Qui protège les protecteurs de données?
25/11/16
Nous avons récemment participé à la conférence semestrielle de la FBE au Luxembourg, dont le sujet étaient les droits de défense devant des tribunaux de l’Union européenne. Tandis que Me Waelbroeck y critiquait les règles limitant la longueur des mémoires et Stefan y discourait sur le Droit pénal de l’UE, il n’y avait pas tellement de prospective, par exemple sur le sujet juridique le plus brulant en ce moment : la protection des données.
Parlement et Conseil ont adopté le Règlement général de protection des données (« RGPD ») au printemps dernier. Tout le monde semble être concentré sur les nouvelles exigences de fond et sur les lourdes amendes prévues pour ceux qui ne les respecteraient pas. Or, les Etats membres sont toujours occupés à concocter les règles de procédure… et en Espagne nous nous souvenons bien de la phrase notoire du Comte de Romanones après les élections de 1932 : « qu’ils fassent les lois, car je ferai les règlements de procédure. » A ce jour, d’ailleurs, le règlement de l’Assemblée espagnole semble fait pour empêcher les députés d’y parler.
Les articles 68 et suivants du RGPD créent une nouvelle autorité, le Comitè européen de protection des données, composée par la chef d’une des autorités de surveillance nationales ainsi que du Superviseur européen de protection des données. Le Comitè adoptera des décisions qui obligeront les autorités nationales qui n’arrivent pas à un accord sur comment appliquer le RGPD à un cas transfrontalier concret. Ces autorités adopteront alors des décisions concordantes, après en avoir soumis un projet au Comité.
Du point de vue des droits de la défense, la question est de savoir si oui ou non le Comité doit entendre les parties de la procédure en cours devant l’une des autorités nationales en cause, c’est-à-dire, s’il suffit que ces parties puissent plaider devant d’une autorité nationale. Les travaux préparatoires des États membres semblent indiquer qu’ils pensent que oui, que cela suffit.
Nous pensons que limiter la possibilité des parties intéressées (c.-à-d., des individus et des entreprises soumises au RGPD) de plaider devant du Comité poserait quand même problème. En effet, l’exemple le plus criant de l’approche contraire semblerait être le renvoi préjudiciel à la Cour de justice de l’UE. Si cet instrument a pu devenir le principal moteur de l’intégration européenne ce n’est certainement pas en dernier lieu parce que la Cour, bien qu’elle ne tranche pas l’affaire principale qui est devant le juge national, entendait et entend toujours les parties de ladite affaire nationale. Ce qui donne à la Cour une image complète des vraies questions qui s’y posent.
De même, le Comité est appelé à devenir un moteur clé pour harmoniser la pratique administrative en application du RGPD. Par conséquent, on dirait qu’il ne manque pas de raisons pour fournir au Comité les plus amples renseignements possibles sur l’enjeu d’une dispute transfrontalière quelconque.
Espérons que les Etats membres se rallieront à la fin à notre point de vue.
