Le règlement relatif à la protection des données personnelles du 27 avril 2016, entré en vigueur le 24 mai dernier, institue une nouvelle architecture de coopération entre les autorités nationales de protection avec un nouvel organe européen : le Comité européen de protection des données. Ce Comité, qui remplacera l´actuel G29, aura comme mission d´arbitrer les différends entre les autorités nationales et d´élaborer une doctrine « européenne ». Ses pouvoirs et son indépendance seront renforcés, puisque le Comité pourra désormais rendre des avis contraignants.

Puisque la nature transnationale de l’Internet appelle à une régulation globale, la mise en place d’un organe transnational de régulation est indispensable. A cet effet, l’Union européenne a opté pour une régulation horizontale se manifestant par le regroupement des organismes de régulation des États membres. Le but de ce regroupement est d´affirmer la position de l’Union dans la gouvernance mondiale de l’Internet ainsi que par rapport aux grands acteurs économiques multinationaux.

C’est dans ce contexte que se nouent des rapprochements entre les autorités nationales de protection des données. En ce sens, le groupe de travail Article 29 sur la protection des données (le « G29 ») institué par la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, est l’illustration la plus évocatrice. Cette entité est un organe consultatif européen indépendant sur la protection des données et de la vie privée. En vertu du règlement relatif à la protection des données personnelles du 27 avril 2016, le G29 sera remplacé par le Comité européen de protection des données.

Une composition inchangée

A l´instar du G29, le Comité européen de protection des données est composé de l’ensemble des présidents des autorités nationales ainsi que du contrôleur européen à la protection des données (EDPS), qui est vice-président de droit du Comité européen (art.68 du Règlement du 27 avril 2016).

Le Comité sera dirigé par un président et deux vice-présidents qui seront élus à la majorité simple pour un mandat de cinq ans renouvelable une fois. Le secrétariat du Comité est assuré par les services de l’EDPS.

Des missions élargies

Ce Comité est compétent pour assurer une application cohérente du règlement (art. 70). A cet effet, il surveille et garantit la bonne application du règlement.

Il aura l’obligation de conseiller la Commission européenne sur toute question relative à la protection des données personnelles dans l’Union. Ainsi, à l´instar du G29, il contribuera à l’élaboration des normes européennes par l´émission d´avis adressés à la Commission au nom des États membres sur des questions relatives à la protection des données et de la vie privée. En effet, le Comité exercera une influence importante dans la prise de décisions communautaires.

Il aura également pour mission de publier des lignes directrices sur la procédure de suppression des liens vers des données à caractère personnel. Il devra examiner, de sa propre initiative ou à la demande de la Commission, toute question portant sur l´application du règlement.

Le Comité devra encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification, de labels et de marques en matière de protection des données.

Le Comité conserve la mission de rendre à la Commission un avis en ce qui concerne l´évaluation du caractère adéquat du niveau de protection assuré par un pays tiers. En ce sens, le G29 a notamment rendu un avis sur le niveau de protection assuré par le nouveau projet de décision d’adéquation « E.U.-U.S. Privacy Shield » [1].

D’ailleurs, le Comité maintient sa mission de promouvoir la coopération entre les autorités nationales de contrôle. Il devra également promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle.

Le Comité aura l’obligation d´établir un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union.

Des pouvoirs renforcés

Même si, en principe, le Comité européen de protection des données ne dispose que d’un pouvoir de recommandation, son indépendance a été considérablement renforcée par le règlement du 27 avril 2016. Ainsi, le Comité pourra, dans certains cas, rendre des avis contraignants.

Tel est le cas dans l’hypothèse d’un traitement transnational. En effet, dans une telle hypothèse l’entreprise en cause devra consulter toutes les autorités nationales concernées. Même si au niveau européen l’entreprise ne connaîtra qu’un guichet unique correspondant à l’autorité de l’État membre où l’entreprise a son siège ou l´établissement principal, l’autorité de l’État en question devra travailler conjointement avec ses homologues européens afin d´arriver à une position conjointe.
A cet effet, l’autorité chef de file proposera une mesure. Les autorités européennes homologues devront exprimer leur accord ou non dans un délai de 4 semaines. Si elles ne sont pas d’accord sur un point de droit, la question remontera au Comité européen de protection des données qui sera compétent pour rendre un avis contraignant. Par conséquent, le Comité disposera du pouvoir d´arbitrer les différends entre les autorités nationales de contrôle, cette procédure ayant pour objet de renforcer considérablement la sécurité juridique.

Il faut noter enfin que le G29 sera effectivement remplacé par le Comité européen de protection des données dès la mise en œuvre effective du règlement en mai 2018.

Muriel Assuline, avocate Cabinet Assuline & Partners Avocats