RGPD : quel bilan après 2 ans ?

La Commission européenne a livré son ressenti sur les deux premières années d'exploitation du RGPD. Avec un bilan tout à fait encourageant pour l'institution.

En vigueur depuis plus de deux ans et le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a fait ses preuves. Considéré comme "un outil essentiel pour garantir que les individus ont un meilleur contrôle sur leurs données personnelles et que ces données sont traitées dans un but légitime, dans un cadre légal, équitable et de façon transparente", le texte fait l'objet d'un bilan -salutaire mais constructif- de la Commission européenne, rendu public le mercredi 24 juin.

La Commission européenne vante l'aura internationale du RGPD

La Commission a dépassé son cadre régional et salué, après seulement deux ans, les effets particulièrement positifs du RGPD auprès des nations hors Union européenne, comme le Chili, le Brésil, le Japon, la Corée du Sud, l'Inde, le Kenya, l'Indonésie et même l'État de Californie, où des réglementations similaires sont entrées en vigueur, montrant ainsi que l'UE "peut agir comme un normalisateur mondial pour la réglementation de l'économie numérique", constate la Commission européenne. Même le secrétaire des Nations Unis, António Guterres, voit en le RGPD un "exemple."

Dans l'ensemble, les membres de la Commission européenne sont d'accord pour dire qu'en deux ans, le RGPD a "atteint avec succès ses objectifs", à savoir la garantie de la libre circulation des données personnelles au sein de l'UE et surtout le renforcement de la protection des données personnelles des utilisateurs de la zone. Sans oublier une popularité certaine. 69% des citoyens de l'Union (chez les 16 ans et plus) ont déjà entendu parler du RPGD. 71% connaissent leur gendarme des données, la CNIL pour nous Français.

La Commission a également félicité les différentes CNIL européennes, qui ont usé de façon équilibré de "leurs pouvoirs de sanction renforcés, notamment les mises en demeure et les amendes", parfois en milliers, d'autres fois en millions d'euros.

Des difficultés pour les États de l'UE à mettre en place des procédures transfrontalières

Pourtant, malgré un certain succès et une adoption très importante au sein des entreprises, le règlement souffre encore de certaines lacunes, identifiées par la Commission européenne.

L'institution basée à Bruxelles a porté son attention sur le paragraphe 2 de l'article 97 du RGPD, qui stipule qu'elle examine, en particulier, l'application et le fonctionnement du "transfert de données à caractère personnel vers des pays tiers à ou des organisations internationales" et les mécanismes de "coopération et de cohérence." La Commission demande ici à ce que l'examen soit élargi, pour s'adapter aux questions soulevées durant les deux premières années de vie du texte.

La Commission européenne constate aussi que les différentes autorités européennes de protection des données ont encore du mal à utiliser les outils fournis par le RGPD et souffrent encore de difficultés à mener des actions ou des enquêtes conjointes, transfrontalières. "Des occasions de favoriser une plus grande harmonisation ont été manquées", note l'institution.

La Commission appelle les États membres à poursuivre les efforts

Alors que son prochain rapport d'évaluation ne sera publié qu'en 2024, la Commission européenne appelle les États membres à boucler la mise en conformité des lois nationales avec le RGPD, pour éviter toute fragmentation, et à évaluer si la législation nationale mettant en oeuvre le RGPD puisse être utilisée en toutes circonstances. Les membres de l'Union européenne devront aussi allouer des ressources et des moyens suffisants aux autorités de protection afin qu'elles puissent pleinement accomplir leurs tâches.

De son côté, la Commission poursuivra notamment les échanges bilatéraux avec les États membres, veillera à la mise en conformité des lois, à l'indépendance des autorités nationales compétentes et aux procédurex de sanction.

_{Source : Commission européenne}