Le 27 juin 2025, le Conseil de l'Union européenne a adopté un projet de règlement établissant des règles de procédure supplémentaires pour la mise en œuvre de la directive sur la protection des données. RGPD dans les affaires transfrontalières. L'objectif est de faciliter les procédures transfrontalières de protection des données conformément aux articles 60 et suivants de la directive sur la protection des données. RGPD d'harmoniser et de rendre plus efficace la coopération entre les autorités de contrôle. La proposition répond à des déficits structurels connus dans la coopération entre les autorités de surveillance et doit permettre un traitement plus transparent, plus rapide et plus uniforme de ces cas. Nous présentons ci-dessous un aperçu des principaux points.
Contexte et objectif
Le site RGPD a été introduite dans le but de créer un droit uniforme de la protection des données dans l'UE. Pour ce faire, elle mise sur un modèle d'application décentralisé : les autorités nationales de protection des données des États membres restent responsables de la surveillance et de l'application. Dans les situations transfrontalières, par exemple lorsqu'une entreprise établie dans un pays de l'UE données à caractère personnel de personnes dans plusieurs autres pays, plusieurs autorités de protection des données doivent coopérer. Une autorité dite "chef de file" est chargée de coordonner la procédure, avec l'aide du Comité européen de la protection des données (CEPD).
Dans la pratique, ce modèle a toutefois posé des problèmes. Des règles de procédure différentes, des interprétations incohérentes et de longs délais de traitement ont affaibli la protection des personnes concernées et entraîné une certaine frustration chez les plaignants et les entreprises. Les procédures complexes, telles qu'elles se présentent dans les grandes entreprises internationales du secteur de la technologie, ont été lentes à aboutir.
Le nouveau règlement procédural du RGPD vise à remédier à cette situation. Il vise à simplifier la coopération entre les délégués à la protection des données (DPD), à harmoniser les règles de procédure et à offrir une plus grande sécurité juridique aux personnes concernées et aux responsables. Pour ce faire, des délais clairs, des procédures standardisées et des droits transparents seront introduits pour tous les participants à la procédure. Parallèlement, des procédures structurées de règlement des litiges auprès de l'EDSA doivent permettre une prise de décision plus rapide et plus cohérente. Le règlement répond ainsi aux critiques formulées depuis de nombreuses années par les praticiens et les scientifiques et donne des impulsions importantes pour une application plus efficace du droit européen de la protection des données.
Systématique du règlement procédural du RGPD
Le règlement RGPD est divisé en sept chapitres et comprend plus de 30 dispositions individuelles. La systématique du règlement comprend essentiellement quatre éléments clés :
Procédure de recours
L'accent est mis sur des exigences uniformes pour les plaintes, comme l'utilisation d'un formulaire standardisé. Ce formulaire doit être utilisé dans toute l'UE et contribuer à éviter les retards de procédure dus à des erreurs formelles. En outre, la condition qui existait jusqu'à présent dans de nombreux États membres, à savoir que les plaignants doivent s'adresser à la Commission, sera supprimée. concernés personnes, dans un premier temps, directement au concernés avant d'accepter une demande de subvention. Plainte peuvent déposer des plaintes. La procédure "Early Resolution" permet de résoudre les plaintes de manière précoce et informelle. Par exemple, lorsque le Responsable met fin au traitement illicite des données ou efface les données.
Mécanisme de coopération
Le règlement fait une distinction entre les cas transfrontaliers complexes et les cas simples. Pour les cas simples, il prévoit une procédure accélérée. L'instrument central est l'introduction d'un résumé des questions clés ("Summary of Key Issues"), que l'autorité compétente en la matière doit présenter à la Commission. Autorité de surveillance doit obligatoirement partager avec les autres autorités de protection des données concernées. En outre, le règlement fixe des délais contraignants : Dans un délai de six semaines, il doit être clarifié si une Plainte est recevable. Le projet de décision doit être présenté au plus tard 15 mois après sa réception.
Droits des parties
Tant le plaignant que concernés Les entreprises bénéficient de droits procéduraux clairement réglementés. Il s'agit notamment du droit d'être entendu, c'est-à-dire de la possibilité de prendre position sur toutes les étapes essentielles de la procédure. Un droit d'accès au dossier est également accordé, tout en protégeant les informations sensibles et les secrets d'entreprise.
Règlement des litiges devant l'EDSA
Si, malgré la concertation structurée, aucun accord n'est trouvé entre les autorités de protection des données concernées, le cas peut être soumis à l'EDSA pour le règlement du litige. Le règlement concrétise ce qu'il faut entendre par "objection pertinente et motivée". Parallèlement, les plaignants obtiennent le droit de participer à la procédure de règlement des litiges. En outre, une procédure d'urgence a été introduite, qui permet d'obtenir une décision contraignante de l'EDSA dans un bref délai, si l'absence d'une telle décision entraîne de graves inconvénients pour les parties concernées. concernés personnes menacent.
Évaluation de la politique juridique du règlement procédural du RGPD
Le règlement procédural du RGPD n'est pas seulement un ensemble de règles techniques visant à accélérer les procédures de protection des données, il a également une portée considérable en termes de politique juridique. Il touche à des questions fondamentales centrales concernant l'équilibre entre l'efficacité de l'application de la loi, la protection juridique pour les personnes concernées et la protection des données. concernés personnes et de la sécurité de planification pour les entreprises qui traitent des données.
