COM(2023) 348 FINAL
du 04/07/2023
Contrôle de subsidiarité (article 88-6 de la Constitution)
Proposition de règlement du Parlement européen et du Conseil établissant des règles de procédure supplémentaires relatives à l'application du règlement (UE) 2016/679 - COM(2023) 348
Le présent texte propose de renforcer l'efficacité des procédures de coopération entre les autorités de protection lors des situations transfrontières relevant du Règlement général sur la protection des données (RGPD).
La coopération entre les autorités de protection nationales chargées de la mise en oeuvre du RGPD relève actuellement des articles 60 et suivants du RGPD, qui dispose en particulier que :
- en cas de traitement transfrontalier, une autorité de contrôle dite « cheffe de file » est compétente (en général, il s'agit de celle de l'établissement principal du responsable du traitement ou du sous-traitant faisant l'objet de l'enquête) ;
- l'autorité cheffe de file coopère avec les autres autorités de contrôle, en échangeant toute information utile dans le but de parvenir à un consensus ;
- l'autorité cheffe de file peut demander assistance aux autres autorités de contrôle concernées et doit leur communiquer tout projet de décision ;
- des opérations conjointes peuvent être menées entre les autorités ;
- si aucun consensus ne se dégage, le comité européen de la protection des données (CEPD), organe indépendant rassemblant les représentants des autorités nationales, peut adopter une décision contraignante.
La commission a dressé en juin 2020 un premier constat sur l'application du RGPD. Dans sa communication au Parlement européen et au Conseil, elle note que « de nouvelles avancées doivent être réalisées en vue d'un traitement plus efficace et davantage harmonisé des situations transfrontières dans l'ensemble de l'UE, y compris sur le plan procédural »1(*)
La résolution du Parlement européen du 25 mars 2021 concernant le rapport d'évaluation de la Commission sur la mise en oeuvre du règlement général sur la protection des données deux ans après son entrée en application « presse la Commission d'évaluer si les procédures administratives nationales entravent la pleine efficacité de la coopération au titre de l'article 60 du RGPD ainsi que sa mise en oeuvre effective ». Elle demande également au CEDP « d'établir les éléments de base d'une procédure administrative commune pour traiter les réclamations dans les affaires transfrontalières en vertu de la coopération mise en place au titre de l'article 60 » ainsi que de « renforcer le mécanisme de cohérence et de le rendre obligatoire pour toute question d'application générale ou pour toute affaire ayant des effets transfrontaliers, afin d'éviter l'incohérence des approches et des décisions des différentes autorités chargées de la protection des données, car celle-ci menacerait l'uniformité d'interprétation et d'application du RGPD »2(*).
En réponse, le CEPD a engagé une réflexion aboutissant, en octobre 2022, à la transmission d'une liste d'aspects procéduraux susceptibles d'être davantage harmonisés. Après diverses consultations, la Commission a présenté en juillet 2023 sa proposition de règlement établissant des règles de procédure supplémentaires relatives à l'application du RGPD.
***
La proposition de règlement modificative, fondée sur l'article 16 (protection des données à caractère personnel) du Traité sur le fonctionnement de l'Union européenne (TFUE), vise ainsi à améliorer et harmoniser les procédures de coopération entre les autorités de protection lors des litiges transfrontières relatifs au RGPD. Elle est composée de 31 articles répartis en sept chapitres relatifs, outre aux dispositions générales et finales, à l'introduction et au traitement des réclamations, à la coopération au sens de l'article 60 du RGPD, à l'accès au dossier administratif et au traitement de informations confidentielles, à la question du règlement des litiges et à la procédure d'urgence.
La proposition permettrait ainsi :
1- de rationaliser la coopération entre les autorités de protection en introduisant des étapes complémentaires pour favoriser la formation d'un consensus rapide entre les autorités de protection concernées et, par conséquent, éviter le recours au mécanisme de règlement des litiges par le CEPD.
La coopération commencerait à un stade précoce, l'autorité cheffe de file devant envoyer, dès qu'elle s'est forgée un avis sur les questions soulevées, un résumé des points essentiels (qui devrait contenir, outre les principaux éléments de l'enquête, l'avis de l'autorité cheffe de file) aux autres autorités de protection concernées par le dossier. Ces dernières auraient alors quatre semaines à réception du résumé pour formuler leurs observations. Sans observation de leur part, la procédure serait considérée comme non contentieuse et les conclusions préliminaires adressées aux parties dans un délai de neuf mois. Dans le cas contraire, l'autorité cheffe de file et les autres autorités de protection concernées engageraient des échanges pour obtenir un consensus. En cas d'échec, l'autorité cheffe de file demanderait au comité une décision contraignante d'urgence sur la portée de l'enquête.
2- d'harmoniser les procédures et les droits procéduraux en uniformisant les éléments devant être fournis par les auteurs à l'appui de leur demande. La proposition contient ainsi en annexe un formulaire de réclamation unique devant être utilisé dans toutes les réclamations introduites au titre de l'article 77 du RGPD, relatif au droit d'introduire une réclamation auprès d'une autorité de contrôle. L'autorité recevant la demande serait chargée de déterminer sa recevabilité.
