Article 98 Réexamen d'autres actes juridiques de l'Union relatifs à la protection des données

Portée du réexamen

L'article 98 vise l'ensemble des actes juridiques de l'Union relatifs à la protection des données personnelles, qu'il s'agisse de règlements, de directives, ou de décisions. Ces actes peuvent établir des règles générales applicables à tous les secteurs d'activité, comme le règlement (UE) 2018/1725 relatif à la protection des données par les institutions européennes, ou des règles sectorielles spécifiques à certains domaines.

Le réexamen vise à identifier les éventuelles contradictions, incohérences ou lacunes entre le RGPD et ces autres actes juridiques. Il peut également révéler des domaines dans lesquels des règles complémentaires sont nécessaires pour assurer une protection cohérente et uniforme des données personnelles dans toute l'Union européenne.

L'article 98 mentionne spécifiquement deux catégories d'actes juridiques prioritaires : les règles relatives à la protection des données par les institutions, organes et organismes de l'Union ; et les règles relatives à la libre circulation des données. Ces deux domaines sont particulièrement importants pour garantir la cohérence du système européen de protection des données.

Protection des données par les institutions européennes

L'article 98 identifie comme prioritaire le réexamen des règles relatives à la protection des données par les institutions, organes et organismes de l'Union. Au moment de l'adoption du RGPD, ces entités étaient soumises au règlement (CE) n° 45/2001, qui établissait des règles spécifiques pour le traitement des données personnelles par les institutions européennes.

Pour garantir la cohérence avec le RGPD, ce règlement a été remplacé par le règlement (UE) 2018/1725 du 23 octobre 2018, qui adapte les principes et les exigences du RGPD au contexte spécifique des institutions européennes. Ce nouveau règlement garantit que les institutions européennes appliquent des standards de protection au moins équivalents à ceux imposés aux responsables de traitement du secteur privé et des administrations nationales.

Le règlement (UE) 2018/1725 reprend largement les dispositions du RGPD, tout en les adaptant aux spécificités des institutions européennes. Il confère au Contrôleur européen de la protection des données (CEPD) des pouvoirs de contrôle et de sanction similaires à ceux des autorités de contrôle nationales, garantissant ainsi l'effectivité de la protection des données au niveau de l'Union.

Libre circulation des données

L'article 98 mentionne également comme prioritaire le réexamen des règles relatives à la libre circulation des données. Ce domaine est au cœur du marché unique numérique européen et nécessite une articulation fine entre les exigences de protection des données et les objectifs de libre circulation de l'information.

La Commission européenne a adopté en 2018 le règlement (UE) 2018/1807 concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l'Union européenne. Ce règlement complète le RGPD en établissant des règles pour faciliter la circulation des données non personnelles, tout en garantissant la protection des données personnelles lorsqu'un ensemble de données comprend à la fois des données personnelles et non personnelles.

L'articulation entre ces deux règlements illustre la volonté de l'Union européenne de concilier deux objectifs apparemment contradictoires : la protection rigoureuse des données personnelles et la promotion de l'économie numérique fondée sur la circulation et l'utilisation des données. Cette conciliation nécessite des ajustements réguliers pour maintenir l'équilibre approprié.

Autres actes juridiques concernés

Au-delà des deux domaines explicitement mentionnés à l'article 98, de nombreux autres actes juridiques de l'Union contiennent des dispositions relatives à la protection des données personnelles et peuvent nécessiter un réexamen pour garantir leur cohérence avec le RGPD.

Sont notamment concernés : la directive 2002/58/CE relative à la vie privée et aux communications électroniques (directive ePrivacy), dont le remplacement par un règlement est en cours de négociation ; le règlement (UE) 2016/794 relatif à l'Agence de l'Union européenne pour la coopération des services répressifs (Europol) ; la directive (UE) 2016/680 relative à la protection des données dans le domaine policier et judiciaire ; et de nombreux règlements sectoriels dans des domaines tels que la santé, les transports, ou les services financiers.

La Commission examine régulièrement ces actes juridiques pour identifier les besoins d'adaptation et propose, le cas échéant, des modifications législatives. Cette démarche garantit la cohérence et l'actualité de l'ensemble du cadre juridique européen de la protection des données.

Modalités du réexamen

L'article 98 ne précise pas de calendrier spécifique pour le réexamen des autres actes juridiques, laissant à la Commission la liberté d'organiser ce réexamen selon les besoins et les priorités. Cette flexibilité permet à la Commission d'adapter son action aux évolutions du contexte technologique, économique et social.