Renforcement des droits des personnes concernées
Grâce à des droits de participation plus clairs, des procédures de décision transparentes et des délais définis, la position des personnes concernées est nettement renforcée. En particulier, la possibilité de s'exprimer avant le refus d'une Plainte et l'accès structuré aux documents de procédure créent un niveau plus élevé d'équité procédurale. De même, le droit de recours juridictionnel en cas d'inaction des autorités de contrôle en vertu de l'article 78 RGPD devient plus tangible grâce aux nouveaux délais et peut être utilisé plus efficacement.
Sécurité des procédures pour les entreprises
Pour les entreprises qui traitent des données dans plusieurs États membres de l'UE, le règlement crée un environnement réglementaire plus prévisible. L'introduction d'une procédure de recours unique, d'étapes procédurales cohérentes et de délais contraignants permet de réduire les procédures longues et peu claires. Les droits d'accès au dossier et de réponse donnent également aux entreprises un moyen de défense efficace. En outre, la possibilité de traiter des informations sensibles de manière confidentielle permet également de tenir compte des intérêts économiques.
Décharge à l'EDSA
La nouvelle structure procédurale favorise une clarification précoce entre les autorités de protection des données concernées et réduit ainsi la nécessité d'une procédure formelle de règlement des litiges. Le Comité européen de la protection des données (CEPD) pourra ainsi à l'avenir se concentrer davantage sur les questions fondamentales et complexes. L'efficacité et la cohérence de la mise en œuvre de la protection des données au niveau européen devraient s'en trouver globalement améliorées.
Défis et questions en suspens
En ce qui concerne la mise en œuvre pratique, il existe un certain nombre de points en suspens et de défis, à la fois techniques et juridiques.
L'un des thèmes centraux est la mise en œuvre technique de la nouvelle structure de coopération. Le règlement prévoit la mise en place d'une plateforme électronique paneuropéenne qui permettra aux autorités de surveillance d'échanger efficacement des informations et de documenter l'état des procédures. Ce système numérique doit toutefois encore être conçu, développé et financé. L'interopérabilité avec les systèmes nationaux existants ainsi que les questions de sécurité et de protection des données doivent être prises en compte. Sécurité informatique et l'intégrité des données de manière critique.
Un autre domaine problématique est celui des différences entre les droits administratifs et procéduraux nationaux, qui subsistent. Certes, le règlement harmonise de nombreux aspects des procédures transfrontalières, mais pas l'ensemble du droit de la procédure administrative. Par exemple, les délais peuvent être calculés différemment ou les droits de participation accordés différemment, ce qui pourrait compromettre l'uniformité de l'exécution.
A cela s'ajoute la longue période de transition : le règlement ne sera applicable que 15 mois après sa publication. Cela signifie que les procédures en cours doivent être clôturées selon l'ancienne législation et que les nouvelles normes ne produisent aucun effet dans un premier temps. Cela pourrait entraîner une incertitude ou des pratiques incohérentes pendant une période de transition.
Ces défis sont particulièrement pertinents pour les grands groupes transfrontaliers dont le siège social se trouve dans certains États membres comme l'Irlande ou le Luxembourg. Ces pays agissent souvent en tant qu'autorités de surveillance chefs de file dans des affaires éminentes contre de grandes entreprises technologiques. Le nouveau règlement vise explicitement à empêcher ce que l'on appelle le "forum shopping". En d'autres termes, le choix stratégique d'un État membre dont la politique est perçue comme particulièrement favorable aux entreprises. Autorité de surveillance. La réalisation effective de cet objectif dépend en grande partie de l'application cohérente et uniforme du règlement par tous les États membres.
Conseil de lecture : Normes uniformes pour les procédures d'amendes en matière de protection des données - les nouvelles directives modèles de la DSK (MRiDaVG)
Conclusion
Le nouveau règlement de procédure constitue un progrès important pour la mise en œuvre pratique du droit européen de la protection des données. Il remédie aux principales faiblesses des pratiques d'application transfrontalières actuelles en créant des procédures uniformes, des délais clairs et des droits de participation transparents. Les bénéficiaires ne sont pas seulement concernés personnes, dont les droits peuvent désormais être mieux appliqués, mais aussi les entreprises, qui peuvent compter sur une procédure administrative prévisible et réglementée.
En outre, le rôle des autorités de contrôle est renforcé et la charge de travail du Comité européen de la protection des données est allégée, car une coordination précoce et un règlement structuré des litiges sont désormais obligatoires. Le règlement est donc un élément essentiel sur la voie d'une application plus efficace et plus cohérente de la protection des données dans l'Union européenne. Toutefois, son succès dépendra de la rigueur avec laquelle il sera appliqué dans la pratique et de la capacité à mettre en œuvre les mesures techniques et organisationnelles prévues dans les délais impartis. Ce n'est qu'ainsi que l'objectif d'un cadre uniforme de protection des données, proche des citoyens et économiquement viable, pourra être réalisé de manière durable.
La proposition a été envoyée le 30 juin 2025 au Parlement européen, qui va maintenant l'examiner.
Source : Règlement de procédure relatif au RGPD (projet publié le 30.06.2025)
German 
English 
Italian 
French