4 ans après son premier rapport d’application du RGPD publié en 2020, la Commission européenne dresse son second bilan. Depuis 2020, de nombreux textes ont été adoptés par l’Union européenne concernant notamment le développement de l’intelligence artificielle, la facilitation de la recherche novatrice, ou encore la création d’un environnement numérique plus sûr. Bien que la Commission européenne salue ces évolutions, elle souligne dans ce bilan d’application qu’il reste des progrès à faire dans de nombreux domaines.
Un point particulièrement mis en lumière est le besoin d’une application cohérente de la règlementation relative à la protection des données, par les différents Etats membres de l’Union. La Commission relève différents points. Le RGPD a laissé la possibilité aux Etats membres d’adopter des législations sectorielles, amenant parfois à des contradictions entre les diverses règlementations nationales au sein même de l’Union européenne freinant ainsi la libre circulation des données.
Par ailleurs, chaque autorité de protection des données est libre d’adopter des lignes directrices reflétant son interprétation de la règlementation. Cela donne lieu à des divergences d’interprétation de la réglementation entre les autorités de protection des données, conduisant à une insécurité juridique. La Commission prend pour exemple les points de vue divergents de certains Etats membres sur la base juridique appropriée dans le cadre de la conduite d’un essai clinique notamment, ou encore sur la qualification des parties entre responsable de traitement et sous-traitant. De surcroit, la Commission relève que certaines autorités de protection des données publient parfois des lignes directrices au niveau national, qui sont contraires à celles du Comité européen de la protection des données.
Afin d’améliorer l’application du RGPD, d’accroitre la cohérence qui lui fait parfois défaut et d’harmoniser les législations, la Commission a notamment proposer d’adopter un règlement sur les règles de procédure en juillet 2023. Cette proposition vise à mettre en place des voies de recours rapides pour les particuliers. La Commission a relevé que les autorités de protection des données renforçaient leur coopération, et avaient davantage recours au mécanisme de contrôle de cohérence, de façon informelle. Elle recense 1000 demandes d’assistance mutuelle formelles, contre 12 300 informelles.
S’agissant toujours de l’application cohérente de la règlementation, la Commission relève également le besoin d’adopter des lignes directrices plus concises et qui répondent davantage à la pratique. En effet, selon les autorités de protection des données, les lignes directrices adoptées par le CEPD sont trop théoriques, et ne répondaient pas aux problèmes concrets que se posent les acteurs. Il est nécessaire que le CEPD consulte les parties prenantes afin de mieux appréhender les dynamiques du marché. Par exemple, il a été identifié la nécessité d’adopter des lignes directrices concernant l’anonymisation et la pseudonymisation, ou encore l’intérêt légitime et la recherche scientifique.
En conclusion, la Commission considère qu’il convient de se concentrer sur l’application rigoureuse du RGPD, par une interprétation et une application cohérente dans l’ensemble de l’Union, et également sur la coopération entre les différentes autorités.