Données personnelles : l’Europe va assouplir sa réglementation dans “les semaines à venir”

BRUXELLES — La législation sur le numérique la plus célèbre d’Europe, le RGPD, est la prochaine sur la liste, alors que l’Union européenne poursuit sa tuerie réglementaire pour tailler dans les lois qui, selon elle, pèsent sur ses entreprises.

La Commission européenne prévoit de présenter une proposition visant à réduire le règlement général sur la protection des données (RGPD) dans les prochaines semaines. Il s’agit d’une des priorités de la présidente de l’exécutif de l’UE, Ursula von der Leyen, qui essaye de rendre les entreprises du Vieux Continent plus compétitives par rapport à leurs concurrentes aux Etats-Unis, en Chine et ailleurs.

La Commission a déjà dévoilé des mesures visant à simplifier les règles relatives au reporting des entreprises en matière environnemetale et à l’accès aux investissements de l’UE. L’objectif est que les firmes perdent moins de temps et d’argent à se conformer aux exigences légales et réglementaires complexes imposées par le droit européen.

Le RGPD est considéré comme l’un des textes les plus complexes d’Europe par le secteur du numérique — et par les sociétés bien au-delà de la tech — pour la façon dont il oblige les entreprises opérant en Europe à gérer leurs données, et à traiter les demandes et les droits des personnes concernées par ces données personnelles. Son introduction en 2018 a suscité un déluge d’e-mails désespérés de la part d’entreprises demandant le consentement des personnes pour utiliser leurs données.

Sept ans plus tard, Bruxelles sort les ciseaux pour faire une nouvelle coupe à sa célèbre loi sur la protection des données privées.

Il y a “beaucoup de bonnes choses sur le RGPD, [et] la protection de la vie privée est tout à fait nécessaire. Mais nous ne devons pas réglementer de manière stupide. Nous devons faire en sorte qu’il soit facile pour les entreprises de s’y conformer”, a déclaré la semaine dernière la ministre danoise du Numérique, Caroline Stage Olsen, à la presse. Le Danemark prendra la présidence tournante du Conseil de l’UE le 1er juillet.

Les critiques contre le RGPD font écho à l’avis de l’ancien Premier ministre italien Mario Draghi, qui a publié un fameux rapport en septembre dernier, avertissant que les lois complexes de l’Europe empêchaient son économie de rattraper les Etats-Unis et la Chine. “La position de l’UE en matière réglementaire vis-à-vis des entreprises de la tech entrave l’innovation”, a écrit Draghi, en pointant du doigt la loi sur l’intelligence artificielle et le RGPD.

Pour les petites entreprises financièrement fragiles, les tonnes de documents que le RGPD leur demande de produire sont depuis longtemps un sujet de mécontentement. Le commissaire à la Justice, Michael McGrath, a déclaré que le principal résultat de l’évaluation du RGPD l’été dernier “est la nécessité d’un soutien accru [pour] les entreprises, en particulier les PME, dans leurs efforts de mise en conformité”.

McGrath a confirmé la semaine dernière qu’une proposition visant à simplifier le RGPD devrait être présentée dans les “semaines à venir”. La Commission avait prévu de se mettre d’accord sur un paquet de simplification pour les petites et moyennes entreprises le 16 avril, selon l’agenda de la Commission, mais cette date a depuis été reportée au 21 mai.

Une source au sein de la Commission, à qui l’on a accordé l’anonymat pour discuter de la planification en cours, précise à POLITICO que la date n’était “qu’indicative” et qu’il n’avait pas été décidé si le RGPD figurerait dans le paquet. Mais la proposition visant à simplifier les règles sur les données personnelles serait certainement présentée “d’ici juin”.

Le commissaire à la Justice, Michael McGrath, a déclaré que le principal résultat de l’évaluation du RGPD l’été dernier “est la nécessité d’un soutien accru [pour] les entreprises, en particulier les PME, dans leurs efforts de mise en conformité”. | Martin Bertrand/Hans Lucas/AFP via Getty Images

La Commission a indiqué précédemment que le plan de simplification se concentrera sur les règles de reporting pour les organisations de moins de 500 personnes, mais ne touchera pas à “l’objectif central sous-jacent [du] régime RGPD”.

Les ajustements pourraient consister à limiter les exigences relatives à la tenue des archives des activités de traitement des données ou à réformer la manière dont les entreprises fournissent des évaluations d’impact sur la protection des données — deux règles considérées comme trop lourdes pour les petites entreprises.

La boîte de Pandore du lobbying

Le RGPD a été un texte marquant lorsqu’il est entré en vigueur en 2018 et a été présenté comme un exemple de l’effet Bruxelles, ayant établi une norme internationale pour la protection des données à caractère personnel.

Les négociations sur le texte avaient déclenché l’un des plus grands efforts de lobbying que Bruxelles ait jamais connu. Les entreprises de la tech avaient renforcé leurs activités à Bruxelles et dépensé des millions pour tenter d’en influencer la rédaction. La proposition avait fait l’objet de plus de 3 000 amendements au Parlement européen, un record.

La révision de la loi par l’Union européenne risque de déclencher une guerre de lobbying entre les grandes entreprises de la tech et les défenseurs des données personnelles, deux des plus puissantes forces en matière d’affaires publiques à Bruxelles.

Certains craignent que si le RGPD était remis en question, il pourrait s’effondrer sous la pression du lobbying. “Rouvrir le RGPD pour le simplifier est risqué, qu’importe si la proposition semble bien intentionnée et ciblée”, estime Itxaso Domínguez de Olazábal, conseiller politique auprès du groupe de défense des droits numériques EDRi.

L’UE est déjà en train de finaliser une nouvelle législation sur les règles de procédure permettant aux régulateurs de se coordonner sur les grandes affaires liées au RGPD.

Selon Max Schrems, militant autrichien de la protection des données personnelles, le RGPD reste une “cible énorme” pour les lobbyistes, mais ses règles de base ne peuvent pas être facilement supprimées, car la protection des données est inscrite dans la Charte des droits fondamentaux de l’UE en tant que liberté inaliénable.

“Une Cour de justice annulerait un RGPD qui ne contiendrait pas ces éléments essentiels”, assure Schrems. “Si c’est là que [les lobbyistes] veulent dépenser leur énergie, qu’ils le fassent, mais ils n’y parviendront pas.”

Pieter Haeck a contribué à cet article.

Cet article a d’abord été publié par POLITICO en anglais et a été édité en français par Jean-Christophe Catalon.