Les négociations du trilogue de l'UE sur un règlement de procédure qui devrait harmoniser et accélérer l'application du règlement général sur la protection des données (RGPD) tiendront probablement leur dernière réunion ce mercredi (21 mai). Cependant, la proposition risque de compromettre l'application du GDPR en introduisant des délais trop longs et des procédures trop complexes. Malgré la présence d'un négociateur en chef du Parti vert au Parlement européen, la proposition établit également une discrimination structurelle à l'égard des utilisateurs et accorde un traitement préférentiel aux grandes entreprises technologiques, tout en renonçant systématiquement à la protection des données personnelles et accorde un traitement préférentiel aux Big Tech, tout en abandonnant systématiquement les positions du Parlement. Le règlement proposé menace non seulement de paralyser l'application de la législation, mais pourrait également constituer une violation des éléments essentiels du droit à une procédure équitable et à une bonne administration. En conséquence, noyb étudie les possibilités d'introduire un recours en annulation si le règlement est adopté dans sa forme actuelle.
- Comparaison de la proposition de la Commission et des amendements du Parlement et du Conseil
- Article de fond comprenant une vue d'ensemble des étapes procédurales proposées après les premières négociations du trilogue
Les premières échéances en 2030. L'une des grandes promesses du nouveau règlement GDPR sur les procédures était d'accélérer les procédures. Cependant, le règlement ne s'est pas contenté d'être extrêmement compliqué, il pourrait également entraîner des procédures plus longues. Alors que le Parlement européen prévoyait à l'origine des délais globaux de trois mois seulement, les délais convenus pour certaines étapes de la procédure (phase de planification, droit d'être entendu et phase de décision) s'élèvent déjà à plus d'un an. Les négociateurs doivent encore décider de la durée de la partie principale de la procédure : l'enquête. Cela signifie que nous risquons de nous retrouver avec des délais de plus de deux ans. De plus, le règlement lui-même est extrêmement retardé, puisque la période de transition est fixée à 33 mois à compter de la publication du règlement, soit aux alentours de 2028. Si l'on tient compte de tous ces éléments, il est probable que la première affaire relative au GDPR susceptible de se heurter à un délai se situe aux alentours de 2030.
Max Schrems :"D'après ce que nous savons, il n'y a pas d'accord définitif sur les délais. Toutefois, les délais déjà convenus s'élèvent à 7 mois pour planifier une procédure GDPR et à 4 mois pour rendre une décision. Si l'on tient compte du fait qu'une enquête doit également être menée, on peut probablement parler de 2 à 3 ans pour une décision. À l'origine, le Parlement européen avait demandé un délai aussi court que 3 mois. De nombreux États membres ont des délais de 3 à 6 mois
En contradiction avec le programme de "simplification" de l'UE. Au lieu de simplifier et de rationaliser les procédures, le nouveau règlement fait exactement le contraire : de nombreuses étapes supplémentaires sont ajoutées à la procédure, de nombreux documents doivent être émis en deux ou trois versions pour différentes autorités et parties. Au lieu de disposer d'un système numérique central contenant tous les documents, le système ne contiendra qu'un petit nombre de documents, tandis que la plupart des dossiers seront stockés et répartis entre les quelque 40 autorités de protection des données de l'UE et devront être échangés manuellement. Tout cela coûtera des dizaines de milliers d'heures de travail, ce qui se traduira probablement par des millions de coûts inutiles dans les États membres.
