Les propositions du CEPD pour une meilleure harmonisation de l’application du RGPD
13.11.2022
Gestion d'entreprise
Le Comité européen de la protection des données (CEPD) a publié des lignes directrices établissant une liste « des aspects procéduraux qui pourraient bénéficier d’une harmonisation plus poussée » dans l’objectif d’augmenter l’efficacité du mécanisme de coopération.
Le document du CEPD, publié le 10 octobre 2022, s’inscrit à la suite des lignes directrices du Comité du 14 mars 2022 relatives à l’application de l’article 60 du RGPD sur la « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », ainsi que de la déclaration du 28 avril 2022 où il affirmait sa volonté de renforcer la coopération transfrontalière entre les autorités de protection des données des États membres de l’UE, afin de garantir l’application efficace et cohérente du RGPD.
Le CEPD apporte des précisions sur cinq points majeurs.
Le CEPD relève le manque d’harmonisation entre les États membres au sujet du statut des plaignants dans les procédures administratives. En effet, alors que dans certains États membres, les plaignants jouent un rôle actif avec des droits précis, dans d’autres ils ne sont pas impliqués dans les procédures au-delà du dépôt de leur plainte auprès de l’autorité de contrôle. Ainsi, le Comité invite, dans un premier temps, à définir qui sont les parties à la procédure, à clarifier leur statut, et à spécifier leurs droits.
Le Comité propose en outre de préciser une liste des droits procéduraux dont bénéficient les parties, quel que soit l’État membre concerné, et d’apporter des précisions sur le droit d’accès aux documents de la procédure, notamment sur la portée de ce droit, de façon à déterminer à quels documents les parties peuvent accéder et lesquels doivent demeurer confidentiels. Une harmonisation sur le moment auquel une telle demande d’accès peut être adressée, sur l’identification de l’autorité chargée de la traiter et de la mettre en œuvre, sur les modalités de coopération des autorités et d’accès au dossier et sur la façon dont peuvent être utilisées les informations reçues devrait également être recherchée.
Le Comité insiste ensuite sur le droit d’être entendu par les parties devant une autorité de contrôle nationale (« right to be heard »). Selon lui, les modalités de jouissance de ce droit diffèrent fortement aujourd’hui en fonction des États membres. Aussi, le CEPD appelle à une harmonisation plus poussée du champ d’application de ce droit, de son calendrier et de ses modalités d’application.
Le CEPD relève dans ses lignes directrices de nombreuses étapes procédurales pour lesquelles il n’existe pas de délais précis de traitement. Tel est le cas pour le transfert d’une plainte à l’autorité chef de file, l’émission d’un projet de décision par l’autorité chef de file, pour l’adoption d’une décision finale après consensus, ou encore pour la détermination de la recevabilité d’une plainte. L’absence d’échéances dans les procédures administratives peut engendrer des retards ou des différences de traitement entre les plaintes. Ainsi, le Comité invite à ajouter des échéances à ces étapes procédurales, précisant que toute date limite déterminée doit « prendre en compte la spécificité et la complexité de chaque cas individuel ». Pensant aux difficultés de traitement des plaintes par certaines autorités de contrôle, le CEPD recommande d’adopter des dispositions pour faire face aux situations dans lesquelles les affaires transfrontalières ne sont pas traitées par l’autorité chef de file dans un délai raisonnable. Il demande enfin que le délai laissé à cette autorité pour transmettre les informations aux autres autorités de contrôle concernées soit précisé.
L’article 77 du RGPD prévoit le « droit d’introduire une réclamation auprès d’une autorité de contrôle ». Néanmoins, aucune précision n’est apportée sur les conditions et modalités de dépôt d’une réclamation. Certains États membres acceptent les réclamations envoyées par courriel, alors que d’autres imposent des conditions de résidence. Ainsi, le CEPD conseille, premièrement, de mettre en place des règles harmonisées en matière de formalités de dépôt des réclamations, et deuxièmement de confirmer que les autorités de contrôle chefs de file ne peuvent pas réexaminer la recevabilité des réclamations dans les cas transfrontaliers. Il s’intéresse par ailleurs à la nécessité d’harmoniser les règles relatives aux délais pour déposer une réclamation, après que la personne concernée a exercé ses droits sans succès.
Concernant le rejet des plaintes ou la clôture de la procédure de réclamation, le Comité relève trop de divergences entre les règles des États membres. Ainsi, il propose de définir les situations dans lesquelles une réclamation doit être rejetée ou abandonnée, ainsi que celles dans lesquelles la procédure peut être clôturée. Il ajoute que « la clarification des exigences procédurales pour le rejet serait également un ajout bienvenu ». Au sujet des réclamations qui se résolvent à l’amiable (de manière non contentieuse), le Comité souhaite établir des règles harmonisées et claires sur les règlements à l’amiable, « ou des procédures simplifiées dédiées au traitement de ces plaintes », en raison de l’absence d’un cadre légal existant dans la majorité des États membres.
Le Comité relève que les autorités nationales ont différentes conceptions de l’étendue de leurs pouvoirs en matière d’enquête. Il propose donc de clarifier ces pouvoirs dans les premières phases de la procédure ainsi que de codifier les règles relatives au contrôle préalable et aux étapes que l’autorité de contrôle doit suivre. Le CEPD souhaite une clarification sur les cas dans lesquels des enquêtes plus approfondies sont ou non nécessaires et demande que le pouvoir des autorités nationales de s’assurer de la bonne exécution des décisions qu’elles ont prises soit confirmé.
Le Comité revient ici sur les informations qui doivent être systématiquement échangées entre les autorités de contrôles au cours de la procédure de coopération. Il invite ainsi à créer une liste « non ambiguë » des informations à transmettre et en cite quelques-unes, à savoir : « la plainte initiale et les éléments de preuve soumis par le plaignant dans la mesure où ils sont pertinents pour l’affaire, les documents de procédure officiels pertinents adoptés par l’autorité de contrôle concernée en ce qui concerne la recevabilité de la plainte, tous les documents pertinents relatifs aux enquêtes menées par l’autorité de contrôle principale, y compris sur la portée de l’enquête, et (un résumé) des observations écrites des parties à la procédure nationale. ». Tout autre document considéré comme utile devra être déterminé par l’autorité chef de file. Enfin, le Comité propose de préciser les règles de publication des décisions afin d’éviter tout problème de transparence et d’iniquité.