L'article 97 du Règlement général sur la protection des données (RGPD) impose à la Commission européenne d'élaborer des rapports périodiques sur l'évaluation et le réexamen du règlement. Cette disposition établit un mécanisme de suivi et d'amélioration continue du cadre juridique de la protection des données, permettant d'adapter le RGPD aux évolutions technologiques, économiques et sociales.
Les rapports prévus par l'article 97 constituent un outil essentiel de gouvernance du RGPD, permettant d'identifier les difficultés d'application, d'évaluer l'effectivité des dispositions, et de proposer d'éventuelles modifications législatives. Ils contribuent à garantir que le règlement reste adapté aux défis de la protection des données dans un environnement en constante évolution.
L'article 97 s'inscrit dans le cadre du chapitre XI relatif aux dispositions finales, et complète les autres mécanismes de révision et d'adaptation du RGPD prévus par le règlement.
Texte officiel de l'article 97 du RGPD
L'article 97 du RGPD dispose notamment que :
« 1. Au plus tard le 25 mai 2020 et tous les quatre ans par la suite, la Commission présente un rapport sur l'évaluation et le réexamen du présent règlement au Parlement européen et au Conseil. Les rapports sont rendus publics.
2. Dans le cadre des évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l'application et le fonctionnement :
a) du chapitre V relatif au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en accordant une attention particulière aux décisions adoptées en application de l'article 45, paragraphe 3, du présent règlement et aux décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE ;
b) du chapitre VII relatif à la coopération et à la cohérence.
3. Aux fins du paragraphe 1, la Commission peut demander des informations aux États membres et aux autorités de contrôle.
4. Lorsqu'elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil ainsi que d'autres organismes ou sources pertinents.
5. Au besoin, la Commission présente les propositions appropriées en vue de modifier le présent règlement, en tenant compte notamment de l'évolution des technologies de l'information et de la lumière de l'état d'avancement de la société de l'information. »
Ce texte établit un calendrier précis pour les rapports d'évaluation, identifie les thèmes prioritaires à examiner, et prévoit la possibilité de propositions législatives de modification du règlement.
Calendrier et contenu des rapports
Le paragraphe 1 de l'article 97 impose à la Commission de présenter un premier rapport au plus tard le 25 mai 2020, soit deux ans après l'entrée en application du RGPD, puis tous les quatre ans par la suite. Ce calendrier régulier garantit un suivi continu de l'application du règlement et permet d'identifier rapidement les éventuels dysfonctionnements ou besoins d'adaptation.
La Commission a effectivement publié son premier rapport en juin 2020, conformément à cette obligation. Ce rapport a dressé un bilan globalement positif de la mise en œuvre du RGPD, tout en identifiant certains défis et domaines d'amélioration. Il a souligné notamment l'harmonisation accrue de la protection des données dans l'Union européenne, le renforcement des droits des personnes concernées, et l'émergence d'une culture de la conformité dans les organisations.
Les rapports doivent être présentés au Parlement européen et au Conseil, garantissant ainsi le contrôle démocratique de l'application du RGPD. Ils sont également rendus publics, permettant à toutes les parties prenantes - organisations, personnes concernées, autorités de contrôle, société civile - d'en prendre connaissance et de contribuer au débat sur l'évolution du cadre juridique.
Thèmes prioritaires d'évaluation
Le paragraphe 2 de l'article 97 identifie deux thèmes que la Commission doit examiner en particulier dans ses rapports : le chapitre V relatif aux transferts internationaux de données, et le chapitre VII relatif à la coopération et à la cohérence entre autorités de contrôle.
Le chapitre V sur les transferts internationaux est identifié comme prioritaire en raison de son importance stratégique et de sa complexité. Les transferts de données vers des pays tiers soulèvent des enjeux majeurs de souveraineté, de sécurité nationale, et de protection de la vie privée. L'article 97 prévoit que la Commission accorde une attention particulière aux décisions d'adéquation adoptées en application de l'article 45, mécanisme central pour autoriser les flux de données vers des pays tiers offrant un niveau de protection adéquat.
Le chapitre VII sur la coopération et la cohérence est également prioritaire car il constitue une innovation majeure du RGPD par rapport à la directive 95/46/CE. Le mécanisme de guichet unique et les procédures de coopération entre autorités de contrôle visent à garantir l'application uniforme du règlement dans toute l'Union. L'évaluation de ce mécanisme permet de vérifier s'il fonctionne effectivement et d'identifier les éventuels ajustements nécessaires.
Sources d'information et consultation
Le paragraphe 3 de l'article 97 confère à la Commission le pouvoir de demander des informations aux États membres et aux autorités de contrôle pour élaborer ses rapports. Cette disposition garantit que les rapports reposent sur des données factuelles complètes et fiables, reflétant l'expérience concrète de l'application du RGPD.
Les États membres et les autorités de contrôle constituent des sources d'information privilégiées, car ils sont directement impliqués dans la mise en œuvre du RGPD. Ils peuvent fournir des données statistiques sur le nombre de plaintes reçues, de violations notifiées, de sanctions prononcées, ainsi que des analyses qualitatives sur les difficultés rencontrées et les bonnes pratiques identifiées.
