« On raccourcit tout, mais sans toucher à la longueur »
Lors de son entrée en vigueur en 2018, le règlement général sur la protection des données était un texte historique. La Commission travaille désormais à une simplification de ce texte complexe. Alors que les propositions n’ont pas été formellement posées sur la table, les premières critiques fusent déjà.
Le RGPD a pour beaucoup été un « phare » dans le domaine de la protection des données personnelles. Avec son règlement, l’Europe voulait donner le LA et inspirer les autres nations. Ce fut en partie le cas, la Californie et le Brésil adoptant des textes similaires. Son impact novateur sur le respect de la vie privée a aidé à mettre en lumière les pratiques de certaines entreprises, dont les condamnations sont venues illustrer l’ampleur du problème. Cependant, le règlement a été critiqué pour ses lourdeurs.
Lourdeurs et temps d’attente
Deux critiques ont ainsi été formulées à de nombreuses reprises. D’une part, le manque d’accompagnement des entreprises pour absorber une législation unanimement considérée comme complexe. D’autre part, la difficulté des processus était d’autant plus grande que le règlement affecte l’ensemble de l’Union européenne et qu’il suppose une collaboration renforcée des différentes autorités compétences, comme la CNIL en France. Or, toutes ne comprennent pas le RGPD de la même façon. Ces écarts ont créé une accumulation des procédures et un allongement significatif des délais de traitement.
Pour autant, le RGPD de 2018 n’était qu’une première version. Le sujet de sa simplification anime de vifs débats depuis deux ans. Il s’inscrit d’ailleurs dans une volonté de la Commission de simplifier de nombreuses procédures, intensifiée par le changement brusque d’attitude des États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Compétitivité et investissements sont de nouveau les maitres-mots, faisant de la révision du RGPD un numéro de funambulisme. Une volonté de simplification que l’on retrouve notamment sur tout ce qui touche au développement durable, comme l’onde de choc du rapport Mario Draghi l’a montré en février.
Simplifier sans altérer ?
L’idée serait donc de simplifier une partie des procédures du RGPD, sans toucher à son essence. Mais comment obtenir globalement les mêmes résultats via des mécanismes plus fluides ? Essentiellement en allégeant certains critères, notamment pour les petites et moyennes structures.
La Commission envisage par exemple d’étendre certaines exemptions. Aujourd’hui, les structures de moins de 250 employés (entreprises, associations…) n’ont pas à tenir un registre des traitements opérés sur les données personnelles (article 30). La Commission réfléchit à relever ce plafond à toutes les structures de moins de 500 personnes et dont le chiffre d’affaires ne dépasse pas un certain seuil. De plus, cette dérogation ne s’applique actuellement pas si ces traitements présentent « un risque pour les droits et libertés des personnes physiques ». Le changement envisagé basculerait sur un « risque élevé ».
L’European Data Protection Board (EDPB, qui regroupe toutes les CNIL européennes) et l’European Data Protection Supervisor (EDPS, qui surveille la bonne application des lois sur la vie privée par les instances européennes) ont toutes deux manifester leur soutien à cette mesure.
Dans un courrier daté du 8 mai, les deux autorités rappellent cependant que cela ne dispensera pas les responsables de traitements des autres obligations. En outre, elles font remarquer à la Commission qu’il manque en l’état des informations. Elles demandent donc que soit mieux évalué l’impact, en indiquant notamment combien de structures seraient concernées et si un « équilibre proportionné » peut être établi entre juridiction des données personnelles et intérêts des organisations.
Paver la voie aux petites et jeunes entreprises
Cette simplification ne serait qu’un exemple, parmi un concert de voix réclamant une version plus légère du RGPD. Fin mars, la ministre danoise du Numérique, Caroline Stage Olsen, déclarait ainsi que si le RGPD avait apporté nombre de « bonnes choses », il fallait « faciliter la tâche des entreprises et leur permettre de se conformer », rapportait Politico.
Un peu plus tôt, Michael McGrath, le commissaire européen chargé de superviser les lois sur la confidentialité des données, révélait en effet l’ambition de simplifier le RGPD. Lors d’un échange au Center for Strategic and International Studies (CSIS, pdf), il parlait d’améliorer la compétitivité européenne via « toute une série de mesures de simplification ». Et de citer à nouveau le rapport Draghi, pour lequel le RGPD était trop strict et lourd en l’état, en plus d’une application incohérente à travers les membres de l’Union. Exemple : l’âge du consentement, différent selon les pays.
La conformité au RGPD ferait « peur », à cause notamment des coûts qu’elle engendre. Les petites et moyennes structures ne disposent pas toujours du personnel juridique nécessaire. Elles n’ont pas forcément de délégué à la protection des données (DPD) et ne connaissent pas toujours les exigences sur les AIPD (ou DPIA), les analyses d’impact sur la protection des données. La crainte d’énormes amendes, voulues dissuasives, engendrerait également une prudence excessive, voire une paralysie.
Plusieurs propositions ont été faites au sujet des AIPD. Actuellement, ces évaluations sont nécessaires dès qu’un risque élevé est supposé. Des exemptions pourraient être mises en place pour les PME dont le traitement des données est limité. Des modèles pré-approuvés sont également envisagés. Des orientations sectorielles pourraient être mises en place pour guider les entreprises et leur « mâcher » en partie le travail. La Commission réfléchit également à définir des seuils plus clairs pour déclencher l’obligation de nommer un DPD. Ces délégués pourraient être partagés entre plusieurs entreprises, voire pourraient être embauchés via des prestataires spécialisés.
Risques et critiques
Rouvrir le dossier RGPD en vue de le simplifier permettrait de répondre à une partie des craintes et critiques exprimées. Mais l’opération pourrait servir également de prétexte à une suppression zélée, sous prétexte de fluidifier la vie des entreprises et autres structures. C’était notamment la crainte exprimée par Guillaume Chapeau sur LinkedIn le mois dernier. Il évoquait une « boite de pandore », dont l’ouverture servirait à glisser dans le texte des notions floues comme « l’intérêt légitime » ou des conditions allégées sur l’obtention du consentement.
Pourtant, à l’inverse, l’association noyb, fondée par Maximilien Schrems, met en garde contre une complexification extrême du RGPD. Le 17 avril, elle pointait que les négociations entre la Commission, le Parlement et le Conseil de l’Union créaient un sac de nœuds.
L’association reproche principalement à la Commission européenne l’absence d’étude d’impact sur le RGPD et de consultation avec les parties prenantes. Face aux problèmes de négociation, les volontés de simplification auraient abouti à la place à la multiplication des procédures et l’introduction de régimes spécifiques. Au lieu d’avoir une procédure simplifiée, il y en aurait maintenant une dizaine. Maximilien Schrems critique également « l’absence de savoir-faire procédural » et relève que la Commission ne semble pas avoir consulté d’avocats spécialisés. Il déplore en outre que rien ne semble prévu pour faciliter la coopération entre les différentes autorités des pays membres.
Pour l’instant, la Commission européenne n’a pas formellement annoncé l’ampleur des modifications envisagées. Cette publication devrait intervenir au cours des prochaines semaines et sera scrutée de près. Elles pourraient se limiter aux seules modifications « validées » par l’EDPB et l’EDPS, comme le suggérait Guillaume Champeau. Mais le RGPD, dans sa forme révisée, ne répondrait alors pas aux critiques sur sa lourdeur, dont les craintes de redondances avec de nombreux autres cadres réglementaires, dont le DMA, le DSA et les trois directives sur la cybersécurité, en cours de transposition en France.