Blog Données personnelles
Publication du premier rapport d’évaluation du RGPD par la Commission européenne le 24 juin 2020
La Commission européenne a publié son premier rapport d’évaluation du RGPD deux ans après son entrée en vigueur.
Ce rapport fait apparaître un bilan globalement satisfaisant, notamment au regard des droits solides conférés aux citoyens, du renforcement de la protection des données personnelles, de l’accroissement de la transparence envers les internautes et de la responsabilisation des acteurs du secteur. Le RGPD a également su faire preuve de souplesse pendant la pandémie grâce à ses règles fondées sur des principes adaptables aux évolutions rapides des nouvelles technologies.
Il est constaté que les autorités nationales en charge de la protection des données, la CNIL pour la France, se sont dotées de pouvoirs harmonisés et plus contraignants. Le RGPD a pu également instituer de nouveaux standards en la matière, applicables indépendamment du lieu d’établissement des sociétés et permet de garantir la libre circulation des flux de données au sein de l’UE, renforçant ainsi le marché intérieur.
Tous les Etats membres, à l’exception de la Slovénie, se sont dotés d’une législation conforme au RGPD.
L’une des problématiques relevée par la Commission réside dans la difficulté pour les Etats membres à concilier le droit à la protection des données personnelles et la liberté d’expression et d’information. En effet, il s’agit de deux droits fondamentaux qui sont, à ce titre, protégés par une norme de même valeur. Les Etats membres doivent donc concilier ces deux droits de manière proportionnelle. La protection des données personnelles ne doit pas par exemple dissuader les journalistes de publier ou conduire à faire pression sur eux pour qu’ils révèlent leur source.
Il reste également à travailler sur l’harmonisation des outils mis à disposition des autorités nationales, notamment les procédures de guichet unique (article 60 RGPD) ainsi que les opérations conjointes (article 62 RGPD) dans le cadre de la gestion des dossiers transfrontaliers.
La Commission élabore également un mapping des différentes approches par les législations des Etats membres concernant les exceptions au traitement de données personnelles sensibles ainsi que des clauses types mises à jour. Le CEPD, dont le rôle clé dans l’harmonisation des législations est particulièrement souligné dans le rapport, élabore actuellement un code de conduite applicable aux transferts de données en dehors de l’UE. Le contrôleur européen (EDPS) a également émis l’idée de mettre en place un groupe d’experts (support pool of experts) au sein du CEPD.
Quelques précisions sont attendues de la part de la CJUE, le 16 juillet 2020 prochain, dans le cadre de l’affaire Schrems (C-311-18) opposant un ressortissant autrichien au Data Protection Commissioner sur la légalité du transfert des données à caractère personnel entre l’UE et les Etats-Unis.
Le prochain rapport d’évaluation de la Commission concernant le RGPD sera publié en 2024.