Bruxelles, le 21 septembre - Le comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (CEPD) ont adopté un avis conjoint sur la proposition de règlement de la Commission européenne établissant des règles de procédure supplémentaires relatives à l’application du RGPD. La présente proposition vise à garantir l’achèvement des enquêtes en temps utile et la mise en place de voies de recours rapides pour les personnes dans les situations transfrontalières, en aplanissant, grâce à l'harmonisation, un certain nombre de différences procédurales existant au sein de l’Union et en rationalisant la procédure de coopération transfrontalière. La proposition fait suite à l’envoi d'une liste de souhaits par l’EDPB à la Commission européenne en octobre 2022.
Anu Talus, présidente de l'EDPB, a déclaré: «Nous saluons la réponse rapide de la Commission à notre appel à l’action et nous sommes heureux de constater que notre liste de souhaits a été concrétisée en une proposition législative, qui complétera le RGPD. Par le présent avis conjoint, notre objectif est de faire en sorte que le nouveau règlement fonctionne pour toutes les parties concernées. Compte tenu de son importance, nous demandons instamment aux colégislateurs de l’adopter rapidement.»
Wojciech Wiewiórowski, Contrôleur européen de la protection des données, a quant à lui déclaré ce qui suit: «La proposition de la Commission constitue une tentative bienvenue de résoudre certains des problèmes liés à la gestion du mécanisme de guichet unique recensés par les experts et les praticiens. Par notre avis conjoint, nous espérons améliorer encore la législation future et, en particulier, favoriser le règlement rapide des situations transfrontalières et garantir le respect des droits procéduraux des auteurs de réclamations, en gardant à l’esprit les contraintes inhérentes au modèle d’application du RGPD. En outre, nous invitons les colégislateurs à saisir cette occasion pour lever les obstacles pratiques à une coopération efficace entre les autorités nationales chargées de la protection des données et le CEPD.»
L’EDPB et le CEPD saluent les efforts déployés par la Commission afin d’harmoniser les informations à fournir pour qu’une réclamation soit considérée comme recevable et demandent une harmonisation exhaustive des critères de recevabilité. Ils se félicitent également des précisions apportées concernant le droit d’accès au dossier administratif. Par ailleurs, la proposition de la Commission visant à stimuler la recherche de consensus à un stade précoce de la procédure de coopération est essentielle afin de garantir une coopération plus efficace et renforcée en matière d’application de la législation.
Parmi plusieurs autres recommandations, l’EDPB et le CEPD estiment que les propositions visant à stimuler la recherche d'un consensus pourraient encore être améliorées en garantissant une plus grande participation des autorités de contrôle concernées aux différentes étapes de la procédure, car cela permettrait d’éviter d’éventuels litiges à un stade ultérieur. En particulier, les «conclusions préliminaires» adressées aux parties faisant l’objet de l’enquête et l’«avis préliminaire» de rejet de la réclamation devraient être communiqués aux autorités de contrôle concernées d'être soumis aux parties faisant l’objet de l’enquête ou à l'auteur de la réclamation. Par ailleurs, des délais, pouvant être prolongés dans des circonstances dûment justifiées, devraient être définis pour certaines étapes de la procédure afin de permettre une application rapide et efficace de la législation.
L’EDPB et le CEPD soulignent que la proposition ne devrait pas restreindre indûment la capacité des autorités de contrôle concernées à formuler des objections pertinentes et motivées à l’égard d’un projet de décision, y compris en ce qui concerne la portée de l’enquête. Ils demandent également instamment aux colégislateurs de ne pas modifier l’approche actuelle selon laquelle les parties ont le droit d’être entendues au cours de la procédure de règlement des litiges, laquelle est déclenchée lorsque les autorités de protection des données (APD) ne parviennent pas à dégager un consensus. La modification proposée imposerait au président de l’EDPB de fournir un «exposé des motifs» aux parties faisant l’objet de l’enquête et à l'auteur de la réclamation. Cette obligation ne semble pas conforme à l’architecture du système de guichet unique. Elle est par ailleurs inutile au vu de la pratique actuelle, qui permet à l’EDPB de tenir dûment compte des points de vue des parties et de prendre une décision dans les délais.
En ce qui concerne la procédure d’urgence prévue à l’article 66, paragraphe 2, du RGPD, l'EDPB et le CEPD demandent instamment aux colégislateurs de préciser que les mesures définitives sont adoptées par les APD compétentes et, s'il y a lieu, avec un champ d’application plus étendu que le territoire de l’APD requérante.
Enfin, comme l’a souligné le CEPD dans sa contribution à l’initiative de la Commission, envoyée en avril 2023 à cette dernière, il convient de lever les obstacles pratiques existants à une coopération efficace entre les APD nationales et le CEPD. L’EDPB et le CEPD recommandent donc l’introduction d’une disposition spécifique à cet effet.
L’EDPB et le CEPD ont également adopté une contribution conjointe en réponse à la consultation publique de la Commission européenne sur le modèle de rapport concernant la description des techniques de profilage des consommateurs, conformément à l’article 15 du règlement sur les marchés numériques. En vertu dudit règlement, les contrôleurs d’accès désignés devront présenter ces rapports chaque année à la Commission européenne. Le projet de modèle vise à préciser les informations que les contrôleurs d’accès devront inclure dans les descriptions de leurs techniques de profilage ayant fait l’objet d’un audit indépendant. Ces descriptions seront transmises par la Commission à l’EDPB et viendront éclairer les mesures prises par les APD pour faire respecter la législation.
L’EDPB et le CEPD formulent plusieurs recommandations afin de clarifier l’étendue des informations demandées par la Commission qui seront transmises à l’EDPB. Ils recommandent aux contrôleurs d’accès de fournir des informations supplémentaires concernant les catégories de données à caractère personnel traitées et leurs sources, la durée du traitement en question, la base juridique sur laquelle ils se fondent, les mesures prises concernant les droits des personnes concernées, ainsi qu’une description des garanties techniques appropriées mises en œuvre par les contrôleurs d’accès.
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.