Conformément à l’article 97 du RGPD, la Commission devra présenter au Parlement et au Conseil, un rapport d’évaluation du RGPD tous les 4 ans, depuis 2020. Dans ces conclusions, elle devra tenir compte des observations faites en amont par ces institutions. C’est dans ce cadre que le Conseil de l’UE a publié, le 17 novembre, son avis sur l’application du RGPD. Il tire les conclusions suivantes :
- Le RGPD est, de manière générale, une réussite. La mise en conformité des entités privées notamment, permet à la fois d’assurer un bon niveau de protection des citoyens et de mettre en place une bonne gouvernance des données en leur sein.
- Pour les petites structures comme les PME, la conformité reste néanmoins une charge importante, et le Conseil de l’UE préconise de leur assurer un meilleur accompagnement. Il pointe notamment le nombre pour l’instant limité des outils de conformité, tels que des certifications ou des codes de conduite, qu’il serait souhaitable de développer.
- Pour les entités publiques, il a parfois pu être difficile de déterminer la base du traitement. Le Conseil estime donc que les instruments juridiques de l’UE, lorsqu’ils créent une base de traitement pour les autorités publiques, doivent définir précisément les exigences qui y sont applicables.
- Sur la dimension internationale du RGPD, le Conseil estime que la coopération entre les autorités de contrôle au sein de l’UE est un succès. Il souligne également le rôle essentiel des décisions d’adéquation en tant qu’outil de protection des données personnelles transférées vers des pays tiers. La poursuite de la mise au point de ces outils de transferts doit rester une priorité.
- Le Conseil recommande au CEPD de publier des lignes directrices sur l’articulation entre le RGPD et les autres textes en droit du numérique. Il souligne l’importance de veiller à la cohérence entre ces différents textes.