Le paragraphe 4 impose à la Commission de tenir compte des positions et conclusions du Parlement européen, du Conseil, et d'autres organismes ou sources pertinents. Ces autres sources peuvent inclure le Comité européen de la protection des données (CEPD), les organisations représentant les responsables de traitement et les sous-traitants, les associations de défense des droits des consommateurs et de la vie privée, les chercheurs universitaires, et la société civile plus largement.
Possibilité de propositions de modification
Le paragraphe 5 de l'article 97 prévoit que la Commission peut, au besoin, présenter des propositions appropriées en vue de modifier le RGPD. Cette disposition reconnaît que le règlement, aussi bien conçu soit-il, peut nécessiter des ajustements pour s'adapter aux évolutions technologiques et sociétales.
Les propositions de modification doivent tenir compte notamment de l'évolution des technologies de l'information et de l'état d'avancement de la société de l'information. Ces facteurs sont particulièrement pertinents en matière de protection des données, domaine dans lequel les évolutions technologiques sont rapides et peuvent créer de nouveaux défis pour la vie privée.
Depuis l'adoption du RGPD en 2016, de nombreuses évolutions technologiques sont survenues : développement de l'intelligence artificielle et du machine learning, généralisation des objets connectés, émergence de la blockchain et des technologies de registres distribués, expansion du cloud computing et de l'informatique en périphérie (edge computing). Ces évolutions peuvent justifier des adaptations du cadre juridique pour garantir qu'il reste effectif.
Articulation avec les autres dispositions du RGPD
L'article 97 s'articule avec l'article 98, qui prévoit le réexamen d'autres actes juridiques de l'Union relatifs à la protection des données. Ensemble, ces deux articles établissent un mécanisme complet d'évaluation et de révision du cadre juridique européen de la protection des données.
Il se combine également avec les articles 92 et 93, qui organisent l'adoption d'actes délégués et d'actes d'exécution. Ces instruments permettent d'adapter certains aspects du RGPD sans nécessiter une révision complète du règlement, offrant ainsi une flexibilité complémentaire au mécanisme de révision prévu à l'article 97.
Premier rapport de la Commission (2020)
Le premier rapport de la Commission, publié en juin 2020, a dressé un bilan globalement positif de l'application du RGPD pendant ses deux premières années. Il a souligné que le règlement avait atteint ses principaux objectifs : harmonisation des règles dans l'Union européenne, renforcement des droits des personnes concernées, et émergence d'une culture de la conformité.
Le rapport a également identifié certains défis et domaines nécessitant une attention particulière : disparités dans l'application du règlement entre États membres, ressources insuffisantes de certaines autorités de contrôle, complexité du mécanisme de guichet unique pour les affaires transfrontalières, et difficultés spécifiques liées aux transferts internationaux de données après l'arrêt Schrems II.
Sur la base de ce rapport, la Commission n'a pas proposé de modification législative du RGPD, considérant qu'il était trop tôt pour évaluer la nécessité d'adaptations. Elle a toutefois annoncé plusieurs initiatives complémentaires, notamment une stratégie pour les données visant à maximiser le potentiel des données tout en respectant les droits fondamentaux, et des travaux sur la réglementation de l'intelligence artificielle.
Recommandations de la CNIL et du CEPD
La CNIL contribue activement aux rapports de la Commission en fournissant des données sur son activité et des analyses sur les difficultés rencontrées dans l'application du RGPD. Elle plaide pour un renforcement des moyens des autorités de contrôle et une simplification de certaines procédures administratives pour les responsables de traitement, notamment les PME.
Le Comité européen de la protection des données (CEPD) joue un rôle central dans l'élaboration des rapports de la Commission. Il fournit son expertise technique et ses recommandations sur l'évolution du cadre juridique. Dans ses contributions, le CEPD insiste régulièrement sur la nécessité de garantir l'application uniforme du RGPD dans tous les États membres et de renforcer les mécanismes de coopération entre autorités de contrôle.
Implications pratiques pour les responsables de traitement
Les responsables de traitement doivent suivre la publication des rapports de la Commission et les éventuelles propositions de modification du RGPD qui pourraient en résulter. Ces rapports fournissent également des indications précieuses sur l'interprétation et l'application du règlement par les autorités de contrôle et les juridictions.
Les organisations peuvent contribuer indirectement aux rapports de la Commission en participant aux consultations publiques qu'elle organise et en faisant part de leur expérience pratique de l'application du RGPD. Cette contribution peut aider à identifier les difficultés concrètes rencontrées par les acteurs économiques et à orienter les éventuelles modifications du cadre juridique.
Les responsables de traitement doivent également anticiper les évolutions possibles du RGPD et adapter leurs stratégies de conformité en conséquence. La lecture des rapports de la Commission permet d'identifier les tendances et les priorités des autorités européennes en matière de protection des données.
L'article 97 du RGPD établit un mécanisme d'évaluation et de révision périodique du règlement, garantissant son adaptation continue aux évolutions technologiques et sociétales. Cette disposition témoigne de la volonté du législateur européen de créer un cadre juridique vivant et évolutif, capable de répondre aux défis futurs de la protection des données personnelles. Les rapports de la Commission constituent un outil essentiel de gouvernance démocratique et de perfectionnement du système européen de protection des données.