INT/1042
Règlement général sur la protection des données — règles de procédure supplémentaires
AVIS
Section «Marché unique, production et consommation»
Proposition de règlement du Parlement européen et du Conseil établissant des règles
de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679
[COM(2023) 348 final – 2023/0202 (COD)]
Rapporteure: Katrīna ZARIŅA
|
Consultation
|
Commission européen, 13/11/2023
|
|
Base juridique
|
Article 304 du traité sur le fonctionnement de l’Union européenne
|
|
|
|
|
Compétence
|
Section «Marché unique, production et consommation»
|
|
Adoption en section
|
23/11/2023
|
|
Résultat du vote
(pour/contre/abstentions)
|
37/0/0
|
|
Adoption en session plénière
|
JJ/MM/AAAA
|
|
Session plénière nº
|
…
|
|
Résultat du vote
(pour/contre/abstentions)
|
…/…/…
|
1.Conclusions et recommandations
1.1D’une manière générale, le Comité économique et social européen (CESE) accueille favorablement la proposition de la Commission européenne prévoyant l’établissement de règles de procédure supplémentaires pour la coopération entre les autorités de contrôle des données à caractère personnel dans les États membres de l’Union européenne en ce qui concerne les situations transfrontalières.
1.2Le CESE considère que la proposition a été élaborée avec tout le soin qui s’impose afin d’accroître la participation des personnes concernées au processus d’enquête sur les réclamations transfrontalières, et précise l’ensemble des informations qui devraient être produites lors du dépôt d’une réclamation, ce qui permettrait de rendre la procédure plus fluide.
Le CESE estime que les améliorations de la réglementation proposées par la Commission sont nécessaires et qu’elles représenteront des apports tangibles à chacune des parties concernées. Pour les organisations (entreprises et institutions), les nouvelles règles établiront de façon plus précise leur droit à une procédure équitable, pour les particuliers, elles mettront en avant le droit à être entendues dans le cadre de la procédure d’examen de la réclamation, tandis que, pour les autorités chargées de la protection des données, les nouvelles règles faciliteront la coopération et amélioreront l’efficacité de l’application de la législation.
1.3Au fil des discussions, le CESE en est venu à la conclusion que la capacité et les performances des autorités des États membres chargées de la protection des données (APD) jouent un rôle très important dans le traitement efficace des affaires transfrontalières. Dans ce contexte, le CESE invite les États membres à suivre de près le financement de leurs APD et à renforcer leurs capacités afin que les particuliers et les entreprises puissent bénéficier de tout le soutien dont ils ont besoin.
1.4Le CESE est d’avis que cette proposition s’emploie à harmoniser la mise en œuvre de l’article 60 du règlement général sur la protection des données (RGPD) dans les États membres et à mieux préciser les procédures. Pour la première fois, la proposition harmonise au niveau des États membres le déroulement de la procédure liée à l’application du RGPD. D’une manière générale, le Comité salue les progrès accomplis dans l’harmonisation de la mise en œuvre du RGPD, tout en tenant compte des différences entre les réglementations nationales des États membres. De même, il approuve la direction prise qui va dans le sens d’une harmonisation des procédures, et invite les parties concernées à garder le cap et, dans la mesure du possible, à étendre l’harmonisation des actes de procédure à toutes les questions procédurales ayant trait à l’application du RGPD.
1.5Le CESE a formulé un certain nombre de suggestions qui, selon lui, seraient susceptibles d’améliorer la proposition de la Commission, à qui il recommande de clarifier et de compléter ladite proposition comme suit:
a)fixer des délais de procédure plus précis et des délais maximaux dans la proposition, chaque fois que cela est possible et approprié;
b)indiquer clairement aux APD des États membres que l’éventail d’informations figurant à l’annexe de la proposition à inclure dans la réclamation représente le minimum des informations que l’auteur de réclamation doit fournir, mais que chaque APD a le droit de le compléter, si elle le juge nécessaire, par d’autres séries d’informations facultatives;
c)accorder aux APD des États membres le droit de décider de la langue de communication intermédiaire qui leur semble la mieux appropriée entre elles lorsqu’elles examinent une réclamation transfrontalière;
d)laisser aux APD des États membres le pouvoir de décider si elles contrôlent l’identité de l’auteur de réclamation en lui demandant qu’une copie d’une pièce d’identité soit jointe à la réclamation;
e)améliorer le formulaire de réclamation en ajoutant le droit de l’auteur de la réclamation de demander un traitement confidentiel des informations soumises;
f)remplacer la liste des documents d’identification par une formulation plus générale dans le formulaire de réclamation, telle que, par exemple, «document d’identification», de manière à couvrir tous les types de documents d’identification jugés acceptables dans l’État membre concerné, avec une réserve concernant l’utilisation du permis de conduire à des fins d’identification personnelle, uniquement dans les États membres où celui-ci est considéré comme un document d’identification;
g)demander que les APD utilisent l’ensemble des informations requises dans le formulaire qui figure à l’annexe de la proposition et que celles-ci soient jugées suffisantes, non seulement pour le dépôt d’une réclamation concernant un traitement transfrontalier, mais aussi dans les cas où, à première vue, ce dernier n’a pas eu lieu.
