Depuis que la Commission européenne a publié sa proposition Digital Omnibus, les discussions sur la charge de travail que le GDPR crée pour les entreprises en Europe se sont intensifiées. La Commission souhaite notamment restreindre le droit d'accès, prétendument pour réduire la charge réglementaire. Mais ces changements reflètent-ils réellement les besoins des professionnels de la protection de la vie privée travaillant dans les entreprises ? Pour en savoir plus, noyb a mené une enquête auprès des délégués à la protection des données (DPD) pour leur demander quels éléments du GDPR leur prenaient le plus de temps - et où ils pouvaient le mieux l'utiliser pour assurer la protection des données des personnes.
Il s'avère que la plupart des professionnels ne souhaitent pas que les protections soient réduites, mais qu'ils réduisent les tâches de documentation et la paperasserie. Dans de nombreux cas, ils demandent même des lois plus claires plutôt qu'une plus grande "flexibilité", ce qui est difficile à gérer pour la plupart des entreprises.
Des informations en provenance directe de la source. L'argument principal de la Commission européenne pour modifier le GDPR est la réduction de la prétendue "charge réglementaire" pour les entreprises européennes. Cependant, la Commissionne réduit pas les démarches administratives, mais s'attaque directement aux éléments "essentiels" de la loi. Elle propose notamment de restreindre la définition des données à caractère personnel, de limiter le droit d'accès et d'ouvrir les vannes de la formation à l'IA. La question qui se pose est la suivante : cela aidera-t-il l'entreprise européenne moyenne ? Noyb a mené une enquête auprès des DPD et des professionnels de la protection de la vie privée afin de répondre à ces questions précises et de connaître les besoins des personnes qui travaillent au quotidien avec le GDPR. Leurs réponses vont souvent à l'encontre de l'approche de la Commission européenne.
Max Schrems, président du noyb: "Cette étude montre qu'il existe un fossé énorme entre les besoins des personnes qui travaillent quotidiennement dans le domaine de la conformité et les problèmes mis en avant par la "bulle du lobby bruxellois". Nous n'aidons pas ici les entreprises européennes normales - la proposition de la Commission va même souvent à l'encontre de ce que les professionnels considèrent comme utile."
Droits des personnes concernées : Faible charge de travail, impact important. Il est intéressant de noter que la majorité des personnes interrogées ont déclaré que le respect des droits des personnes concernées (articles 15 à 21) n'entraînait pas une charge de travail importante. Plus significativement, plus de 70 % ont déclaré que le droit d'accès (article 15) n'entraîne qu'une "certaine", une "petite" ou même aucune charge de travail. En même temps, il est considéré comme un outil utile pour protéger les droits des personnes. Cela correspond à l'expérience réelle de noyb: la plupart des entreprises ne reçoivent pratiquement jamais de demandes d'accès, tandis que certaines entreprises (Big Tech, courtiers en données ou agences de crédit) en reçoivent généralement beaucoup, mais ont également des réponses automatisées aux demandes d'accès. Il est donc surprenant que la proposition Digital Omnibus de la Commission européenne suggère encore une limitation de l'article 15 du GDPR, ce qui rendrait très difficile pour les Européens de faire respecter leurs droits en matière de vie privée.
Règles de base : charge de travail pertinente, grands bénéfices. Comme prévu, les règles fondamentales des articles 5 à 11 du GDPR (par exemple, les principes relatifs à la licéité du traitement ou les conditions du consentement) génèrent une charge de travail importante. Toutefois, les répondants ont également classé ces règles au deuxième rang des éléments de la loi les plus utiles pour protéger les droits des personnes concernées. Il en va de même pour les obligations de transparence prévues aux articles 13 et 14, que la Commission européenne suggère également de limiter.
Simplification réelle : S'éloigner de l'approche "unique". Alors que l '"approche fondée sur les risques" du GDPR était considérée comme un moyen de limiter la charge pesant sur les petites entreprises dans le cadre d'une loi "unique", les professionnels rapportent exactement le contraire. Dans la pratique, les grandes entreprises se plaignent souvent de pouvoir gérer des textes peu clairs et des évaluations de "risques" sujettes à interprétation, alors que les petits responsables de traitement n'ont pas les ressources nécessaires pour le faire. Les personnes interrogées sont clairement en faveur d'un système comportant des seuils clairs pour la taille des entreprises, qui devraient être basés sur des paramètres pertinents tels que le nombre d'utilisateurs - et non le nombre d'employés. Bien qu'un grand nombre d'entre eux représentent des entreprises de plus grande taille (plus de 500 employés), 70 % des personnes interrogées ont déclaré qu'il était nécessaire d'instaurer des règles plus strictes pour les grandes entreprises.
Max Schrems : "Depuis de nombreuses années, il y a un débat sur la possibilité de "hiérarchiser" le GDPR, avec des entreprises de classe A, B ou C. Pour l'instant, un petit organisme à but non lucratif comme Noyau a besoin d'une réglementation plus stricte. Actuellement, un petit organisme à but non lucratif comme noyb est généralement soumis aux mêmes règles que Google. Au lieu de cela, la Commission veut ajouter des éléments de "risque" flexibles à la loi, ce qui signifie que la plupart des entreprises auraient besoin d'un avocat pour savoir si un article s'applique à elles"
Moins "risque", plus de clarté grâce aux listes blanches et aux listes noires. 83.3 % des participants ont déclaré être favorables à une liste blanche pour les activités de traitement, et 91,1 % ont déclaré être favorables à une liste noire pour les activités de traitement. Une grande majorité d'entre eux estiment que ces listes permettraient aux entreprises d'économiser "beaucoup de travail" et d'obtenir une plus grande sécurité juridique. Étonnamment, les professionnels de la protection de la vie privée travaillant pour les responsables du traitement ne pensent pas qu'une "liste noire" (similaire à l'article 5 de la loi sur l'IA) limiterait trop les responsables du traitement. Il semble que la sécurité juridique soit préférée à des lois flexibles.
Réduire les coûts de mise en conformité B2B : Il est surprenant de constater que le GDPR génère un grand nombre de coûts de conformité entre les entreprises ("B2B") qui ne sont pas en contact avec les utilisateurs. Des millions de contrats sont rédigés et gérés entre entreprises. Le simple fait que la loi s'applique directement à des fournisseurs tels que Cloud Hyperscalers pourrait réduire des millions d'heures de travail et améliorer la protection de la vie privée. Les DPD seraient très favorables à une telle simplification.
Max Schrems : "L'Omnibus n'est pas seulement sur la mauvaise voie pour les utilisateurs, mais aussi pour la plupart des entreprises. À bien des égards, nous sommes en présence d'une proposition "lâche"."
Début d'un débat plus large. Les points soulevés dans cette enquête ne font que marquer le début d'un débat plus large suscité par la proposition Digital Omnibus. Nous pensons toutefois que des modifications du GDPR fondées sur des données probantes pourraient être bénéfiques pour tous : responsables du traitement, sous-traitants, personnes concernées et autorités. Nous espérons que ces premiers résultats pourront nous guider vers des solutions utiles à des problèmes réels, au lieu de courir après des mots à la mode.
