Règlement sur les procédures GDPR : La proposition de la Commission est une attaque contre les droits des utilisateurs dans les procédures GDPR
Aujourd'hui, le commissaire européen à la justice, M. Reynders, a publié une proposition visant à remédier au manque de coopération entre certaines autorités chargées de la protection des données (DPA). Actuellement, le GDPR dit seulement aux DPAs de coopérer, mais manque de détails sur la façon dont cette coopération devrait fonctionner. Malheureusement, la proposition de la Commission semble présenter des lacunes techniques et matérielles et prive les citoyens des droits existants au lieu de garantir leur application. Idéalement, un nouveau règlement pourrait suivre les principes de haut niveau établis pour les procédures transfrontalières, ce qui permettrait de réduire les interférences avec les procédures nationales et d'accroître la sécurité juridique.
- Lien vers la proposition de la Commission
- Communiqué de presse de la Commission
- La proposition de l'ONUB est disponible à l'adresse suivante : https://gdpr-procedure.eu/
Contexte. Jusqu'à présent, le GDPR stipule que les DPA nationales doivent coopérer les unes avec les autres, mais les détails des procédures sont laissés à la discrétion des États membres. Il n'existe pas de dispositions claires en matière de conflit de lois, qui permettraient de déterminer quelle loi nationale s'applique à tel ou tel élément de la procédure. Les éléments du droit communautaire sont limités à certaines étapes de la procédure de coopération. Cela a conduit à de nombreux conflits entre les autorités de protection des données, jusqu'à une action en justice intentée par la DPC irlandaise contre le Conseil européen de la protection des données (EDPB) pour de prétendus dépassements de la part de l'organe de coordination de l'UE.
Max Schrems :"Le GDPR demande essentiellement aux DPA de "coopérer", mais elles ont toutes des points de vue différents sur la manière dont les procédures devraient fonctionner et sur la loi nationale qui s'applique à chaque étape. En outre, certains États membres ont adopté des règles de procédure visant à saper les procédures du GDPR. Dans d'autres États membres, les autorités chargées de la protection des données et les tribunaux ont développé des pratiques qui ne sont pas conformes aux normes minimales de l'UE. Cette situation rend les procédures transnationales souvent extrêmement lentes et désordonnées."
L'approche de la Commission est erronée. La proposition de la Commission semble se fonder principalement sur les demandes de certaines autorités de protection des données d'exclure les citoyens des procédures afin de les "simplifier". Lorsqu'elle tente de résoudre les problèmes, la Commission ne cherche qu'à combler les lacunes individuelles du système, qui sont apparues dans les premières affaires importantes entre le DPC irlandais et ses homologues européens. La proposition de la Commission n'adopte pas une approche systématique, déléguant la compétence aux États membres pour certaines parties de la procédure et garantissant l'existence de normes européennes minimales, à l'exception des règlements existants relatifs aux procédures transfrontalières (tels que les règlements de "Bruxelles" ou de "Rome"). Au lieu de cela, la proposition de la Commission semble implanter certains éléments européens dans les lois existantes, ce qui conduit à un hybride entre les lois et procédures européennes et nationales.
Déséquilibre entre les utilisateurs et les entreprises. Alors que certains éléments clés qui permettraient d'accélérer les procédures - tels que des délais importants pour l'autorité de contrôle principale chargée d'enquêter sur une affaire transfrontalière - sont pour la plupart absents, l'approche de la Commission ferait même pencher l'équilibre déjà problématique des armes dans les affaires de protection des données davantage du côté des entreprises. Alors que les citoyens ne seront entendus que de manière minimale, le projet prévoit de nombreux droits pour les entreprises : elles sont entendues tout au long de la procédure et ont accès aux dossiers. Cela pourrait conduire à cimenter les problèmes existants devant des régulateurs opaques tels que le CPD plutôt que de les résoudre.
Max Schrems :"Nous espérions une solution, mais il s'agit fondamentalement de transformer une procédure concernant les droits des utilisateurs en une procédure concernant les droits des entreprises. Nous devons étudier la proposition plus en détail, car de nombreux éléments constituent clairement un pas en arrière pour les droits des utilisateurs. Nous pensons qu'il existe des moyens plus traditionnels de résoudre les problèmes qui, en même temps, interféreraient moins avec les lois procédurales nationales et seraient beaucoup plus simples - tout en réglant les problèmes à un niveau systématique. Nous nous engagerons auprès des législateurs européens pour voir si la proposition peut être corrigée, mais il semble que le chemin à parcourir soit long
La voie à suivre. La proposition de la Commission est soumise à un calendrier très serré, étant donné que le mandat de la Commission européenne s'achève en 2024. La proposition doit maintenant être soumise au Parlement européen et aux États membres, qui devront se mettre d'accord sur une version finale. Il n'est pas certain que la proposition actuelle soit bien accueillie par les autres organes législatifs européens. noyb suivra de près le processus.