h)définir la manière dont la proposition s’appliquera aux pays de l’Espace économique européen (EEE).
1.6Le CESE attire l’attention sur la nécessité d’associer davantage les partenaires sociaux et la société civile à la préparation, à l’évaluation et au suivi de ces propositions lors de l’élaboration de nouvelles précisions et propositions. Une coopération étroite entre les parties liées relève des principes de bonne gouvernance et améliore la qualité générale de la réglementation et l’efficacité de son application.
2.Observations générales
2.1La Commission européenne a élaboré une proposition prévoyant l’établissement de règles de procédure supplémentaires pour la coopération entre les autorités de contrôle des données à caractère personnel dans les États membres de l’Union européenne (UE) en ce qui concerne les situations transfrontalières, lesquelles sont actuellement énoncées à l’article 60 du
règlement général sur la protection des données
(RGPD). Parallèlement, la Commission a élaboré un formulaire de réclamation commun pour ce qui concerne les situations transfrontalières qui est joint en annexe à la proposition.
2.2Depuis son entrée en vigueur en 2018, le contrôle du RGPD est confié aux autorités indépendantes chargées de la protection des données (APD) des États membres. Le principe de mise en œuvre «à guichet unique» énoncé dans le RGPD vise à garantir une interprétation et une application cohérentes de ce dernier, tout en concrétisant le principe de proximité, qui assure à chacun la possibilité de contacter son APD locale et de recevoir une réponse. En pareil cas, l’APD «cheffe de file» (celle de l’établissement principal du responsable du traitement ou du sous-traitant faisant l’objet de l’enquête) conduit l’enquête, et elle est tenue de coopérer avec les autres APD concernées en s’efforçant de parvenir à une compréhension commune (consensus).
2.3L’APD cheffe de file doit exercer ses compétences dans le cadre d’une coopération étroite avec les APD concernées. Lorsque les APD ne parviennent pas à s’entendre sur une approche commune dans une situation transfrontalière, le RGPD prévoit le règlement des questions litigieuses soulevées «au moyen d’objections pertinentes et motivées», par le comité européen de la protection des données, lequel se compose du chef de l’APD de chaque État membre et du Contrôleur européen de la protection des données, et auquel la Commission participe.
2.4La proposition complète le RGPD en précisant les règles de procédure pour les grandes étapes du processus d’enquête sur la réclamation établi par le RGPD. La proposition vise à garantir une application cohérente du RGPD dans les États membres et à résoudre les problèmes qui se posent dans plusieurs domaines. La mise en œuvre des règles de procédure entraînera une interaction avec les droits procéduraux des États membres au sein de l’autorité (chargée de la protection des données).
2.5Pour les particuliers, les nouvelles règles clarifieront les informations qui seront nécessaires lors de l’introduction d’une réclamation, tout en garantissant la participation de l’auteur de réclamation tout au long de la procédure d’enquête. Pour les entreprises, elles clarifieront le droit de ces dernières à une procédure équitable, tandis que, pour les autorités chargées de la protection des données, elles faciliteront la coopération et amélioreront l’efficacité de leur application. Le CESE estime que de telles améliorations de la réglementation sont nécessaires et qu’elles représenteront des apports tangibles à chacune des parties concernées.
2.6Les droits des personnes concernées dans les situations transfrontalières. Au stade actuel, certaines APD octroient aux auteurs de réclamation les mêmes droits qu’aux victimes, alors que d’autres ne prévoient pas leur participation ou ne les associent que de manière très limitée; certaines APD adoptent des décisions formelles pour rejeter toutes les réclamations auxquelles il ne sera pas donné suite, tandis que d’autres ne le font pas. Ces différences aboutissent à ce que le traitement des réclamations et la participation de leurs auteurs à la procédure varient en fonction de l’État membre où la réclamation est introduite ou de l’ADP qui est cheffe de file dans une situation donnée. En conséquence, ces différences retardent la conclusion de l’enquête et la mise en œuvre d’une mesure réparatoire dans les situations transfrontalières. La proposition se donne pour but de réduire ces différences et de promouvoir une approche commune de cette question dans les États membres. La proposition prévoit pour l’auteur de la réclamation des droits procéduraux nouveaux, qui sont similaires dans tous les États membres et qui, jusqu’à présent, n’étaient pas garantis.
