Règlement général sur la protection des données

Règlement général sur la protection des données

Lettre ouverte

RGPD: réaffirmer une approche basée sur les risques

24 groupements économiques et think tank, dont La villa numeris, représentant de nombreux secteurs économiques appellent la Commission européenne à se focaliser sur l’harmonisation de l’interprétation du régime existant à travers un dialogue constructif entre les régulateurs, comprenant les autorités de protection des données et l’industrie

«Nous, les représentants soussignés de la communauté d’entreprises, appelons unanimement à la réaffirmation d’une approche basée sur les risques en tant que principe directeur de l’interprétation et de l’application du Règlement général sur la protection des données (RGPD).

Cela pourrait être fait en se focalisant sur l’harmonisation de l’interprétation du régime existant à travers un dialogue constructif entre les régulateurs, comprenant les autorités de protection des données et l’industrie.

Engagés à faire de la protection des données une pierre angulaire de nos opérations, les acteurs économiques de l’ensemble des secteurs ont investi de nombreuses ressources dans leurs efforts de mise en conformité depuis l’entrée en vigueur du RGPD. Au-delà d’un simple exercice de mise en conformité, les entreprises reconnaissent à quel point le RGPD a été fondamental pour le renforcement de la protection des données au sein de l’UE et reconnaissent l’avantage concurrentiel qui découle de la protection des données pour garantir des relations à long terme et fiables avec les sujets des données. Cependant, une interprétation assez conservatrice du RGPD, associée à un manque d’harmonisation et d’application cohérente a créé des défis importants pour les entreprises, malgré leur engagement et leurs investissements significatifs, avec des répercussions dangereuses sur les opérations commerciales et l’innovation.

Dans ce contexte, nous soulignons le besoin de régulateurs nationaux et européens pour appliquer de façon cohérente l’approche basée sur les risques et les principes de proportionnalité inscrits dans le RGPD. Au cours des six dernières années, nous avons de plus en plus observé l’adoption d’une approche conservatrice selon laquelle les régulateurs ont adhéré à une interprétation stricte de la loi. Contrairement à l’esprit d’origine du RGPD, cette approche semble uniquement prendre en compte l’existence d’un dommage potentiel et néglige la probabilité et la gravité des risques et leurs variations entre les secteurs et les opérations commerciales.  Ainsi, nous percevons que la protection des données est devenue un droit absolu, en contradiction avec l’ambition du RGPD de la  réconcilier avec d’autres objectifs en matière de politiques publiques et droits fondamentaux, y compris le droit de mener une activité, comme décrit dans le Considérant 4 du RGPD et découlant de la Stratégie européenne en matière de données (1).

Ce réalignement doit être accompagné d’un renforcement de la mission du régulateur de soutien aux acteurs économiques, en particulier aux PME, pour la protection des données personnelles par le biais de mesures techniques et organisationnelles qui sont plus adaptées à leurs activités de traitement et leur secteur spécifique. Comme on ne peut pas attendre des régulateurs qu’ils aient une expertise complète du secteur, il est fondamental de garantir un dialogue constructif et structuré avec les parties prenantes (aussi bien des entreprises individuelles que des associations de secteur). Dans le cadre de directives, par exemple, ce dialogue doit survenir aussi tôt que possible dans le processus, toujours appuyé par des ateliers ou des audiences devant les autorités nationales de protection des données et le Comité européen de la protection des données (CEPD). Ce dialogue doit aussi aider les régulateurs à mieux comprendre les dynamiques commerciales, mais aussi l’importance et l’impact des données au sein de modèles commerciaux et de stratégies.

Les entreprises font souvent face à l’incertitude juridique dans leurs efforts de mise en conformité au RGPD, ce qui est encore plus exacerbé par des niveaux significatifs de fragmentation sur la manière dont les risques pour les individus doivent être évalués, ce qui rend plus difficile pour les sociétés, dans de nombreux pays de l’UE, d’exercer leur activité tout en restant conformes aux règles de protection des données. Cela se reflète, par exemple, dans l’ambigüité résultant de l’éventail divers de modèles et guides d’évaluations d’impact sur la protection des données (EIPD) disponibles dans différents États membres, qui bénéficieraient d’une meilleure harmonisation au niveau de l’UE et d’évaluations des risques communes.

Dans ce cadre, il existe d’autres zones clés où les acteurs économiques de l’ensemble des secteurs s’accordent sur la nécessité d’une révision de l’application de l’approche basée sur les risques du RGPD et de son principe de proportionnalité.

