La commission sur la Justice du parlement irlandais, l'Oireachtas, dirigée par James Lawless a rendu ses conclusions sur la proposition de règlement de Bruxelles visant à reformer certains aspects du Règlement général sur la protection des données (RGPD). Présenté en juillet 2023, ce texte a pour objectif de "rationaliser" la coopération entre les différentes autorités de protection des données dans les cas de litiges transfrontaliers, d'après la Commission européenne.
Ces conclusions ont été envoyées à Helen McEntee, la ministre irlandaise de la Justice, Ursula von der Leyen, la présidente de la Commission européenne, Roberta Metsola, la présidente du Parlement européen ainsi qu'à Charles Michel, le président du Conseil de l'Union européenne. Elles ont également été transférées à l'organe approprié du parlement national de chaque Etat membre ainsi qu'aux membres de l'Oireachtas.
Affaiblir l'application du RGPD
"La commission soutient l'objectif fondamental qui sous-tend cette proposition à savoir (...) une résolution plus efficace des plaintes transfrontalières en matière de données", déclarent d'emblée les parlementaires. Pour ajouter immédiatement : "il souhaite également exprimer ses vives préoccupations concernant plusieurs éléments de la proposition telle qu'elle est formulée actuellement". "L'effet global de cette proposition sera d'affaiblir l'application du RGPD et, en tant que tel, de compromettre la protection des droits fondamentaux des citoyens de l'UE", déplorent-ils.
Pour rappel, dans la version actuelle du RGPD, une procédure est prévue pour la résolution des litiges transfrontaliers, c'est-à-dire lorsqu'un traitement de données est mis en oeuvre par une entreprise établie dans plusieurs Etats membres ainsi que ceux mis en oeuvre par une entreprise établie dans un seul Etat mais qui affectent sensiblement des personnes d'au moins un autre Etat. Dans ces cas de figure, c'est le principe du "guichet unique" qui s'applique : l'autorité de protection des données du pays où se situe l'établissement principal d'une société est l'interlocutrice privilégiée pour déposer une plainte ou mener des actions répressives. Il s'agit de l'autorité dite "chef de file". A l'origine, son but était d'harmoniser au niveau européen les décisions des autorités.
Favoriser la formation rapide d'un consensus
Or, notait la Commission européenne dans un rapport de 2020, il y a des différences dans les procédures appliquées par les différentes autorités ce qui entrave le fonctionnement harmonieux du RGPD. C'est la raison pour laquelle elle souhaite ajouter de nouvelles règles pour favoriser la formation rapide d'un consensus et ainsi éviter de recourir au mécanisme de résolution des litiges. Or, ces changements ne ravissent pas le parlement irlandais.
Tout d'abord, la commission se dit inquiète "des mesures de confidentialité" prévue dans la proposition de la Commission, en particulier l'article 15 qui donnerait la possibilité de "bâillonner" les requérants. Ce texte prévoit que l'autorité chef de file transfère ses conclusions préliminaires au plaignant. Ce dernier s'engage à ne divulguer aucune information dans le cadre d'une "déclaration de confidentialité". "Toute mesure de confidentialité (...) doit être nécessaire et proportionnée", indique la commission parlementaire. Ce qui ne serait donc pas le cas en l'espèce.
Une restriction des demandes d'accès tant que la procédure est en cours
Par ailleurs, le rapport émet des préoccupations sur l'article 21 du texte qui prévoit que "toute information collectée ou obtenue par une autorité de contrôle (...) est exclue des demandes d'accès (...) tant que la procédure est en cours". Cette disposition serait "disproportionnée" et "contredirait à la fois la législation européenne et nationale dans ce domaine", juge-t-il.
Ce que critiquent plus largement les parlementaires est le caractère trop général du nouveau texte qui devait se cantonner à l'origine à des règles purement procédurales. Mais même sur ces dernières, ils estiment que Bruxelles fait fausse route. Ils craignent notamment que le texte n'entrave "le travail du Comité européen de la protection des données et des autorités de contrôle autre que l'autorité chef de file". En cause : la possibilité pour une autorité chef de file de restreindre les informations mises à la disposition du CEPD et des autres autorités impliquées dans la procédure. "Elle empêcherait les autorités de contrôle de collecter des preuves pour de futurs cas", note le rapport.
La commission se dit aussi particulièrement "préoccupée" par le fait que la proposition législative permettrait à une autorité chef de file de "retirer unilatéralement des documents du dossier administratif". Ce qui constituerait "un grave manquement à l'équité des procédures et à la transparence".
La DPC au coeur de l'application du RGPD
Si la position de l'Irlande est importance, c'est que son autorité de protection, la Data Protection Commission (DPC), est au coeur de l'application du RGPD. En effet, elle est chef de file dans de nombreux litiges puisque la majorité des sièges européens des grandes entreprises technologiques sont situés en Irlande. A ce titre, elle a souvent été critiquée pour son inaction et son manque de sévérité au point de remettre en cause le principe du guichet unique.
Depuis, des changements ont été opérés à la tête de l'autorité. Sa présidente historique Helen Dixon a quitté ses fonctions en février dernier et a été remplacée par trois commissaires. Cette présidence à trois têtes doit permettre d'absorber l'augmentation des activités. Ses moyens ont également été revus à la hausse : en 2024, une enveloppe de 28,1 millions d'euros lui a été allouée, soit une augmentation par huit par rapport à son budget de 3,6 millions d'euros en 2015.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
