RGPD : les évolutions attendues au deuxième semestre

Le RGPD a provoqué un véritable passage en revue des pratiques en cours dans le digital en Europe et dans le monde. Cependant, comme pour toute loi sur la protection de la vie privée, des réformes sont encore nécessaires pour refléter les dernières innovations en matière de collecte, d'utilisation et de protection des données.

Le règlement dispose déjà d’une flexibilité qui lui est inhérente et qui lui permettra de s’adapter à de futures évolutions de la technologie. Le texte autorise les responsables et les chargés du traitement à appliquer les « mesures de sécurité techniques et organisationnelles appropriées » au lieu de dicter des mesures spécifiques. Il encourage également la création de codes de conduite prenant en compte les besoins et les spécificités des différents secteurs, ce qui devrait permettre à la loi de tenir dans le temps.

Cependant, des améliorations sont encore nécessaires. Nous assisterons probablement à un renforcement de l’application de la loi, car l’invalidation du Privacy Shield par l’arrêt Schrems II entraînera une pression accrue sur les pays situés en dehors de l’EEE pour que ces derniers soient en conformité. En parallèle, nous commençons à voir davantage d’applications extraterritoriales, qui se poursuivront probablement. La directive relative aux actions représentatives, qui a été approuvée le 24 novembre 2020, commencera à être mise en œuvre dans le cadre du mécanisme des États membres. Cela exigera des États membres européens d’adopter au moins un mécanisme procédural autorisant les actions collectives ; ce champ d’application inclut le RGPD et augmentera le risque de recours collectifs. Cela signifie qu’une action collective pourrait être intentée contre des traders si ces derniers avaient prétendument violé le droit de l’UE dans le domaine général de la protection des données.

Nous assisterons également à une application accrue des directives locales en matière de cookies, ce qui, j’imagine, rendra encore plus complexes les subtilités du consentement des cookies dans les différentes juridictions. Une conception globale du consentement représenterait une solution à cela.

Au cours de l’année à venir, une approche plus détaillée du RGPD verra le jour. Les entreprises utiliseront des programmes complets de respect de la vie privée et d’éthique des données qui permettront anticiper et prévoir de futures lois et tendances de l’industrie, au lieu de simplement cocher les cases d’une seule loi.

Un défi supplémentaire à la mise en œuvre du RGPD est le mécanisme du guichet unique, conçu pour assurer la coopération et la cohérence lorsque la décision d’une autorité de contrôle est susceptible d’affecter un nombre important de personnes dans d’autres États membres.

Le but est sain en théorie. Cependant, des études de cas récentes montrent que la complexité du processus va à l’encontre de ces objectifs, entraînant des frictions entre les États membres et de la confusion pour les entreprises impliquées dans le traitement transfrontalier. Cette spirale de confusion génère des incohérences dans l’application des directives locales créant une expérience incohérente et déroutante pour les personnes concernées.

Un processus révisé qui supprimerait la complexité et créerait des procédures d’exécution claires et objectives se traduirait probablement par une meilleure et plus cohérente expérience pour les autorités de contrôle, les entreprises et les personnes concernées.

La pression ne cesse d’augmenter pour les autorités de l’UE et des États-Unis, ce qui a été exacerbé par l’enquête du commissaire irlandais à la protection des données sur les mécanismes de transfert transfrontalier de Facebook de l’UE vers les États-Unis. Le précédent qui en résulte peut entraîner une incertitude supplémentaire pour les entreprises qui dépendent des transferts de données entre l’UE et les États-Unis. Espérons que les responsables de l’UE et des États-Unis sauront donner priorité et accélérer les négociations afin de trouver un cadre qui offre à la fois une certitude pour les entreprises et une protection pour les personnes concernées.