Deux ans après l’entrée en application du Règlement général sur la protection des données (RGPD), la Commission européenne publie un premier rapport sur l’évaluation et le réexamen du Règlement.
La conclusion est plutôt positive. Les auteurs soulignent ainsi que le RGPD «a atteint la plupart de ses objectifs, notamment en conférant aux citoyens un ensemble solide de droits opposables et en créant un nouveau système européen de gouvernance et de contrôle de l’application». Ils estiment que les règles sont adaptées à l’économie du numérique, et permettent aux citoyens «de jouer un rôle plus actif quant à l’utilisation qui est faite de leurs données». Les entreprises, désormais soumises à de nouvelles obligations, ont elles aussi pris le pli de la protection des données. Bien que des progrès restent à faire en termes de conformité, elles sont de plus en plus nombreuses à développer une culture du respect de la réglementation et à percevoir un niveau élevé de protection des données comme un avantage concurrentiel.
Les autorités nationales, chargées de veiller à la bonne application des règles, ont d’ailleurs vu leurs ressources augmentées : entre 2016 et 2019, le budget cumulé des différentes autorités au sein de l’Union européenne a augmenté de 49 % tandis que les effectifs ont crû de 42 %. Les gendarmes européens des données personnelles harmonisent peu à peu leurs pratiques, et collaborent entre eux notamment dans le cadre du Comité européen de la protection des données. Entre le 25 mai 2018 et le 31 décembre 2019, 141 projets de décision ont ainsi été soumis par l’intermédiaire du guichet unique (dispositif permettant à une société qui traite des données dans un contexte transfrontalier d’avoir une seule autorité comme interlocuteur), dont 79 ont abouti à une décision définitive. Le rapport note toutefois des améliorations possibles, en particulier sur le traitement des dossiers transfrontaliers «qui requiert une approche plus efficace et plus harmonisée ainsi qu’une utilisation effective de tous les outils prévus dans le RGPD afin que les autorités de protection des données coopèrent».
Enfin, la coopération doit également se poursuivre avec les pays tiers. La Commission prévoit ainsi, sous réserve de l’accord du Conseil, d’ouvrir de nouvelles négociations afin de conclure avec des pays tiers des accords d’assistance mutuelle et de coopération en matière de protection des données.