2.7Les APD ont actuellement des interprétations divergentes en ce qui concerne les exigences relatives au contenu de la réclamation, à la participation des auteurs de réclamation à la procédure et au rejet des réclamations. Des réclamations acceptées par certaines APD peuvent être rejetées par d’autres au motif qu’elles ne fournissent pas suffisamment d’informations. Par conséquent, outre les droits et obligations liés à la procédure, la proposition prévoit d’introduire un formulaire de réclamation commun, qui fixe les informations requises pour toute réclamation introduite auprès de l’une des autorités chargées de la protection des données.
2.8Droits procéduraux des parties faisant l’objet de l’enquête. La proposition procède à une harmonisation ciblée des droits procéduraux dans les situations transfrontalières. La proposition confère aux parties faisant l’objet de l’enquête le droit d’être entendues à des étapes clés de la procédure, notamment au cours du règlement du litige par le comité européen de la protection des données, et clarifie le contenu du dossier administratif ainsi que le droit des parties d’accéder à ce dernier. La proposition renforce les droits de la défense des parties et garantit leur respect cohérent indépendamment de l’APD qui mène l’enquête.
2.9Le CESE se félicite que la proposition offre une plus grande sécurité procédurale aux opérateurs économiques, tout en étendant le droit de ces derniers d’être entendus aux stades les plus importants de l’instruction; dans le même temps, il attire l’attention sur le fait que les systèmes juridiques des États membres sont différents, ce qui peut entraver la bonne application des solutions introduites par la proposition.
2.10Coopération entre APD et règlement des litiges au sein du comité européen de la protection des données. L’article 60 du RGPD trace les grandes lignes de la procédure à suivre par les APD lorsqu’elles coopèrent dans des situations transfrontalières, mais celle-ci est insuffisamment détaillée. Dans les situations transfrontalières, les ADP sont tenues d’échanger toute «information utile» en s’efforçant de parvenir à un consensus. Une fois que l’APD cheffe de file a soumis un projet de décision, les autres APD ont la possibilité de formuler des «objections pertinentes et motivées», lesquelles ouvrent des voies pour résoudre le litige. La procédure de règlement des litiges prévue à l’article 65 du RGPD constitue certes un élément essentiel pour garantir l’interprétation cohérente du RGPD, mais elle devrait être réservée aux situations exceptionnelles dans lesquelles la coopération entre APD n’a pas débouché sur un consensus.
2.11L’expérience de la Commission en ce qui concerne l’application du RGPD dans les situations transfrontalières montre qu’avant la soumission d’un projet de décision par l’APD cheffe de file, la coopération entre les APD est insuffisante. C’est pourquoi la proposition procède à une harmonisation ciblée des droits procéduraux dans les situations transfrontalières. La proposition dote les APD des outils nécessaires pour parvenir à un consensus en ajoutant de la substance à l’exigence faite aux APD, à l’article 60 du RGPD, de coopérer et de partager toute «information utile». La proposition établit un cadre permettant à toutes les APD d’avoir une incidence significative dans une situation transfrontalière en donnant leur avis à un stade précoce de la procédure d’enquête et en ayant recours à tous les outils prévus par le RGPD.
2.12La proposition énonce des exigences concernant la forme et la structure des «objections pertinentes et motivées» soulevées par les APD, facilitant ainsi la participation effective de toutes les APD et la résolution rapide de l’affaire. La proposition définit les règles de procédure pour rejeter des réclamations dans les affaires transfrontalières tout en précisant, dans de tels cas, les rôles respectifs de l’APD cheffe de file et de l’APD où la réclamation est introduite. Se trouvent aussi précisément décrits le contenu du dossier administratif ainsi que le droit des personnes à accéder à leur dossier. La proposition insiste sur l’importance et la légalité du règlement amiable des cas fondés sur des réclamations.
3.Observations particulières
3.1Bien que la proposition se donne parmi ses objectifs principaux de mettre en place un cadre procédural défini pour le traitement de litiges entre APD lors de traitements de données transfrontaliers et qu’elle prévoie plusieurs délais de procédure, ces derniers sont souvent vagues ou encore ne sont pas assortis de délai maximal (voir par exemple, les articles 8, paragraphe 1, 12, paragraphe 2, 14, paragraphe 4, et 17, paragraphe 2). Afin d’atteindre l’objectif poursuivi par la proposition à l’examen de parvenir à un processus plus rapide et transparent, tout en veillant à ce que l’auteur de la réclamation et la partie à l’encontre de qui une procédure a été engagée puissent se prévaloir du RGPD et des modalités procédurales prévues dans la proposition, le CESE recommande de fixer des délais précis et des délais maximaux dans les articles concernés de la proposition, chaque fois que possible et dès lors que la fixation d’un tel délai contribue à l’efficacité de la procédure.
