La date du 25 mai 2018 résonne encore beaucoup dans les têtes des DSI, RSSI, DPO et directions générales, jour de l'entrée en vigueur du RGPD. Or la nécessité de mise en conformité pour assurer la protection des données personnelles partout en Europe n'a pas forcément été prise en compte parmi toutes les organisations publiques et privées concernées. Alors que depuis 2018, 114 millions d'euros d'amendes ont été infligées, les difficultés à l'implémentation sont pointées du doigt par les décideurs ce qui ne va pas sans faciliter la situation. Pour autant, le RGPD n'a rien de figé; tant du côté des entreprises qui doivent l'appliquer - il ne s'agit en aucun cas d'un projet à date d'échéance définie mais qui relève davantage du travail de fond au long cours - que des institutions portant le réglement. 

Dans un contexte où 69% de la population de l'UE au-dessus de la 16 ans ont entendu parler du RGPD et 71% des citoyens de l'UE connaissent leur autorité nationale de protection des données, un dernier rapport de la Commission européenne souligne les efforts à faire pour faire évoluer le règlement. « L'opinion générale est que deux ans après son entrée en vigueur, le RGPD a atteint avec succès ses objectifs de renforcement de la protection de la droit à la protection des données personnelles et garantissant la libre circulation des données personnelles au sein de l'UE23. Cependant, un certain nombre d’améliorations futures ont également été identifiés », explique la Commission.

Vers un meilleur accompagnement des PME

Si les grands comptes ont pu déployer des moyens pour sauter dans le train de la conformité RGPD - quand cela n'était pas déjà fait -, les structures plus modestes comme les PME se sont souvent retrouvées au pied du mur. La Commission considère qu'il n'est pas envisageable d'adopter des dérogations en fonction de la taille des entreprises, elle reconnait que des actions doivent être menées. « Plusieurs autorités de protection des données ont fourni des outils pratiques pour faciliter la mise en œuvre du RGPD par les PME à faible risque de traitement Ces efforts devraient être intensifiés et généralisés, de préférence dans un approche européenne commune afin de ne pas créer d'obstacles au marché unique », indique la Commission. « Les autorités de protection des données ont développé un certain nombre d'activités pour aider les PME se conformer au RGPD, par exemple en fournissant des modèles de traitement contrats et registres des activités de traitement, séminaires et hotlines pour consultation. Un certain nombre de ces initiatives ont bénéficié d'un financement de l'UE50. D'autres activités devraient être envisagée pour faciliter l'application du RGPD aux PME ».

Pour autant, la législation des États membres suit des approches différentes lors de la mise en œuvre dérogations à l'interdiction générale de traiter des catégories particulières de données, en ce qui concerne le niveau de spécification et les garanties, y compris pour la santé et fins de recherche. Pour résoudre ce problème, la Commission établit dans un premier temps une les différentes approches des États membres et soutiendra, dans une étape suivante, la mise en place de codes de conduite qui contribueraient à une approche dans ce domaine et faciliter le traitement transfrontalier des données à caractère personnel. En outre, les futures lignes directrices du Conseil sur l’utilisation des données à caractère personnel dans le recherche scientifique contribuera à une approche harmonisée. 

Une coordination internationale à monter d'un cran

Une meilleure coordination des moyens au niveau européen, en particulier d'un point de vue des procédures liées aux traitements des plaintes relatives aux données personnelles est également en vue. « De nouveaux progrès sont nécessaires pour rendre le traitement des affaires transfrontalières plus efficace et harmonisées à travers l'UE, y compris d'un point de vue procédural, pour exemple sur des questions telles que les procédures de traitement des plaintes, les critères de recevabilité plaintes, la durée des procédures en raison de délais différents ou l’absence de délais dans le droit administratif national, le moment de la procédure où le droit d'être entendu est accordé, ou l'information et la participation du plaignants au cours de la procédure », peut-on lire dans le rapport.  Sur ce point, la Commission enjoint ses membres à limiter l'utilisation de clauses de spécification susceptibles de créer de la fragmentation et compromettre la libre circulation des données.

Un autre aspect important de la dimension internationale des règles de l'UE en matière de protection des données touche à la portée territoriale étendue du RGPD, qui couvre également les activités de traitement des les opérateurs étrangers actifs sur le marché de l'UE. « Pour garantir une conformité efficace avec le RGPD et des conditions de concurrence équitables, il est essentiel que cette extension soit reflétée de manière appropriée dans les mesures coercitives prises par les autorités de protection des données », explique la Commission. « Ils devraient notamment impliquer, le cas échéant, le responsable du représentant au sein de l'UE, à qui il est possible de s'adresser en plus ou à la société basée en dehors de l'UE. Cette approche devrait être poursuivie plus vigoureusement afin d’envoyer un message clair selon lequel l’absence d’établissement dans l’UE n’est pas décharger les opérateurs étrangers de leurs responsabilités au titre du RGPD. »

Faciliter les échanges dans le cadre du droit à la portabilité

Parmi les autres pistes d'amélioration envisagées par la Commission, figure la création d'outils appropriés avec des interfaces et formats normalisés dont la lecture est automatisable pour faciliter les échanges entre fournisseurs dans le cadre du droit à la portabilité. « Une utilisation accrue du droit à la portabilité pourrait, entre autres, permettre aux particuliers de l'utilisation de leurs données pour le bien public s’ils le souhaitent », fait savoir la Commission sans plus de détails. Ou encore mettre en place les conditions pour les membres de s'entendre sur l'âge de consentement des enfants pour faire valoir leurs droits en matière de protection des données. « A un moment où les problèmes de respect de la vie privée ou les incidents de sécurité des données toucher un grand nombre de personnes simultanément dans plusieurs juridictions, la coopération sur le terrain entre les régulateurs européens et internationaux devrait être encore renforcée. En particulier, cela nécessite la mise en place d'instruments juridiques appropriés, des formes plus étroites de coopération et d’assistance mutuelle, y compris permettant les échanges d'informations nécessaires dans le cadre des enquêtes. »