et la prise de décision en temps utile. En théorie, le règlement pourrait être annulé avant qu'il ne devienne applicable
*Note : Une version précédente de cet article mentionnait 33 mois, alors que nous avions ajouté par erreur une période de 15 et 18 mois, qui se déroulent en fait en parallèle.