Depuis 2018, le GDPR est censé garantir que les Européens jouissent des droits à la vie privée dans l'ensemble de l'UE. Cependant, lorsque les droits des personnes sont violés par des entreprises basées dans un autre État membre de l'UE/EEE, les plaintes sont traitées par le biais d'un "mécanisme de coopération" complexe entre l'autorité de protection des données (APD) de l'État membre des utilisateurs et l'APD de l'État membre de l'entreprise. Ce mécanisme d'application est au cœur de l'échec généralement reconnu de l'application du GDPR. Les plaintes se perdent, les décisions prennent des années et il n'y a pratiquement aucune possibilité d'agir contre des autorités de protection des données inactives. L'UE a tenté de résoudre ce problème par le biais d'un "règlement de procédure GDPR". Mais il est clair aujourd'hui qu'elle est sur le point d'échouer lamentablement. Les négociations finales dites de "trilogue" entre le Parlement européen, les États membres et la Commission européenne ont abouti à un désordre législatif qui rendra probablement les procédures plus complexes, plus lentes et sujettes à des contestations juridiques. noyb a suivi le dossier de près et lance aujourd'hui un avertissement public. Le dossier nécessite un travail supplémentaire intensif. L'approche actuelle semble globalement aggraver la situation.
- Observatoire législatif de l'UE : toutes les informations sur la procédure législative
- Liste des acteurs clés (PDF)
- Aperçu de la procédure prévue (PDF)
"Plus simple et plus rapide" est devenu "complexe et instable". Jusqu'à présent, le GDPR prévoit que les autorités de protection des données (DPA) de 30 pays de l'UE/EEE doivent "coopérer", mais il ne précise pas comment cette coopération doit être menée en détail. Les procédures nationales diffèrent largement. Les exigences relatives à l'audition des parties, au partage des preuves ou à l'émission formelle d'une décision valide diffèrent d'un État membre à l'autre. Des principes de base tels que le partage d'informations sur une affaire avec toutes les autorités ne fonctionnent pas dans la pratique. Dans l'ensemble, cela a conduit à des procédures GDPR extrêmement lentes, à des documents perdus et à des actions de mise en application qui ont échoué. Même des affaires simples, telles qu'une demande d'accès à l'information par une personne concernée, peuvent prendre cinq ans ou plus. Lorsque la Commission européenne a annoncé qu'elle allait remédier à ce gâchis par le biais d'un "règlement de procédure GDPR"la principale promesse était de parvenir enfin à une mise en œuvre efficace grâce à des procédures plus rapides, rationalisées et simplifiées.
Cependant, dans l'état actuel des choses, les institutions européennes sont sur le point de produire exactement le contraire : un cauchemar procédural encore plus complexe, inflexible et incohérent qui n'améliorera pas l'application du GDPR, mais la diminuera.
La Commission européenne n'a jamais réalisé d'évaluation d'impact appropriée et n'a jamais impliqué les parties prenantes avant d'introduire sa proposition, manquant clairement d'un savoir-faire procédural de base. À la suite de la proposition défectueuse de la Commission, le Conseil a présenté une position en demi-teinte, car la présidence belge de l'UE voulait rapidement "clore" le dossier d'ici l'été 2024. Le Parlement européen, contrairement aux premières mesures prometteuses qu'il a prises pour réformer fondamentalement la proposition de la Commission au cours de la législature précédente, semble avoir abandonné presque toute ambition sous sa nouvelle direction.
Dans l'ensemble, cette initiative législative est vouée à devenir une source d'embarras pour l'UE, surtout après les récentes promesses de prendre enfin au sérieux les droits fondamentaux des Européens en matière de protection des données et de la vie privée et de prouver au monde entier que le GDPR est la norme de référence, et pas seulement sur le papier. Le résultat attendu serait également en contradiction avec l'aspiration de l'UE à réduire les règles complexes et à améliorer la qualité juridique de la législation européenne. Au lieu de se contenter de simplifier la procédure de base, les projets de textes en cours de négociation aboutiraient à une dizaine de types de procédures GDPR possibles - avec diverses sous-variantes, rebondissements et virages.
Max Schrems, président de noyb.eu : "Au départ, nous étions très favorables à des règles de procédure claires. Mais cette proposition risque de devenir le plus grand désordre législatif que j'ai vu depuis longtemps. Alors que le Conseil et le Parlement européen semblent s'accorder sur le fait que la proposition de la Commission nécessite des changements substantiels, il semble qu'ils n'aient pas réussi à résoudre les problèmes structurels, mais qu'ils aient plutôt ajouté des éléments encore plus nombreux et plus complexes. Le Parlement européen a complètement renoncé à introduire des approches procédurales bien établies. Le résultat est un système surchargé qui rendra les procédures encore plus complexes et plus lentes. De nombreux éléments sont d'une qualité juridique tellement médiocre que cette loi ne résoudra pas les problèmes, mais générera davantage de litiges"
Heureux, si tout le monde est malheureux ? Alors que de nombreuses batailles politiques européennes opposent deux groupes d'intérêt, ce dossier semble avoir été une lutte entre une législation de qualité et une approche qui n'est ni réalisable ni conforme aux principes procéduraux les plus élémentaires. Malgré les avertissements des experts, le dossier est tout simplement poussé à travers le processus, encore et encore. Nombreux sont ceux qui, à huis clos, ont déclaré que le texte était un "spectacle de merdeou que les négociations du trilogue en sont malheureusement arrivées à un point où l'élaboration de la législation est une "usine à saucisses qui produit une saucisse"une usine à saucisses qui produit une saucisse - quel qu'en soit le contenu". Bien que de nombreux acteurs semblent avoir pris conscience du problème, peu de mesures ont été prises. Un thème commun semble être "faites-le passer d'une manière ou d'une autre - tant qu'il n'est pas sur ma table."
