"Le Règlement général sur la protection des données a atteint la plupart de ses objectifs", écrit la Commission européenne dans son rapport d'évaluation publié le 24 juin. Ce document dresse le bilan de plus de deux années d'application du RGPD dans les 27 Etats membres de l'UE.
Les citoyens plutôt concernés par le RGPD
L'exécutif estime que ce texte a renforcé "la transparence" et "confère aux particuliers des droits opposables". D'ailleurs, les citoyens ont conscience de cette protection. D'après l'Agence des droits fondamentaux de l'UE, 69% de la population de plus de 16 ans connaissent l'existence du RGPD. Ils sont 71% à avoir entendu parler de leur autorité nationale chargée de la protection des données. "Le RGPD illustre parfaitement comme l'UE, en adoptant une approche fondée sur les droits fondamentaux, donne à ses citoyens les moyens d'agir et offre aux entreprises les possibilités de tirer parti de la révolution numérique", s'est félicitée Vera Jourová, vice-présidente chargée des valeurs et de la transparence.
Toutefois, "il est possible de faire davantage pour aider les citoyens", note la Commission. Lors de la conférence de presse rapportée par Challenges, le commissaire chargé de la Justice Didier Reynders a émis l'idée du développement d'une application qui permettrait d'éviter à un utilisateur de répondre aux mêmes questions liées au consentement lorsqu'il va sur un site. "Quand vous cherchez quelque chose sur internet, vous allez d'un site à un autre, et vous recevez régulièrement des questions sur les données", a expliqué le commissaire.
Or il estime que "la première réaction est de répondre oui parce que votre préoccupation première est de trouver l'information que vous cherchez et non de gérer la protection de vos données personnelles". Selon lui, le développement de cet outil pourrait se faire avec un soutien de la Commission et du régulateur européen, le Comité européen de la protection des données (EDPB).
Un manque d'harmonisation dans l'application
L'exécutif européen regrette également le manque d'harmonisation dans l'application du RGPG entre les Etats membres. Ce manque de cohésion serait dû à la disparité des moyens alloués aux différentes autorités de protection des données. Si la Commission note que de manière générale, leurs effectifs ont augmenté de 42% et leur budget de 49% entre 2016 et 2019, "des écarts considérables persistent entre les Etats membres".
L'exemple de la Data Protection Commission (DPC) est assez éloquent. Centre névralgique de la protection des données, la Cnil irlandaise reçoit 2,5 fois plus de plaintes que son équivalent français, pour un budget quasiment identique. Et elle n'a perçu qu'une maigre augmentation de ses moyens pour l'année 2020.
En outre, la Commission européenne appelle à une coopération renforcée entre les différentes autorités de protection, en particulier dans le traitement des dossiers transfrontaliers. Le RGPD a établi un système de gouvernance censé garantir "une application cohérente et efficace" de ce texte. Le principe du "guichet unique" prévoit qu'une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice que l'autorité de l'Etat membre dans lequel est situé son établissement principal. Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont été soumis à un "guichet unique" dont 79 ont abouti à une décision définitive. "Il est possible de faire davantage pour développer une véritable culture commune", note l'institution.
Booster les transferts internationaux de données
Enfin, la Commission veut davantage exploiter "le potentiel des transferts de données internationaux". Elle déclare que son engagement international en faveur de ces transferts a produit "d'importants résultats". Ce constat vaut notamment pour les échanges de données entre l'UE et le Japon qui possèdent, à présent, "la plus grande zone de libre circulation sécurisée de données au monde". Il faut donc poursuivre dans ce sens, plaide l'exécutif. L'EDPB élabore actuellement un code de conduite applicable au transfert de données en dehors de l'UE. "Ces orientations doivent être achevées au plus vite", précise le rapport.
La Commission rappelle que la Cour de justice de l'Union européenne va bientôt trancher une affaire sur la légalité du transfert des données personnelles entre l’UE et les États-Unis. Le litige à l’origine de l’affaire opposait Maximillian Schrems, ressortissant autrichien résidant en Autriche, au Data Protection Commissioner concernant le transfert vers des serveurs situés aux États-Unis des données à caractère personnel des utilisateurs de Facebook résidant sur le territoire de l’Union. Le verdict est attendu pour le 16 juillet 2020.