Si l'autorité cheffe de file envisage de rejeter totalement ou partiellement la plainte, ou si elle émet des conclusions préliminaires3(*), elle doit avertir l'autorité de contrôle ayant reçu la réclamation, afin que cette dernière informe le plaignant.
Les auteurs de plainte peuvent ainsi :
- donner leur point de vue sur les projets de rejet partiel ou total, ainsi que sur les conclusions préliminaires et les projets de décision révisés, d'une réclamation ;
- demander communication des documents non confidentiels sur la base desquels la proposition de rejet a été prise. Dans l'hypothèse de conclusions préliminaires, l'autorité cheffe de file donne accès aux documents non confidentiels si cela est nécessaire pour que l'auteur fasse connaitre utilement son point de vue, à condition qu'il remplisse au préalable une déclaration de confidentialité. L'accès au dossier administratif ne s'étend ni à la correspondance et aux échanges de vue entre l'autorité de contrôle cheffe de file et les autorités de contrôle concernées, ni aux informations contenant des secrets d'affaires ou informations confidentielles, sauf disposition contraire ;
- effectuer un recours juridictionnel après adoption d'une décision de rejet.
Les parties mises en cause sont autorisées à :
- répondre par écrit à toute conclusion préliminaire dans un délai fixé, exposer les faits et arguments pertinents pour leur défense et joindre tout document à l'appui de leurs dires ;
- avoir accès au dossier administratif dès qu'elles se voient notifier les conclusions préliminaires. L'accès au dossier administratif ne s'étend ni à la correspondance et aux échanges de vue entre l'autorité de contrôle chef de file et les autorités de contrôle concernées, ni aux informations contenant des secrets d'affaires ou informations confidentielles, sauf disposition contraire.
3- de préciser les procédures de règlement des litiges et d'urgence par le CEPD conformément aux articles 65 et 66 du RGPD. Sont ainsi déterminés les délais ainsi que la liste des éléments à fournir à l'appui de la demande.
S'agissant du règlement des litiges, le comité doit rédiger un exposé des motifs préalable à toute adoption d'une décision contraignante et le transmettre aux parties faisant l'objet de l'enquête ou, en cas de rejet, à l'auteur de la demande. Les parties ont alors une semaine pour faire connaitre leur point de vue.
***
Ce texte est présenté par la Commission comme un texte d'harmonisation ne portant nullement atteinte aux règles en matière de protection de données, aux droits des personnes concernées ou aux obligations des responsables de traitement.
Une coopération efficace entre autorités de protection, lors des situations transfrontières, est bien évidemment nécessaire. Toutefois, la proposition actuelle contient des dispositions laissant craindre un alourdissement des procédures, ce qui n'est pas souhaitable.
Outre la complexification du processus et l'augmentation de la charge administrative qui pourraient découler d'un règlement rédigé conformément à la proposition actuelle, un point en particulier appelle notre vigilance : celui des accords de confidentialité. En effet, si ces derniers étaient rendus obligatoires, imposant ainsi un formalisme plus étendu qu'une simple obligation générale de confidentialité, serait introduite une notion inédite en droit français : l'obligation pour un plaignant de signer un accord de confidentialité.
Une réserve sur ce point précis ne nous paraît pas d'une ampleur telle qu'elle justifierait l'adoption par le Sénat d'un avis motivé dénonçant la non-conformité de cette proposition de règlement au principe de subsidiarité. Toutefois, il pourrait être opportun qu'au nom de la commission des affaires européennes chargée pour le Sénat de contrôler le respect de ce principe, son président signale aux autorités françaises en charge de la négociation de ce texte au Conseil la vigilance du Sénat sur ce point précis, par exemple sous la forme d'un courrier, qui pourrait être cosigné par le président de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, si ce dernier y consent.
La présidence espagnole a d'ores et déjà annoncé son souhait de faire avancer le plus possible les négociations sur ce texte au Conseil, qui se poursuivront à raison d'une réunion par mois à compter de septembre.
Compte tenu de ces observations, le groupe de travail sur la subsidiarité a décidé de ne pas intervenir plus avant sur ce texte au titre de l'article 88-6 de la Constitution, laissant au président de la commission le soin d'alerter par courrier le Gouvernement de la vigilance du Sénat sur l'harmonisation excessive que constituerait la création d'une obligation, pour un plaignant, de signer un accord de confidentialité pour pouvoir accéder à son dossier administratif.
* 1 « La protection des données: un pilier de l'autonomisation des citoyens et de l'approche de l'Union à l'égard de la transition numérique - deux années d'application du règlement général sur la protection des données », COM(2020) 264 Final, page 6 - https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:52020DC0264
* 2 https://www.europarl.europa.eu/doceo/document/TA-9-2021-0111_FR.html - Point 21
* 3 Dans le cas où elle projette de rendre une décision constatant une violation du RGPD.