3.2L’article 3, paragraphe 5, de la proposition prévoit que l’auteur de la réclamation puisse demander la confidentialité des informations contenues dans la réclamation, mais l’annexe de la proposition (formulaire de réclamation) ne contient aucune référence à un tel droit. Les particuliers n’étant pas tenus de maîtriser toutes les nuances juridiques de la législation en matière de protection des données, et notamment de connaître le droit de demander la confidentialité des informations à un stade ou un autre de la procédure, le CESE recommande de remplir le formulaire avec des informations sur le droit prévu à l’article 3, paragraphe 5, permettant à l’auteur de la réclamation de demander la confidentialité des informations contenues dans cette dernière.
3.3Les articles 11, 12 et 13 de la proposition prévoient le droit de l’auteur de la réclamation d’être entendu par l’APD dans le cadre du processus de coopération internationale. Au vu de l’avis conjoint du comité européen de la protection des données (EDPB) et du Contrôleur européen de la protection des données (CEPD) sur la proposition qui, à son chapitre 8, livre une analyse détaillée commune aux deux partenaires des lacunes recensées dans la proposition — les possibilités pour l’auteur de la réclamation d’exercer les droits procéduraux au vu des différents scénarios possibles pour lesquels une réclamation peut être traitée au titre du RGPD — et compte tenu des différentes pratiques des APD des États membres pour ce qui concerne la participation de l’auteur de la réclamation aux procédures, le CESE recommande de clarifier les modalités d’exercice des droits des plaignants énoncés dans ces articles, de sorte que leur mise en œuvre contribue à l’efficacité du traitement transfrontalier des réclamations envisagé.
3.4L’article 6, paragraphe 1, de la proposition prévoit que l’autorité de contrôle auprès de laquelle la réclamation a été introduite se charge de traduire la réclamation et le point de vue de l’auteur de la réclamation dans la langue employée par l’APD cheffe de file avant leur communication à cette dernière, ainsi que la traduction des documents reçus par l’APD cheffe de file dans une langue comprise par l’auteur de la réclamation. Étant donné que les APD communiquent principalement en anglais, mais que la majorité des APD des États membres utilisent comme langue de communication la (ou les) langue(s) officielle(s) de chaque État membre concerné, il convient de préciser si la traduction des documents et autres informations à transmettre à l’APD pour son usage interne doit être effectuée dans la langue de l’État membre ou si les autorités de contrôle peuvent appliquer la pratique antérieure consistant à convenir entre elles d’une langue de communication commune à toutes les autorités de contrôle.
3.5Dans le même temps, le CESE estime que la traduction des documents dans une langue comprise par l’auteur de la réclamation, à savoir, la langue nationale de l’État membre concerné, mérite pleinement d’être soutenue pour garantir le droit de l’auteur de réclamation à communiquer avec les autorités dans une langue qu’il comprend.
3.6Dans le même temps, le CESE est préoccupé par le fait que l’obligation de fournir une traduction de la réclamation et de tous les documents reçus pourrait imposer aux APD une charge administrative disproportionnée. Il redoute aussi, dans les cas où la traduction ne sera pas effectuée vers l’anglais, que l’APD organisant la traduction ne soit pas en mesure d’assurer le contrôle requis de son exactitude. Les termes utilisés dans le domaine de la protection des données ont souvent un caractère technique, et un manque de précision ou de vérification dans leur traduction peut entraîner une mauvaise compréhension du déroulement des faits concernés. Il en résulte un risque que l’APD cheffe de file ne soit pas informée de façon suffisamment objective et exhaustive du contenu de la réclamation déposée et des éléments factuels sur lesquels elle repose. Conformément à la pratique actuelle de l’APD en la matière, le CESE note que, dans le cas d’infractions transfrontalières, les APD des États membres s’accordent souvent sur l’utilisation de la langue anglaise pour leur communication mutuelle. Les informations recueillies par le CESE font apparaître qu’à ce jour les APD utilisent des outils de traduction automatique pour traduire rapidement, et avec une consommation minimale de leurs ressources, les documents qu’ils échangent au fil des enquêtes avec leurs homologues. Il est toutefois fait appel à des services de traduction professionnels pour traduire les décisions finales.