  • Codes de conduite et certifications. Les codes de conduite et certifications, en vertu des articles 40 et 42 du RGPD ont été conçus comme des outils de responsabilisation pour des secteurs spécifiques et des activités de traitement. Cependant, ils ont été sous-utilisés, malgré leurs avantages consistant à promouvoir des approches cohérentes en matière de protection des données, permettant la conformité et réduisant la charge de travail de l’APD. Une action urgente est nécessaire pour que les APD puissent revoir leurs conditions très strictes concernant ces codes de conduite et collaborer avec des parties prenantes à travers des processus d’approbation simplifiés, afin de se confronter aux défis, risques et meilleures pratiques spécifiques au secteur.
  • Bases juridiques du traitement des données: Les entreprises luttent toujours contre l’incertitude juridique autour de la base juridique appropriée pour le traitement des données personnelles, en particulier concernant la nécessité de réalisation d’un contrat et d’un intérêt légitime. L’incertitude mène souvent à l’utilisation exagérée du consentement, bien que d’autres bases juridiques soient plus appropriées. Les régulateurs exacerbent ce point en limitant les options au-delà du consentement, dont la dernière occurrence se trouve dans le projet de lignes directrices du CEPD sur la directive «Vie privée et communications électroniques» (2). Cela néglige l’effort de consentement des individus et ignore la responsabilité organisationnelle basée sur les risques inhérente à d’autres bases juridiques, plus appropriées pour un traitement des données innovant.
  • Transferts de données internationaux: Suite au Jugement CJUE Schrems II et même après la mise en place du Cadre UE-États-Unis en matière de protection des données personnelles, la Commission européenne et les régulateurs ont adopté une position stricte sur les transferts de données internationaux vers des pays ne disposant pas d’accords avec l’UE. Malgré des évaluations d’impact de transfert coûteuses, les organisations ont néanmoins l’obligation d’éliminer tous les risques d’accès non autorisé à des données personnelles européennes quelle que soit la nature des données, la probabilité d’accès par des gouvernements étrangers et la gravité du dommage potentiel. Par conséquent, cette approche stricte oblige les entreprises à mettre en place des mesures supplémentaires au-delà des clauses contractuelles types et des règles d’entreprise contraignantes. Cela constitue des défis, en particulier pour des entités plus petites, incitant à une approche plus équilibrée et basée sur les risques, conforme aux principes du RGPD.
  • Demande d’accès des sujets de données (DSAR): En raison d’une meilleure connaissance du RGPD et de l’économie des données en expansion, les entreprises allouent de plus en plus de ressources pour gérer les demandes d’accès des sujets de données (DSAR). La cartographie et la consolidation de données provenant de divers systèmes et sources sont extrêmement coûteuses et chronophages, en particulier avec des données pseudonymisées ou non structurées. Comme une récente directive (3) et une récente jurisprudence (4) ont continué à élargir le cadre de la demande d’accès des sujets de données (DSAR) et le niveau d’informations détaillées à fournir aux sujets de données, l’application de la proportionnalité pourrait aider les entreprises à honorer ces défis conformément aux principes du RGPD.
  • Obligations en matière de documentation et d'information: À ce jour, la dispense de garder la trace des activités de traitement n’a aucune pertinence pratique. Non seulement tout employeur traite inévitablement des catégories spécifiques de données pour se conformer à ses obligations légales (ex. à des fins fiscales) dans le cadre de la relation professionnelle, mais toute petite entreprise traite quotidiennement les données de ses clients (c.-à-d. non occasionnellement). Ainsi, peu de sociétés en Europe sont éligibles à cette dispense. L’approche basée sur les risques doit être appliquée en conséquence dans ce cas-là et concernant les obligations d’information liées, particulièrement compte tenu de l’activité principale de la société.
  • Pseudonymisation et anonymisation Six ans après l’adoption du RGPD, les contrôleurs de données manquent toujours d’outils et critères communs pour le traitement de données pseudonymisées et anonymisées. Bien que cela ait dû constituer l’une des premières priorités des régulateurs, l’approche actuelle excessivement stricte basée sur les risques rend souvent les données pseudonymisées/anonymisées inutiles, décourageant l’investissement dans des technologies de protection de la vie privée. Les régulateurs doivent définir les limites du RGPD, en précisant les méthodes d’anonymisation opérationnelle et les conditions de réutilisation sûre des données par le biais de la pseudonymisation.

Toutes ces considérations retardent l’approbation par les entreprises de tous les types de traitements des données, du traitement à risque faible avec impératif opérationnel au traitement de données innovant avec garanties complètes en matière de protection des données et peuvent négativement affecter l’accès des individus aux services clés. L’approche à «taille unique» et maximaliste, associée à des interprétations compliquées des dispositions du RGPD ralentit les avancées des sociétés en matière d'innovation et de déploiement de nouvelles technologies. Cela risque aussi de compromettre les promesses de nouvelles initiatives dans le cadre de la Stratégie européenne en matière de données et de L’AI Act dont l’interaction logique avec la protection des données nécessite une application claire de l’approche basée sur les risques à leurs interactions avec le RGPD. Comme le RGPD et l’Al Act répondent à des principes et objectifs fondamentalement différents, certaines dispositions se chevauchent: ces obligations contradictoires devront être clairement identifiées pour éviter des difficultés supplémentaires en matière de conformité. La complexité du cadre juridique ne doit pas contribuer à nourrir un cercle vicieux qui éroderait progressivement la capacité et la volonté d’innover des acteurs économiques de l’ensemble des secteurs.

Sans remettre en question l’impératif de protection des données personnelles, les associations soussignées soulignent par conséquent la nécessité d'un changement de paradigme quant à l’interprétation actuelle du RGPD pour redéfinir l’approche basée sur les risques en tant que principe directeur du RGPD. Des acteurs économiques innovants appellent unanimement à un tel ajustement, afin d’établir un modèle durable pour l’utilisation des données avec un équilibre nécessaire entre le droit à la protection des données personnelles, les droits fondamentaux d’autrui et les objectifs en matière de politique publique.

Au nom de la communauté d’entreprises, nous restons engagés pour un dialogue constructif et une collaboration avec les institutions, organismes et autorités de protection des données de l’UE.»

Précision: cette version en français a été traduite par La villa numeris. Les signataires se sont engagés sur le texte rédigé en anglais.

>> Read

:: Signataires

:: Pour aller plus loin

  1. Façonner l’avenir numérique de l’Europe: La Commission présente des stratégies en matière de données et d’intelligence artificielle

  2. Lignes directrices 2/2023 relatives au cadre technique de l’article 5(3) de la directive «Vie privée et communication électronique»

  3. Lignes directrices 01/2022 relatives aux droits des sujets de données - Droit d’accès

  4. CJUE (1ère Chambre), 26 oct. 2023, C‑307/22