Conformément à l’article 97 du Règlement Général sur la Protection des Données (ci-après « RGPD »), la Commission Européenne a rendu son 1ier rapport suite aux deux premières années d’application du RGPD. Ce document prend en considération les retours d’expérience des différentes autorités de contrôles nationales ainsi que d’acteurs concernés.
L’individu maître de ses données personnelles
L’une des premières conséquences du RGPD est la place de l’individu, en tant que personne physique, vivante, quel que soit son âge[1], dans la gestion des données à caractère personnel. En effet, la compréhension et la maitrise de l’exercice des droits (ex. avoir accès à ses données, droit à l’oubli, etc.) des personnes concernées mais aussi de l’utilisation qui est faite de leurs données personnelles par les organismes se fait croissante. L’utilisation de nouvelles technologies de traçage afin de lutter contre l’épidémie de COVID-19 et la réaction des citoyens européens en réponse à la possible utilisation de leurs données personnelles[2] en est un bon exemple. Cependant afin de s’assurer de la bonne application du RGPD ainsi que de le faire respecter, les autorités de contrôle doivent être soutenues par leur gouvernements respectifs afin de répondre à la demande croissante de plaintes des personnes concernées, mais aussi à leurs obligations dans le cadre de leurs missions de contrôle. Malheureusement les budgets varient énormément en d’un Etat à l’autre, ce qui peut ralentir les efforts des autorités de contrôle.
Un impact international évident
La Commission se félicite d’avoir réussi à établir un seuil de protection satisfaisant pour les droits et libertés[3] des individus. Il est d’autant plus intéressant de signaler que son champ d’application extraterritorial, a permis au RGPD d’impacter la sphère internationale et à influencer des législations hors Espace Economique Européen[4]. Cela renforce la volonté du législateur européen à agir en tant qu’organisme de standardisation à portée internationale. Cet aspect est renforcé par les obligations concernant le transfert de données personnelles hors EEE. En effet avec les mécanismes obligatoires et contraignants imposés aux entreprises, il est judicieux pour les Etats de se mettre à niveau du RGPD afin de rester attractif et compétitif. C’est pourquoi le Japon a fait l’objet d’une décision d’adéquation de la Commission Européenne, créant de ce fait un espace d’échange libre de données, personnelles ou non.
Nouvelles technologies : un challenge anticipé par le RGPD
La flexibilité accordée par le RGPD concernant les nouvelles technologies a permis de ne pas rester figé dans le temps et de ne pas laisser de zone blanche. Cependant les Etats membres regrettent le manque de clarification et précision de la part du Comité Européen de la Protection des Données (European Data Protection Board). En effet ses recommandations ne sont pas suffisamment pratiques et laissent encore beaucoup de place aux différentes interprétations nationales. Les nouvelles technologies telles que le tracking, l’intelligence artificielle ou encore les blockchains mériteraient ainsi d’être approfondie par le Comité afin de le délimiter et d’éviter de trop nombreuses zones grises. Cette problématique fait écho à l’insuffisante harmonisation dans l’application du RGPD entre les Etats membres. En effet, il existe toujours un niveau de fragmentation non négligeable entre ces derniers, pouvant parfois fragiliser l’application du RGPD, qui se veut pourtant égalitaire.
Conclusion
L RGPD est un formidable outil à la fois pour les individus qui sont en mesure d’exercer leur droit fondamental à la vie privée, mais aussi aux entreprises qui bénéficient d’une égalité de traitement pour chaque acteur. Néanmoins il reste encore beaucoup de chemin à parcourir afin d’améliorer constamment l’application du RGPD de reste agile face aux nouvelles technologies. L’espace digital est encore une terre inconnue qu’il faut baliser, le RGPD a ouvert la voie par un petit pas pour l’homme mais un grand pas pour la vie privée.
https://ec.europa.eu/commission/presscorner/detail/en/ip_20_1163
«The GDPR
is the perfect example of how the European Union, based on a fundamental
rights’ approach, empowers its citizens and gives businesses opportunities to
make the most of the digital revolution. But we all must continue the work to
make GDPR live up to its full potential.”
[1] L’art 8 autorise la collecte du consentement d’un enfant mineur de + de 16 ans, et, selon les règles en vigueur dans chaque Etat-membre, pour le mineur entre 13 (ex. La Belgique autorise le consentement d’un enfant de 13 ans qui se connecte à Facebook) et 16 ans.
[2] S’agissant des données de géolocalisation et de santé pouvant impacter grandement les droits et libertés des personnes concernées.
[3] Principalement concernant la vie privée.
[4] L’EEE inclut les pays membres de l’UE (27 moins le Royaume-Uni )et la Norvège, le Lichtenstein et l’Islande