Le Comité européen de la protection des données (CEPD), qui réunit les CNIL de tous les États membres, a transmis à la Commission européenne ses requêtes pour améliorer l’application du RGPD, via une harmonisation des procédures et une meilleure collaboration inter-États.
“Bien que son application s’accélère et que l’efficacité de la coopération transfrontalière entre les autorités de supervision ne cesse de s’accroître, le potentiel du RGPD n’est pas encore pleinement exploité”.
Le CEPD, réunion des CNIL de l’Union eurpéenne, veut harmoniser les procédures du RGPD
Telle est la conclusion d’Andrea Jelinek, cheffe de la CNIL autrichienne et présidente du Comité européen de la protection des données (CEPD), qui réunit les autorités nationales de protection des données des 27 États-membres, au terme d’une lettre envoyé par le comité à la Commission européenne pour faire le point sur le RGPD et son application dans l’Union européenne.
Andrea Jelinek estime notamment qu’il est “nécessaire d’aplanir les différences entre les procédures et les pratiques administratives qui peuvent avoir un impact négatif sur la coopération transfrontalière”.
Mécanisme du guichet unique
En effet, le RGPD impose une intense collaboration entre les différentes autorités, en particulier s’il s’agit de rappeler à l’ordre un acteur traitant des données dans plusieurs pays de l’Union européenne – ce qui est le cas notamment de toutes les plateformes numériques internationales, notamment américaines.
Dans ce cas, c’est l’autorité du pays où l’entreprise a son siège social (le cas échéant son siège social européen) qui, en vertu du « mécanisme du guichet unique », devient cheffe de file et doit coordonner le processus de collaboration : partager les informations pertinentes avec les autres autorités, diriger l’enquête et préparer le projet de décision.
Les procédures internationales : un interminable chemin de croix
Mais dans les faits, ce type de procédure s’apparente souvent à un interminable chemin de croix. La faute, selon le CEPD, à des ”obstacles procéduraux” et à l’absence de “compréhension commune des concepts et termes clé du guichet unique”.
Qui plus est, dans de trop nombreux États, un grand nombre d’étapes procédurales ne sont soumise à aucun délai, provoquant des “retards indus et/ou des disparités dans la finalisation des affaires”. Le CEPD met également en avant des disparités dans la manière de déposer une plainte et dans les pré-requis, ainsi que le manque de règles encadrant le rejet d’une requête.
Des retards qui font le délice des géants du web
Au final, la collaboration entre les diverses autorités de protection des données en pâtit, ralentissant les procédures et les échanges d’informations, enlisant les enquêtes et, surtout, offrant aux entreprises traitant frauduleusement les données ce qu’elles désirent le plus : du temps. Du temps avant de se faire rappeler à l’ordre officiellement, et donc du temps pendant lequel elles peuvent monnayer (souvent fort cher) des données acquises au mépris du RGPD.
Et comme les géants du web nourris à la publicité ciblée (coucou Google ! coucou Facebook !) maîtrisent sur le bout des doigts les moyens de faire traîner une enquête ou une procédure (et amasser du cash le plus longtemps possible avant d’être contraints de changer de pratiques), ces retards sont particulièrement dommageable à l’esprit du RGPD.
Vers une harmonisation des procédures et des délais ?
Pour remédier à ces soucis endémiques, le CEPD demande à la Commission d’établir une liste des droits procéduraux auxquels les différentes parties peuvent prétendre, de clarifier le statut et le rôle des plaignants dans l’enquête menée et, plus globalement, d’harmoniser les procédures (du dépôt de plainte au terme de l’enquête) et les délais.
Pour finir, la lettre appelle à clarifier le pouvoir des autorités, en particulier les cas où elles peuvent et ne peuvent enquêter, seules, en tant que cheffes de file ou en collaboration avec une autre autorité cheffe de file. Objectif, pour le CEPD : simplifier le déroulé des enquêtes et en finir avec les divergences de point de vue des autorités européennes sur leurs compétences.