Max Schrems :"Ce règlement ajoute des tonnes d'étapes et de paperasserie supplémentaires aux procédures existantes. Les autorités et les entreprises auront plus de travail avec les procédures GDPR - pas moins. Nous augmentons les coûts de mise en conformité et nous surchargeons les autorités, sans aucun avantage pour les utilisateurs ou les entreprises. C'est exactement le contraire de ce que promet la simplification de l'UE"
Discrimination structurelle entre les utilisateurs et les entreprises. Dans l'ensemble, le règlement établit également une discrimination structurelle à l'égard des utilisateurs. Par d'innombrables petites différences, le règlement permet aux entreprises de défendre leurs intérêts beaucoup plus facilement qu'aux utilisateurs de défendre leur droit à la protection des données. Par exemple : les entreprises peuvent obtenir tous les documents localement auprès de leur "autorité chef de file", tandis que les utilisateurs doivent se faire livrer les documents à l'étranger, sans aucun moyen réaliste de découvrir l'existence des documents ou de prendre des mesures si les documents ne sont pas fournis. Les entreprises ont le "droit d'être entendues", tandis que les utilisateurs n'ont que la "possibilité de faire connaître leur point de vue". Alors que les entreprises peuvent (dans certaines juridictions) avoir droit à une audition, au cours de laquelle elles peuvent débattre avec une autorité, les utilisateurs n'ont que la possibilité d'envoyer une déclaration écrite. De nombreux éléments de la procédure sont régis par la législation de l'État membre où réside l'entreprise, et non par celle de l'État membre où se trouve le siège de l'utilisateur.
Max Schrems : "L'ensemble du règlement est orienté contre les utilisateurs. Dans presque tous les articles, les entreprises sont privilégiées et les utilisateurs discriminés. Il n'y a absolument pas d'"égalité des armes" dans cette procédure. Alors que la législation européenne protège généralement la partie la plus faible, ce règlement est discriminatoire à l'égard de la partie la plus faible
Le PE s'est "vendu" à la Commission et au Conseil. Alors que le projet de la Commission a été largement critiqué par de nombreuses parties, le Parlement européen a entrepris un exercice de reformulation substantiel. Sans être parfaits, les principaux problèmes structurels de la proposition de la Commission ont été résolus par le Parlement. Toutefois, lors des négociations entre la Commission, les États membres de l'UE et le Parlement, ce dernier a pratiquement renoncé à toutes ses positions. Presque toutes les dispositions concernant les droits des utilisateurs, les délais courts ou les procédures transparentes ont été éliminées. Toute possibilité d'appliquer de manière réaliste les nouvelles règles aux autorités chargées de la protection des données qui ne s'y conforment pas a été supprimée.
Max Schrems :"Le Parlement européen a totalement renoncé à ses positions fondamentales. Il ne reste que de minuscules traces de leur version originale. C'est extrêmement étrange, étant donné que le principal négociateur du Parlement est un membre du Parti Pirate et un membre du groupe des Verts - prétendument les plus fervents défenseurs des droits des utilisateurs. Au cours des négociations de ces derniers mois, nous avons eu le sentiment général que personne ne se souciait de ce dossier. Le résultat en est le reflet absolu"
noyb considère les procédures d'annulation. La législation de l'UE doit être conforme aux principes fondamentaux inscrits dans la Charte des droits fondamentaux de l'UE. Parmi ceux-ci figurent le droit à une bonne administration (article 41), le droit à une procédure équitable dans un délai raisonnable (article 47) ou l'égalité de traitement en droit (article 20). En outre, l'UE doit également veiller à ce que le droit fondamental à la protection des données énoncé à l'article 8 de la Charte puisse être effectivement appliqué par les utilisateurs. Le nouveau règlement semble violer structurellement ces exigences. Toute personne directement concernée peut donc engager une procédure d'annulation devant les tribunaux de l'UE afin de faire déclarer le règlement nul - soit dans son ensemble, soit en grande partie.
Max Schrems :"Le règlement présente de telles lacunes structurelles que la Cour de justice pourrait être amenée à l'annuler. Le projet actuel viole vraisemblablement la Charte de multiples façons en ce qui concerne l'accès aux preuves, l'équité, l'égalité des armes et la prise de décision en temps utile. En théorie, le règlement pourrait être annulé avant qu'il ne devienne applicable