3.7Le CESE juge excessive une telle exigence de traduction à partir de (et vers) plusieurs langues pour des échanges de documents entre APD en ce qu’elle entraîne des dépenses inutiles pour les institutions, les entreprises et la société. Le Comité préconise de permettre aux APD concernées de convenir de l’utilisation d’une langue compréhensible par toutes les APD impliquées dans le traitement d’un litige transfrontalier et d’exploiter activement les possibilités offertes par les technologies numériques, l’intelligence artificielle et la traduction automatique.
3.8L’article 31 de la proposition prévoit que le nouveau règlement sera directement applicable dans tous les États membres. Dans la mesure où le RGPD s’applique aussi aux pays de l’Espace économique européen (EEE), il semble nécessaire de préciser que la proposition s’appliquera également à eux, dans le but de garantir une approche commune de l’application du RGPD, ainsi qu’une coopération efficace entre les APD de l’EEE et de l’Union dans le traitement des réclamations transfrontalières.
3.9Le formulaire de la réclamation prévoit une procédure d’identification de la personne concernée et exige de cette dernière qu’elle présente un document d’identité (très probablement une copie papier ou électronique, et non un original). À ce jour, dans certains États membres, la procédure de réclamation ne prévoit pas d’identification de la personne et l’autorité présume que les informations que celle-ci fournit relativement à son identité sont exactes. Les APD des États membres ont des pratiques différentes quant à la question de savoir si elles contrôlent le document d’identification du plaignant à la réception d’une réclamation: une partie des APD des États membres, contrairement à d’autres, adoptent de telles pratiques. Imposer une telle obligation aux APD qui, jusqu’à présent, ne la connaissait pas peut entraîner un surcroît de charge administrative ainsi que des risques supplémentaires en matière de sécurité de l’information découlant de la transmission et du stockage sécurisés des documents d’identification du côté des APD. Ce point de vue se trouve aussi exprimé dans l’avis conjoint du comité européen de la protection des données et du Contrôleur européen de la protection des données sur la proposition. Le CESE recommande que la décision en la matière soit laissée à la compétence des APD, en lui permettant de choisir de poursuivre ou non sa pratique.
3.10Par ailleurs, la note de bas de page numéro 2 de l’annexe prévoit que le document d’identification peut être «par exemple, passeport, permis de conduire, carte d’identité nationale». Il convient de rappeler ici que des différences d’analyse existent entre les États membres quant à savoir si un permis de conduire constitue ou non un document d’identification officiel. En Lettonie, par exemple, ce n’est pas le cas. Toutefois, si la Commission décide de maintenir l’obligation d’identifier l’auteur de la réclamation, le CESE recommande de remplacer la liste par une formulation plus générale, telle que «document d’identification», de manière à couvrir tous les types de documents d’identification jugés acceptables dans l’État membre concerné, ou d’ajouter le «permis de conduire (uniquement dans les États membres où il est considéré comme un document d’identification personnelle) à la liste des documents d’identification existants.
3.11Il est, de la même façon, prévu que figure en annexe le formulaire qui fixe les informations que l’auteur de la réclamation doit produire pour toute réclamation transfrontalière. Dans le même temps, l’article 3, paragraphe 2, de la proposition dispose que «l’autorité de contrôle auprès de laquelle la réclamation a été introduite détermine si la réclamation concerne un traitement transfrontalier.» Cela peut conduire à la fois à des situations où la réclamation introduite ne concerne pas, malgré tout, un traitement transfrontalier, ou encore à d’autres où le formulaire n’a pas été utilisé, mais où le traitement transfrontalier a été effectué, sans que l’auteur de la réclamation ne le sache ou sans qu’il n’ait pu s’identifier. Pour éviter de telles situations et des retards injustifiés dans la procédure en raison d’informations insuffisantes, il serait souhaitable que les APD utilisent l’ensemble des informations requises dans le formulaire qui figure à l’annexe de la proposition et les juge suffisantes, non seulement pour le dépôt d’une réclamation concernant un traitement transfrontalier, mais aussi dans les cas où, à première vue, le traitement transfrontalier n’a pas eu lieu. Il est aussi nécessaire de communiquer clairement avec les APD des États membres, lesquelles sont en droit d’ajouter d’autres questions à l’annexe; en revanche, si l’auteur de la réclamation n’est pas en mesure d’y répondre, cela ne saurait constituer un obstacle à l’acceptation de la réclamation.
Bruxelles , le 23 novembre 2023
Sandra PARTHIE
Présidente de la section «Marché unique, production et consommation»
_____________