Examen dans le cadre de l'article 88-4 de la Constitution
Texte déposé au Sénat le 11/07/2023Marché intérieur, économie, finances et fiscalité
Proposition de règlement du Parlement
européen et du Conseil établissant des règles de
procédure supplémentaires relatives à l'application du
règlement (UE) 2016/679 sur la protection des
données
COM(2023) 348
final - Texte E17937
(Procédure écrite du 11 décembre 2023)
La proposition de règlement du Parlement européen et du Conseil établissant des règles de procédure supplémentaires relatives à l'application du règlement (UE) 2016/679, c'est à dire le règlement général sur la protection des données (RGPD), vise à améliorer et harmoniser les procédures de coopération entre les autorités de protection lors des litiges transfrontières relevant des articles 60 et suivants du RGPD. Elle contient, outre des dispositions générales et finales, des mesures relatives à l'introduction et au traitement des réclamations, à la coopération au sens de l'article 60 du RGPD, à l'accès au dossier administratif et au traitement des informations confidentielles, à la question du règlement des litiges et à la procédure d'urgence.
Fondée sur l'article 16 du traité sur le fonctionnement de l'Union européenne (TFUE), la proposition permettrait ainsi :
1- de rationaliser la coopération entre les autorités de protection en introduisant des étapes complémentaires pour favoriser la formation d'un consensus rapide entre les autorités de protection concernées et, par conséquent, éviter le recours au mécanisme de règlement des litiges ;
2- d'harmoniser les procédures et des droits procéduraux en uniformisant les éléments devant être fournis par les auteurs à l'appui de leur demande. La proposition contient ainsi en annexe un formulaire de réclamation unique devant être utilisé dans toutes les réclamations introduites au titre de l'article 77 du RGPD, c'est à dire le droit d'introduire une réclamation auprès d'une autorité de contrôle. L'autorité recevant la demande serait chargée de déterminer sa recevabilité. La proposition harmoniserait également les droits des parties au dossier en précisant leur accès aux documents non confidentiels, leur droit de donner leur point de vue sur les projets de décision, les recours possibles après adoption de la décision ;
3- de préciser les procédures de règlement des litiges et d'urgence par le Contrôleur européen de la protection des données (CEDP) conformément aux articles 65 et 66 du RGPD. Seraient ainsi déterminés les délais ainsi que la liste des éléments à fournir à l'appui de la demande.
* * *
Ce texte est présenté par la Commission comme un texte d'harmonisation ne portant nullement atteinte aux règles en matière de protection de données, aux droits des personnes concernées ou aux obligations des responsables du traitement. Une coopération efficace entre autorités de protection, lors des situations transfrontières en matière de RGPD, est bien évidemment souhaitable.
Pour autant, ce texte soulève plusieurs questions, parmi lesquelles la question de l'autonomie procédurale des autorités de protection nationales, de la rigidification des procédures et de la charge administrative en découlant :
1- Tout d'abord, en établissant un formulaire unique, identique pour tous les États, le texte pourrait empiéter sur l'autonomie procédurale des États membres. En effet, le formulaire, annexé à la proposition de règlement, limite strictement les informations à fournir à l'appui de la demande. Aucune autre information ne pourrait donc être exigée pour rendre une réclamation recevable, ne laissant ainsi aucune latitude aux États-membres. Si un certain degré d'harmonisation est souhaitable, l'uniformisation semble quant à elle inappropriée.
2- Ensuite, le projet, tel que présenté, crée deux nouvelles étapes, le résumé des points essentiels, d'une part, et les conclusions préliminaires, d'autre part, ayant vocation à s'appliquer à tous les cas transfrontières, y compris ceux ne posant pas de problèmes. En choisissant de ne pas se limiter aux cas possédant un caractère complexe ou stratégique, cela pourrait induire une rigidification des procédures et, par conséquent, un alourdissement de la charge procédurale et administrative des autorités de contrôle.
3- Un formalisme excessif est également à craindre si la signature d'un accord de confidentialité est rendue obligatoire pour tout plaignant débouté souhaitant consulter son dossier. La Commission a choisi l'option de l'accord formel de confidentialité, préalable nécessaire à la consultation d'un dossier, plutôt que celle du principe de confidentialité. Il est à craindre que ce choix, s'il était confirmé, se traduise en charge administrative accrue pour les autorités de protection nationales.
Enfin, soulignons que certaines dispositions de la proposition ne semblent pas avoir de portée normative mais s'apparentent plus à des lignes directrices ou codes de bonne conduite.
Les négociations sur ce texte se déroulent lors des réunions du groupe de travail « protection des données ». La première réunion, le 24 juillet 2023, a permis à la Commission de présenter sa proposition et aux États membres d'apporter, pour la plupart, leur soutien à l'objectif poursuivi, sous réserve notamment de la préservation de l'autonomie procédurale et de la garantie de la non-rigidification des procédures.
La présidence espagnole avait dès le début annoncé son souhait de faire avancer le plus possible les négociations sur la proposition de règlement. La future présidence belge, quant à elle, envisagerait de réserver deux séances de deux jours par mois aux négociations afin de parvenir à une orientation générale en juin 2024.
Compte tenu de ces éléments, la commission a décidé de ne pas intervenir plus avant sur ce texte.