La Commission européenne a publié il y a quelques jours une proposition de règlement sur les procédures du RGPD. Les droits nouveaux pour les plaignants sont minces. Une disposition particulière va même jusqu’à leur demander de signer un contrat de confidentialité.
Il y a quelques semaines, je résumais les demandes de l’ONG Noyb concernant l’harmonisation annoncée des procédures du RGPD. En substance, elle demandait plus de droits pour les plaignants. Après que la Commission européenne ait publié sa proposition de régulation, Noyb dénonce une mise à l’écart des plaignants.
Un nouveau droit de regard
Le but principal de ce règlement est d’améliorer la coopération entre autorité de protection des données dans le cadre de la procédure dite du « guichet unique ». Quand un organisme fait l’objet d’une plainte au titre de l’article 77 du RGPD et que cet organisme est implémenté en Europe, un mécanisme complexe prévu à l’article 60 du RGPD se met en place. La plainte est transférée à l’autorité où l’organisme est représenté, mais les autres autorités peuvent intervenir si elles ne sont pas d’accord avec la proposition de sanction de l’autorité cheffe de file. C’est le comité européen qui tranche en dernier recours.
Le problème est que le système peut être grippé si l’autorité en charge de traiter la plainte ne le fait pas ou si ses procédures internes sont opaques. La proposition de règlement de la Commission Européenne vise à résoudre les problèmes rencontrés lors de ce mécanisme de coopération. Il a été demandé par bon nombre d’autorités.
De nombreuses dispositions visent les parties sous procédure de contrôle (les organismes visés par la plainte). Ceux-ci disposent d’un droit à être entendu assez conséquent. Pour les plaignants en revanche, la proposition de règlement n’est pas très bavarde. Un droit de regard est tout de même introduit à l’article 15.
Sous accord de confidentialité
Les plaignants vont pouvoir donner leur point de vue à l’autorité de protection des données cheffe de file. Pour ce faire, ils vont avoir accès une version non-confidentielle des résultats préliminaires de l’investigation de l’autorité.
Chose étonnante, malgré le fait qu’il est bien précisé que tous les documents ne doivent pas contenir de secrets industriels ou commerciaux et qu’il s’agit d’une version « non confidentielle », l’alinéa 5 de l’article 15 de la proposition tente d’obliger les plaignants à signer une déclaration de confidentialité. Les plaignants doivent s’engager à ne pas divulguer les informations contenues dans les documents transmis et de ne pas utiliser ces informations pour autre choses que la procédure de plainte RGPD.
Cette disposition pose de nombreux problèmes. Premièrement, on demande, encore une fois, des efforts supplémentaires aux plaignants qui ont déjà pris la peine d’introduire une réclamation au titre du RGPD. Demander la conclusion d’un accord de confidentialité est une charge supplémentaire pour les plaignants. Ensuite, cela contrevient à la nécessité de transparence imposée par le RGPD sur les traitements de données personnelles : toute personne concernée devrait pouvoir savoir si le responsable de traitement se conforme au RGPD. De plus, la proposition de règlement semble penser que les plaignants sont une seule personne physique (dans le texte « the complainant » est toujours au singulier) alors que le RGPD indique bien à l’article 57 qu’une plainte peut être déposée par « une personne concernée ou par un organisme, une organisation ou une association ». Il ne semble peu opérationnel de conclure un accord de confidentialité avec une association où n’importe quel individu pourrait devenir membre. Pour finir, la disposition empêchant d’utiliser les informations pour autre chose que la plainte semble contrevenir au droit à un recours juridictionnel effectif contre une autorité de contrôle ou contre un responsable du traitement notamment prévus aux articles 78 et 79 du RGPD. Cette disposition est également une attaque contre la liberté de la presse.
Pour toutes ces raisons, j’appelle la Commission européenne à supprimer l’alinéa 5 de l’article 15 de sa proposition de régulation visant à harmoniser les procédures du RGPD.