Une vue d’ensemble des sujets controversés probablement discutés pendant les négociations de Trilogue, y compris la position de chaque corps de l’UE de leurs projets respectifs adoptés du GDPR
Bon nombre des points clés de la réglementation sont clairs et documentés de la même manière dans les trois versions actuelles, mais de nombreux détails doivent encore être élaborés et certains points présentent une variabilité suffisante pour justifier leur propre comparaison entre les projets. Voici une analyse des sujets qui ont probablement fait l’objet de nombreux débats lors du processus de négociation du Trilogue.
Portabilité des données
Le droit à la portabilité des données a son propre article (18) dans les documents de proposition de la commission et du conseil, mais fait partie du droit d’accès à l’article (15) dans le texte du parlement. Les citations pertinentes de chaque projet sont les suivantes:
Texte de la Commission:
Lorsque la personne concernée a fourni les données personnelles et que le traitement est basé sur le consentement ou sur un contrat, la personne concernée a le droit de transmettre ces données personnelles et toute autre information fournie par la personne concernée et conservée par un système de traitement automatisé, dans un autre, dans un format électronique qui est couramment utilisé, sans entrave de la part du responsable du traitement duquel les données personnelles sont retirées.
Texte du Parlement:
Lorsque la personne concernée a fourni les données personnelles lorsque les données personnelles sont traitées par des moyens électroniques, la personne concernée a le droit d’obtenir du responsable du traitement une copie des données personnelles fournies dans un format électronique et interopérable communément utilisé et permettant pour une utilisation ultérieure par la personne concernée sans entrave de la part du responsable du traitement dont les données personnelles sont retirées. Lorsque cela est techniquement réalisable et disponible, les données doivent être transférées directement du contrôleur au contrôleur à la demande de la personne concernée.
Texte du Conseil
Le droit [à la portabilité des données] ne s’applique pas si la divulgation de données personnelles porterait atteinte aux droits de propriété intellectuelle en relation avec le traitement de ces données personnelles. La personne concernée a le droit de recevoir les données personnelles la concernant, qu’elle a fournies à un responsable du traitement, dans un format structuré et couramment utilisé et lisible par machine.
Il est important de noter que tous les textes n’appliquent la portabilité aux données fournies par la personne concernée, et les textes de la Commission et du Conseil s’appliquent uniquement aux données traitées sur consentement ou contrat, en laissant de côté les données personnelles traitées par d’autres moyens légaux. Les différences les plus importantes viennent du fait que le Parlement impose uniquement le transfert direct «lorsque cela est techniquement faisable et disponible» ainsi que l’ajout par le Conseil de la nécessité de rendre les données lisibles par machine et exclut les données qui porteraient atteinte aux droits de propriété intellectuelle. Les préoccupations prédominantes des partisans de la portabilité des données considèrent le texte du Parlement comme un frein potentiel à l’efficacité globale si les entreprises ne sont tout simplement pas disposées à améliorer leur technologie pour s’y conformer. D’un autre côté, les critiques de l’idée craignent que forcer la portabilité des données avec une portée aussi large conduise à des coûts et des efforts disproportionnés dans les industries sans «verrouillage» des consommateurs.
Guichet unique
Comme l’un des principaux moteurs de la création d’une nouvelle réglementation était l’harmonisation des lois sur la protection des données dans toute l’Europe, le principe du guichet unique semble être un ajout judicieux. Cependant, le principe n’est pas aussi simple en pratique qu’il peut apparaître sur le papier, et la proposition initiale de la Commission a été fortement modifiée par ses adoptions ultérieures du GDPR.
La proposition de la Commission à l’article 15 est de loin l’approche la plus simple et la plus générale: «Lorsque le traitement des données à caractère personnel intervient dans le cadre des activités d’un contrôleur ou d’un transformateur dans l’Union et le le transformateur est établi dans plus d’un État membre, l’autorité de contrôle de l’établissement principal du responsable du traitement ou du sous-traitant est compétente pour superviser les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres.
Le Parlement a contesté la violation potentielle des droits des personnes concernées lorsqu’elles ne sont pas en mesure de déposer facilement plainte auprès d’un APD compétent si, par exemple, le contact est rendu difficile par la langue ou les moyens financiers. Dans l’article 54 bis de son texte adopté, le Parlement continue de s’appuyer sur un APD principal pour la distribution des recours juridiques, mais il requiert la coopération de tous les APD concernés. Le montant des APD concernés sera également considérablement augmenté, car une disposition est également ajoutée pour permettre aux personnes concernées de déposer des plaintes auprès de leur APD locale afin de travailler ensuite avec l’APD principale au nom de la personne concernée. Enfin, le rôle du comité de protection des données est renforcé dans sa capacité à décider en cas d’ambiguïté et de décision ultime en cas d’invocation du mécanisme de cohérence.
