La Commission européenne a lancé il y a quelques semaines une proposition de régulation qui viserait à harmoniser les procédures du RGPD. Dans un document d’une quarantaine de page, l’association Noyb a partagé ses commentaires. Passons-les en revue.
Admission des plaintes
Noyb a identifié plusieurs problèmes d’admissibilité des plaintes RGPD auprès des autorités de contrôle. L’une d’entre-elles concerne l’exercice des droits.
Lorsqu’une personne concernée n’arrive pas à exercer ses droit auprès du responsable de traitement (droit d’accès, droit à l’oubli…), il a en théorie le droit de saisir son autorité de contrôle. Cependant, beaucoup d’entre-elles demandent à ce que la personne prouve qu’elle a tenté d’exercer ses droits avant de déposer une plainte. Cela a pour objectif de réduire le nombre de plaintes de personnes mécontente qui n’ont pas préalablement tenter d’exercer leur droit auprès du responsable de traitement mais le résultat est que les autorités refusent souvent des plaintes qui sont légitimes. Si la personne n’arrive pas à trouver l’adresse mail du délégué à la protection des données par exemple, il devrait avoir le droit de saisir son autorité de contrôle.
De plus, la personne ne devrait pas avoir à citer d’articles de loi et faire soi-même l’analyse juridique. Les autorités de contrôles demandent parfois trop de détails juridiques alors que la personne concernée n’a pas forcément les connaissances pour cela. Noyb souhaite que les plaintes soient acceptées et que l’autorité de contrôle les traite en identifiant elle-même les manquements.
Information et transparence
Noyb pointe un manque général de transparence et d’information après que la plainte ait été déposée. L’article 78 du RGPD cite un délai de trois mois dans lequel l’autorité doit informer la personne mais rien ne précise ce que doit contenir cette information. L’autorité pourrait potentiellement simplement accuser réception de la plainte pour se conformer à cet article. En France, nous avons un décret qui indique que la plainte est tout simplement réputée close sans nouvelle de la CNIL après trois mois.
L’harmonisation devrait forcer les autorités de contrôle de communiquer le statut de l’admissibilité de la plainte, ce que l’autorité de contrôle à fait et envisage de faire, si elle procède à une enquête et les raisons pour lesquels et refuserait de faire une enquête, une estimation du délai de traitement et les raisons de potentiels retards. Pour finir, Noyb souhaite aussi que la personne puisse partager ses commentaire à l’autorité de contrôle.
La personne qui a déposé une plainte n’est pas toujours notifiée de la réponse ni n’a accès à la décision finale. Noyb demande aussi à ce que la personne puisse être une partie à la procédure, ce qui lui permettrait de pouvoir défendre ses droits et d’être entendu à toutes les étapes de la procédure.
Coopération et décision du comité
Lorsque la plainte fait l’objet d’une coopération voire d’une décision de l’EDPB (Comité européen de la protection des données), d’autres problèmes peuvent se poser selon Noyb. Le manque d’information des parties, voir entre les autorités de contrôle et même avec l’EDPB est cité. Noyb demande aussi plus de temps et de pouvoir pour l’EDPB. Actuellement l’EDPB doit rendre une décision en un mois et juger avec les pièces fournies par les autorités de contrôles nationales.
En résumé, Noyb est favorable à l’harmonisation proposée par la Commission et demande plus de transparence et plus de droits pour les personnes qui déposent des plaintes au titre du RGPD.