Le Règlement 2016/679 sur la protection des données personnelles (RGPD) abroge la Directive 95/46/CE datant de 1995.
A la différence d’une Directive, le Règlement s’impose uniformément dans tous les Etats membres de l’Union européenne sans que ces Etats n’aient besoin d’adopter une loi pour transposer les nouvelles règles dans le droit étatique. Le Règlement est un facteur d’unité en matière d’encadrement juridique du traitement des données personnelles dans l’Union européenne.
Le Règlement, facteur d’unité
La disparité des lois de transposition entrainait une perte de confiance des personnes physiques lorsque leurs données circulaient au sein de l’Union, la protection de ces données n’étant pas équivalente entre les différents Etats membres et représentait aussi un frein conséquent pour une concurrence saine au sein de l’Union, les entreprises pouvant être tentées de favoriser une implantation dans les Etats où la loi de transposition était la moins stricte. Cette disparité était encore un facteur de coût et d’insécurité juridique pour les entreprises. En effet, selon le pays dans lequel une entreprise collecte ou souhaite transférer des données, le niveau de protection des données et la réglementation s’appliquant à leur traitement n’étaient pas équivalents. Les autorités de contrôle ne pouvaient, par ailleurs, sanctionner et surveiller de façon cohérente.
L’harmonisation permet de mettre un terme à ces difficultés.
Si le RGPD concède à certains endroits une certaine liberté aux Etats membres de l’UE, son considérant 8 précise que ces marges de manœuvre se limitent à « la mesure nécessaire pour garantir la cohérence et pour rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s’appliquent ». Il n’est donc pas question, a priori, de créer des différences de fond, mais de respecter l’ordre juridique interne des Etats-membres là où une uniformité ne serait pas respectueuse des disparités nationales.
Respect de la diversité de l’organisation administrative des Etats membres
Parmi les articles au sein desquels il est précisé que chaque Etat membre bénéficie de souplesse dans leur application, plusieurs concernent des questions d’organisations internes.
Ainsi, si le Règlement impose la création d’une autorité de contrôle en matière de données personnelles, une grande liberté est laissée aux Etats quant aux critères de sélection des membres de ces autorités, au mode de nomination, à la durée de leur mandat, etc.
Le respect de la structure organisationnelle des Etats membres se retrouve encore dans la possibilité qui leur est laissée de préciser eux-mêmes les opérations et procédures de traitement des données à caractère personnel par les juridictions et autres autorités judiciaires, avec la volonté explicite de respecter ainsi la séparation des pouvoirs (considérant 20).
Enfin, le respect de la séparation des pouvoirs au sein des Etats membres se retrouve encore dans la liberté totale laissée en matière de fixation de la sanction pénale. Si l’article 83 fixe le montant des amendes administratives, l’article 84 laisse les Etats membres déterminer le régime des autres sanctions applicables en cas de violation du Règlement. Ces sanctions devront néanmoins être « effectives, proportionnées et dissuasives ».
Liberté pour les Etats membres de renforcer les règles encadrant certaines données
Le respect des souverainetés nationales est visible dans la possibilité laissée aux Etats membres de renforcer certaines règles lorsque celles-ci concernent des données sensibles ou présentant un intérêt public. L’article 6§2 permet ainsi aux Etats membres de déterminer « plus précisément les exigences spécifiques applicables au traitement » nécessaire notamment à l’exécution d’une mission d’intérêt public.
L’article 9 quant à lui pose comme principe l’interdiction du traitement des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, l’appartenance syndicale, données génétiques, données concernant la santé ou la vie sexuelle ou l’orientation sexuelle) avant de présenter des exceptions à ce principe (consentement de la personne concernée, sauvegarde des intérêts vitaux,…). Le Règlement laisse néanmoins la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». La flexibilité n’autorise ici que l’ajout de conditions en vue de renforcer les règles, le Règlement fixant donc quoiqu’il en soit un minimum de protection dans le traitement des données sensibles relatives à la santé.
Liberté d’encadrement pour les Etats membres relative à certains secteurs
Enfin, certains secteurs spécifiques font l’objet de contraintes moins fortes imposées par le Règlement afin de respecter, là encore, l’organisation et la culture des Etats membres. Ces secteurs sont en particulier ceux de la presse et de l’audiovisuel. Il revient ainsi aux Etats membres de fixer les exemptions et dérogations nécessaires aux fins d’assurer un équilibre entre le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information. Le considérant 153 précise que pour ces secteurs, en cas de disparité au sein des Etats membres, c’est le droit de l’Etat membre dont relève le responsable du traitement qui devra s’appliquer.
Le secteur des ressources humaines offre lui aussi une possibilité accrue pour les Etats membres de prévoir des règles propres. La particularité ici est que les règles spécifiques pourront être créées par le droit des Etats membres, des conventions collectives ou par le droit découlant des accords d’entreprises. Les règles concernées sont toutes celles relatives au traitement des données personnelles dans la relation de travail (recrutement, exécution du contrat de travail, planification de l’organisation du travail, etc.). Ce dernier secteur fera donc sans doute l’objet d’une attention particulière dans les années à venir, des disparités concernant le traitement des données des salariés risquant d’apparaître régulièrement, au gré des modifications des conventions collectives ou des accords d’entreprises. Les syndicats auront un rôle important à jouer dans la défense des données de ces salariés.
***
Le Règlement a cherché à préserver, dans cette uniformisation des règles applicables au traitement des données personnelles, quelques libertés pour les Etats membres afin de respecter les organisations internes ou des secteurs spécifiques.
L’avenir nous montrera si les petites brèches dans l’uniformité n’ont pas créé trop de différences notables, la recherche saine et juste de l’équilibre entre uniformité et liberté en amont laissant courir un risque de déséquilibre, en aval, dans l’usage que les Etats membres feront de ces petits espaces de liberté.