Max Schrems : " Ce règlement aurait pu changer la donne en matière d'exercice des droits fondamentaux des citoyens. Au lieu de cela, il semble qu'il va faire perdre des milliers d'heures à des autorités déjà surchargées en prescrivant diverses étapes procédurales inutiles et excessivement complexes, ce qui se traduit par des millions d'euros en argent du contribuable. Dans le même temps, les procédures seront plus lentes et plus complexes pour les entreprises et les citoyens. Il sera encore plus difficile de faire respecter les droits conférés par le GDPR aux personnes normales. Les entreprises verront probablement une plus grande incertitude juridique, des décisions inexactes et des coûts juridiques plus élevés pour la paperasserie supplémentaire et les appels nécessaires"
Des approches procédurales médiévales - au lieu des droits des parties. La proposition initiale de la Commission européenne s'inscrivait dans un esprit autoritaire. Les autorités de protection des données "chefs de file" situées dans le même pays que l'entreprise (comme la fameuse autorité irlandaise de protection des données) étaient protégées autant que possible contre la nécessité de coopérer avec d'autres autorités de protection des données et contre l'obligation d'écouter les parties concernées. De cette manière, ils étaient censés pouvoir mener la procédure seuls, sans être dérangés par qui que ce soit. Mais cette approche est à l'opposé d'une administration moderne, efficace et transparente. Il est essentiel d'impliquer les parties à un stade précoce pour parvenir à des décisions factuellement correctes et largement acceptées. Après tout, ce sont les entreprises qui savent le mieux comment fonctionnent leurs systèmes et les plaignants qui savent le mieux quel est leur problème lié au GDPR. Au lieu de cela, la Commission a construit la procédure sur un système purement "inquisitoire"système inquisitoire"littéralement une approche médiévale datant du 12e siècle. De nombreux documents et décisions de la procédure sont publiés avant toute enquête ou audition des parties. Il semble que de nombreux concepts aient été empruntés à la pratique du Commissaire irlandais à la protection des données - l'autorité de protection des données qui a produit le plus grand nombre de litiges avec d'autres autorités de protection des données et qui est connue pour ses procédures extrêmement lentes et désordonnées. La manière dont les éléments pertinents de la loi proposée (en particulier les articles 9 à 17) interagiront avec des procédures nationales beaucoup plus modernes n'est pas claire. Le règlement ne définit pas correctement l'interaction entre le droit communautaire et le droit national.
Max Schrems : "L'approche de la Commission européenne a consisté à supposer que les autorités chargées de la protection des données savent tout. Au lieu d'entendre les parties, comme c'est le cas dans presque tous les États membres de l'UE, la Commission européenne a prévu que les parties ne seraient entendues qu'à la fin de l'enquête par le biais d'une "décision préliminaire". Les droits des parties seraient donc extrêmement limités. Cette approche est susceptible de produire un grand nombre de décisions inexactes. Après tout, ce sont les entreprises qui savent le mieux comment fonctionnent leurs systèmes et les plaignants qui savent le mieux quel est leur problème. L'interaction entre ces concepts et les règles de procédure nationales n'est absolument pas claire. L'article qui aurait permis de clarifier ce point a également été supprimé"
procédures "rapides" : 3 ou 33 mois ? L'une des dernières questions non résolues dans les négociations actuelles semble être celle des délais de procédure. Jusqu'à présent, les autorités chargées de la protection des données font état d'un délai moyen d'environ 8 mois pour rendre une décision. Dans les États membres qui disposent déjà d'un tel délai, la moyenne est d'environ 4,5 mois. Il n'était donc pas irrationnel que le Parlement européen propose un délai de 3 mois dans les cas simples et jusqu'à 9 mois dans les autres cas. En revanche, le Conseil aurait proposé un délai de décision pouvant aller jusqu'à 33 mois. Jusqu'à présent, aucun accord n'a été trouvé sur la possibilité pour les utilisateurs de porter plainte dans leur pays d'origine. Au lieu de cela, ils pourraient devoir poursuivre une autorité de protection des données étrangère dans une autre juridiction de l'UE en raison des retards. Cela rendrait les choses pratiquement impossibles pour la plupart des gens.
Max Schrems : "En moyenne, les autorités font état d'une durée d'environ 8 mois pour les procédures. Certaines propositions des États membres prévoient une durée de 33 mois. Ce serait la première fois que vous pourriez même soulever un retard auprès d'un tribunal, qui, à son tour, peut prendre des années pour statuer sur une action en justice concernant un retard. Il s'agit en fait d'un laissez-passer pour les autorités chargées de la protection des données pour faire traîner les procédures à l'infini..."
Manque de savoir-faire en matière de procédure. L'une des raisons structurelles de l'issue douteuse de ce processus pourrait être le fait que la Commission européenne, le Parlement et le Conseil n'ont pratiquement jamais traité de législation sur le droit procédural. Le droit procédural est actuellement du ressort des États membres. Jusqu'à présent, l'UE n'a pas publié de loi de procédure administrative transnationale pertinente. Même au sein des États membres, le droit procédural est généralement traité par des juristes experts dans des départements distincts au sein des universités et des unités spécialisées au sein des ministères de la justice nationaux. Dans l'ensemble, il semble que cette proposition aurait nécessité beaucoup plus de préparation et d'investissement pour éviter la situation actuelle où les législateurs de l'UE semblent se contenter de botter en touche.
Max Schrems : "Il existe une race particulière de juristes qui s'occupent du droit procédural. Ce savoir-faire fait clairement défaut dans ce dossier. C'est comme si je me mettais demain à pratiquer l'astrophysique - le résultat ne serait probablement d'aucune utilité pour l'humanité".
