L’AFCDP regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique & Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Patrick Blum, Délégué Général de l’AFCDP, signe ici une tribune sur le développement du « paquet » de nouvelles réglementations en cours de discussion, qui soulèvent des inquiétudes sur les impacts qu’elles pourraient avoir sur la bonne application du RGPD, et sur la protection des données personnelles des citoyens européens.
A la lecture de ces textes, nous pourrions poser la question “qui veut la peau du RGPD ?” : va-t-il être dénaturé par ces nouvelles législations en cours de préparation ?
Dans le cadre de la stratégie de l’Union européenne en matière de données, plusieurs textes réglementaires sont actuellement en cours de discussion entre les colégislateurs européens : Commission, Parlement et Conseil. Ces projets de règlements portent sur les services numériques (DSA), les marchés numériques (DMA), la gouvernance des données (DGA), l’approche européenne de l’intelligence artificielle (AIR), et sur les échanges de données (DA).
Si ces projets ont pour but de faciliter l’utilisation et le partage des données par les acteurs privés et publics, y compris en soutenant l’utilisation de l’Intelligence artificielle, et en réglementant les plateformes en ligne, ils ont aussi un impact évident sur la protection des données personnelles et sur la protection des droits fondamentaux à la vie privée.
Des alertes de la part des instances de supervision
Dans ce contexte, le Comité européen de la protection des données (CEPD/EDPB), qui regroupe les 27 « CNIL » européennes, et le Contrôleur européen de la protection des données (CEPD/EDPS), qui joue le rôle de DPO des institutions européennes, ont déjà émis des avis conjoints ou individuels sur ces textes (DGA[1], AIR[2], DA[3], DMA[4] et DSA[5]).
Les deux autorités ont conjointement publié le 18 novembre 2021 une nouvelle « Déclaration sur le paquet “ services numériques ” et la “ stratégie de la donnée ” »[6].
Ils y attirent l’attention sur le manque de protection des droits et libertés fondamentaux des individus, une fragmentation de la supervision, et des risques d’incohérences, estimant qu’en l’état, les projets auraient un impact négatif sur les droits et libertés fondamentaux des individus et conduiraient à une incertitude juridique importante conduisant à saper le cadre juridique existant et futur.
Une dégradation de la protection des droits et libertés fondamentaux
Le CEPD/EDPB estime que certains choix sont susceptibles d’avoir un impact négatif et durable sur les droits et libertés fondamentaux des citoyens européens. Ainsi, la proposition de règlement sur l’intelligence artificielle (AIR) rendrait possible l’utilisation de systèmes d’IA catégorisant les individus à partir de données biométriques (telles que la reconnaissance faciale), ou en fonction de l’ethnicité, du sexe, de l’orientation politique ou sexuelle, voire d’autres motifs de discrimination qui sont actuellement interdits, en particulier par le RGPD. Le CEPD/EDPB souhaite également voir interdits les usages de l’IA pour déduire les émotions d’une personne.
Le Comité alerte aussi sur l’usage de la reconnaissance automatisée des caractéristiques humaines dans l’espace public comme le visage, mais aussi la démarche, la voix, l’ADN, la frappe au clavier, et toutes autres caractéristiques biométriques ou comportementales. Il craint également une régulation insuffisante de la publicité ciblée, et demande l’interdiction de la publicité basée sur le suivi permanent, et celle du profilage des enfants.
Une désorganisation de la supervision, et des incohérences
Observant que tous ces projets prévoient la création de nouvelles autorités de contrôle (et de nouveaux organes de coordination) alors même que les données personnelles sont au cœur des activités réglementées par leurs propositions, le CEPD/EDPB s’inquiète de cette profusion, au détriment des autorités de contrôle de la protection des données existantes, qui sont pourtant prévues par le Traité sur le fonctionnement de l’UE, par la Charte des droits fondamentaux de l’UE et par le RGPD. D’autant plus que cette multiplication de nouveaux organes de contrôle ne s’accompagne pas de modalités de coopération avec les autorités de contrôle de la protection des données et avec le CEPD/EDPB.
Afin d’assurer la complémentarité de la surveillance et de renforcer la sécurité juridique, le CEPD/EDPB recommande vivement que chacune des propositions mentionne clairement les autorités de contrôle de la protection des données parmi les autorités compétentes avec lesquelles la coopération doit avoir lieu. En outre, chaque proposition devrait prévoir une base juridique explicite pour l’échange d’informations nécessaires à une coopération efficace et identifier les circonstances dans lesquelles la coopération devrait avoir lieu. Ces projets devraient aussi permettre aux autorités de contrôle respectives de partager les informations obtenues dans le cadre d’audits et d’enquêtes portant sur un traitement des données à caractère personnel, avec les autorités de contrôle de la protection des données, soit sur demande, soit de leur propre initiative. Le CEPD/EDPB tient à souligner la nécessité de veiller à ce que les autorités de contrôle de la protection des données disposent de ressources suffisantes pour accomplir ces tâches supplémentaires.
Le CEPD/EDPB observe également que les projets concernent tous des activités qui impliquent des traitements de données à caractère personnel qui sont donc déjà encadrés par le RGPD, et que ces nouvelles dispositions ne peuvent que créer une ambigüité sur la cadre applicable. Le Comité demande donc un renforcement de la cohérence avec les textes existants, et en particulier, l’harmonisation de la terminologie et des concepts utilisés, avec ceux qui prévalent dans le RGPD et dans la directive « Vie privée et communications électroniques ».
Les professionnels de la protection des données souhaitent une meilleure lisibilité des textes
L’AFCDP s’inquiète de la même façon de la possible multiplication des réglementations concernant les données personnelles, qui en rendraient le pilotage complexe au sein des organisations, de même que la multiplication des autorités de contrôles qui pourraient s’ajouter à la CNIL, au nombre de leurs interlocuteurs.
Elle s’inquiète également des incohérences entre les nouveaux textes (DSA, DMA, DGA, DA, AIR) et le RGPD, qui risquent de compliquer encore la mise en œuvre d’un cadre juridique déjà complexe.
—————————————————-
[1] https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032021-proposal_en
[2] https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-52021-proposal_en
[3] https://edps.europa.eu/data-protection/our-work/publications/opinions/european-strategy-data_en
[4] https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-markets-act_en
[5] https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-services-act_en
[6] https://edpb.europa.eu/system/files/2021-11/edpb_statement_on_the_digital_services_package_and_data_strategy_en.pdf