Le Conseil a sans doute la version la plus « édulcorée » d’un guichet unique dans son approche générale adoptée. Il fournit à chaque DPA la compétence pour appliquer le GDPR dans son propre état, et nécessite le DPA principal
Guichet unique
Comme l’un des principaux moteurs de la création d’une nouvelle réglementation était l’harmonisation des lois sur la protection des données dans toute l’Europe, le principe du guichet unique semble être un ajout judicieux. Cependant, le principe n’est pas aussi simple en pratique qu’il peut apparaître sur le papier, et la proposition initiale de la Commission a été fortement modifiée par ses adoptions ultérieures du GDPR.
La proposition de la Commission à l’article 15 est de loin l’approche la plus simple et la plus générale: «Lorsque le traitement des données à caractère personnel intervient dans le cadre des activités d’un contrôleur ou d’un transformateur dans l’Union et le le transformateur est établi dans plus d’un État membre, l’autorité de contrôle de l’établissement principal du responsable du traitement ou du sous-traitant est compétente pour superviser les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres.
Le Parlement a contesté la violation potentielle des droits des personnes concernées lorsqu’elles ne sont pas en mesure de déposer facilement plainte auprès d’un APD compétent si, par exemple, le contact est rendu difficile par la langue ou les moyens financiers. Dans l’article 54 bis de son texte adopté, le Parlement continue de s’appuyer sur un APD principal pour la distribution des recours juridiques, mais il requiert la coopération de tous les APD concernés. Le montant des APD concernés sera également considérablement augmenté, car une disposition est également ajoutée pour permettre aux personnes concernées de déposer des plaintes auprès de leur APD locale afin de travailler ensuite avec l’APD principale au nom de la personne concernée. Enfin, le rôle du comité de protection des données est renforcé dans sa capacité à décider en cas d’ambiguïté et de décision ultime en cas d’invocation du mécanisme de cohérence.
Le Conseil a sans doute la version la plus « édulcorée » d’un guichet unique dans son approche générale adoptée. Il confère à chaque APD la compétence pour faire appliquer le RGPD dans son propre état et exige que l’APD principale consulte et partage toutes les informations avec chaque APD concernée. Il permet également à toute autorité chargée de la protection des données de renvoyer une affaire au Comité de la protection des données si elle estime que l’autorité chargée de la protection des données n’a pas pris en compte son avis. Dans l’ensemble, cela augmente le nombre de formalités administratives au-delà de l’intention initiale du principe du guichet unique et permet le recours à des «renvois capricieux» qui minent l’autorité de l’APD principale et risquent de mettre à rude épreuve Le comité de protection des données, qui est créé dans le cadre du GDPR mais n’a pas affecté de financement ou d’infrastructure spécifique.
Le débat omniprésent dans le principe du guichet unique est l’équilibre entre la réduction de la bureaucratie en harmonisant les lois sur la protection des données en Europe et la garantie des droits des personnes concernées par leur recours légal auprès de l’autorité de protection des données appropriée.
Agents de protection des données
La désignation d’un délégué à la protection des données (DPD), couverte par l’article 35, a des points de vue assez similaires, venant à la fois de la Commission et du Parlement. Ils conviennent qu’un OPH est obligatoire chaque fois que le traitement des données est effectué par une autorité publique ou une entreprise (responsable du traitement ou sous-traitant) dont les activités principales consistent en des opérations de traitement nécessitant un suivi régulier et systématique des personnes concernées. Ils conviennent également que les entreprises qui dépassent certains seuils devraient être mandatées pour nommer un DPD, mais elles diffèrent quant à la métrique exacte. Enfin, le Parlement ajoute qu’un DPD devrait être obligatoire pour toutes les entreprises qui traitent des «catégories spéciales» de données, y compris des informations telles que des données sur la santé ou des croyances religieuses et politiques. Le texte de la Commission exige que toute entreprise de plus de 250 employés, tandis que le texte du Parlement appelle ceux qui traitent les données personnelles de plus de 5000 personnes concernées au cours d’une période de 12 mois. Le Conseil ne mandate pas la nomination d’un délégué à la protection des données, à moins que cela ne soit requis par la législation de l’UE ou des États membres. Ses membres ont eu des points de vue différents au cours du débat avant la publication de l’approche générale, il sera donc intéressant de voir comment le Conseil se bat vigoureusement pour cet assouplissement des nominations des OPH contre les autres autorités qui semblent avoir des positions similaires.
Sources
- http://blogs.lse.ac.uk/mediapolicyproject/2014/04/11/data-portability-series-at-the-crossroads-of-protection-and-competition-policy/
- https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-07-27_GDPR_Recommendations_Annex_EN.pdf
- http://www.olswang.com/eu-data-protection-reform/data-portability/
- http://united-kingdom.taylorwessing.com/globaldatahub/article-one-stop-shop.html
- http://www.dataprotectionreport.com/2015/04/dispute-resolution-mechanisms-for-sas-and-individuals-are-key-part-of-proposed-eu-regulation/
- http://privacylawblog.fieldfisher.com/2015/eu-council-of-ministers-adopts-general-data-protection-regulation
- http://www.dataprotectionreport.com/2015/04/dispute-resolution-mechanisms-for-sas-and-individuals-are-key-part-of-proposed-eu-regulation/
- http://www.out-law.com/en/articles/2015/january/data-protection-officers–will-eu-businesses-face-an-obligation-to-appoint-one/