Deux semaines, trop court pour faire connaître son point de vue au Comité européen de la protection des données ? La CCIA (Computer & Communications Industry Association) le déplore. Il faut dire qu’elle représente les intérêts des premiers concernés par ce délai. En l’occurrence, les entreprises technologiques objet d’enquêtes au nom du RGPD.
Le délai en question figure dans une proposition de règlement que la Commission européenne vient de publier. Objectif du texte : améliorer la coopération entre autorités de protection des données dans le cadre des dossiers transfrontaliers.
Le législateur a constaté que ce mécanisme – qu’établit l’article 60 du RGPD – fait l’objet d’interprétations très variées au niveau des États membres. Il en résulte des « différences importantes » dans les procédures administratives.
Les interprétations divergent par exemple sur le contenu des réclamations. Comme sur leur rejet et sur la participation de leurs auteurs à la procédure. Sur le premier point, les autorités n’exigent pas toutes le même niveau d’information. Sur le second, certaines n’adoptent pas de décision formelle.
Le règlement vise aussi à combler les écarts constatés sur les droits accordés aux parties objets des enquêtes. Cela va du droit d’être entendu à celui d’accéder au dossier.
Diminuer le recours au « comité RGPD »
Il s’agit aussi de renforcer la coopération entre autorités en amont des procédures, dans l’espoir de réduire les recours – fréquents en l’état – au mécanisme de règlement des litiges (article 65 RGPD : transmission du dossier à un comité réunissant les chefs des autorités nationales impliquées et le Contrôleur européen de la protection des données). Principal levier : harmoniser la formulation des objections. Tout en fixant des délais – plus globalement sur l’ensemble des étapes de la procédure de coopération.
La démarche implique de préciser des notions telles que celle d’« informations utiles ». C’est l’objet, entre autres, de l’article 8 de la proposition de règlement. Les suivants spécifient ce que doivent contenir respectivement le résumé d’avis préliminaire de l’autorité dite « chef de file » et les éventuelles objections de ses pairs.
Les dispositions que critique le CCIA figurent à l’article 24. Elles s’inscrivent dans la dernière étape du processus d’enquête, lorsque le comité a été saisi d’un dossier et qu’il a exposé ses motifs, préalablement au prononcé de sa décision. Au-delà du délai, l’association pointe aussi l’impossibilité de faire appel de cette décision. Non sans regretter que le texte envisagé ne propose pas de mécanismes pour d’autres autorités que les Cnil, alors même, affirme-t-elle, que la CJUE vient d’ouvrir la porte à l’implication des autorités de la concurrence.
À consulter en complément :
Data Act : derrière l’accord politique, les désaccords stratégiques
Digital Services Act : une contestation dvant la CJUE
10 ans après Snowden, qu’en est-il de la protection des données ?
RGPD : ChatGPT examiné par la Cnil
La réforme du RGPD se précise au Royaume-Uni