Le réexamen peut s'appuyer sur les mêmes sources d'information que les rapports prévus à l'article 97 : consultations des États membres et des autorités de contrôle, contributions du Comité européen de la protection des données, études académiques, consultations publiques. Cette approche garantit que les propositions de modification reposent sur une analyse approfondie et tiennent compte des perspectives de toutes les parties prenantes.

Au besoin, la Commission présente des propositions législatives pour modifier les actes juridiques concernés. Ces propositions suivent la procédure législative ordinaire, impliquant le Parlement européen et le Conseil en tant que colégislateurs. Cette procédure garantit le contrôle démocratique des modifications apportées au cadre juridique de la protection des données.

Articulation avec les autres dispositions du RGPD

L'article 98 complète l'article 97, qui prévoit l'évaluation et le réexamen périodique du RGPD lui-même. Ensemble, ces deux articles établissent un mécanisme complet d'évaluation et de révision de l'ensemble du cadre juridique européen de la protection des données, garantissant sa cohérence et son adaptation continue aux évolutions.

Il s'articule également avec l'article 95, qui précise la relation entre le RGPD et la directive ePrivacy. L'article 95 établit que le RGPD n'impose pas d'obligations supplémentaires pour les questions relevant du champ de la directive ePrivacy, tandis que l'article 98 prévoit le réexamen de cette directive pour garantir sa cohérence avec le RGPD.

Réalisations depuis l'adoption du RGPD

Depuis l'adoption du RGPD en 2016, plusieurs actes juridiques ont été adoptés ou révisés en application de l'article 98 pour garantir leur cohérence avec le nouveau cadre de protection des données. Le règlement (UE) 2018/1725 sur la protection des données par les institutions européennes constitue la réalisation la plus importante, alignant les règles applicables aux institutions sur celles du RGPD.

D'autres initiatives sont en cours, notamment le projet de règlement ePrivacy visant à remplacer la directive 2002/58/CE. Ce règlement, en négociation depuis 2017, vise à moderniser les règles de confidentialité des communications électroniques et à les aligner sur les principes du RGPD. Son adoption, bien que retardée par la complexité des enjeux, constituera une étape importante de l'harmonisation du cadre juridique européen.

La Commission a également proposé ou adopté plusieurs actes juridiques complémentaires au RGPD dans des domaines spécifiques : le règlement sur la libre circulation des données non personnelles, le règlement sur la gouvernance des données, et le projet de règlement sur les marchés de données. Ces initiatives visent à créer un écosystème européen des données cohérent, conciliant protection des données et innovation.

Recommandations de la CNIL et du CEPD

La CNIL et les autres autorités de contrôle nationales contribuent activement au réexamen des actes juridiques prévu à l'article 98 en identifiant les difficultés d'articulation entre différents instruments et en proposant des solutions. Elles insistent sur la nécessité de garantir l'application cohérente des principes de protection des données dans tous les secteurs d'activité.

Le Comité européen de la protection des données (CEPD) joue un rôle central dans ce processus, en adoptant des lignes directrices sur l'articulation entre le RGPD et d'autres actes juridiques et en conseillant la Commission sur les modifications nécessaires. Il veille à ce que les évolutions législatives préservent et renforcent le niveau de protection des données garanti par le RGPD.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent suivre les évolutions législatives résultant du réexamen prévu à l'article 98, car elles peuvent affecter leurs obligations en matière de protection des données. Les modifications apportées aux actes juridiques sectoriels peuvent créer de nouvelles exigences ou modifier les exigences existantes dans certains domaines d'activité.

Les organisations opérant dans des secteurs spécifiques doivent être particulièrement attentives aux révisions des actes juridiques sectoriels applicables à leur domaine. Par exemple, les fournisseurs de services de communications électroniques doivent suivre l'évolution du règlement ePrivacy, tandis que les acteurs de la santé doivent surveiller les modifications de la réglementation sur les dispositifs médicaux et les données de santé.

Les responsables de traitement peuvent contribuer au processus de réexamen en participant aux consultations publiques organisées par la Commission sur les projets de modification des actes juridiques. Cette participation leur permet de faire valoir leur expérience pratique et d'identifier les difficultés concrètes d'application qui mériteraient d'être corrigées.