✅️ Adopté
🇪🇺 Députés européens
483
96
108
🇫🇷 Députés français🗳 Voir le vote
70
7
1
Résolution concernant le rapport d’évaluation de la Commission sur la mise en œuvre du règlement général sur la protection des données deux ans après son entrée en application
📌 Votes principaux
📚 Sources
- ℹ️ Procédure 2020/2717(RSP)
- 📜 Textes et amendements
- 🗳 Votes
🗃️ Données
PPE
2.
conclut que
prend acte de l’évaluation de la Commission selon laquelle
, deux ans après son entrée en application, le RGPD est dans l’ensemble une réussite
, et partage
; souligne toutefois les problèmes et les lacunes identifiés par les parties prenantes et confirmés par la Commission; en conséquence, ne partage pas
l’avis de la Commission selon lequel il est inutile à ce stade de mettre à jour ou de réexaminer la législation
et demande une révision urgente et ciblée visant à corriger les problèmes et lacunes identifiés
;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
2 bis. souligne que, si le RGPD devient - dans certains domaines - un outil de compétitivité pour l’Union, il n’a pas facilité comme prévu initialement l’exercice de nouveaux droits individuels et contrecarre nos efforts dans la course mondiale aux technologies stratégiques d’avenir dotées d’une valeur ajoutée élevée pour la société en restreignant inutilement l’utilisation des données disponibles par les entreprises; demande donc au CEPD de clarifier le droit afin de permettre à ces nouvelles technologies de quand même prospérer;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
3. reconnaît que, jusqu’à la prochaine évaluation de la Commission, il convient de poursuivre le travail d’amélioration de la mise en œuvre du RGPD et les actions destinées à renforcer son application; dans l'intervalle, demande instamment à la Commission d'étudier les effets du RGPD sur les technologies innovantes et émergentes produites en Europe, y compris les éventuels obstacles qu'il a pu créer de manière non intentionnelle pour le développement de technologies telles que la chaîne de blocs, l'intelligence artificielle ou l'Internet des objets, de remédier à toutes les lacunes législatives et de présenter des plans en vue d'une révision plus complète de la loi;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
6. rappelle que depuis l’entrée en application du RGPD, on entend par «consentement» toute manifestation de volonté, libre, spécifique, éclairée et univoque de la personne concernée; souligne que cela vaut également pour la directive vie privée et communications électroniques; fait observer que la mise en place d’un consentement valide reste compromise par l’utilisation d’interfaces truquées, un suivi omniprésent et d’autres pratiques contraires à l’éthique; est préoccupé par le fait que les personnes subissent souvent une pression financière qui prend la forme d’une invitation à donner son consentement en contrepartie de ristournes ou d’autres offres commerciales, ou qu’elles sont contraintes par des clauses de prestation subordonnée à donner leur consentement si elles veulent avoir accès à un service, en violation de l’article 7 du RGPD;
souligne la nécessité de réexaminer le concept de «consentement éclairé» afin de trouver une solution viable pour les technologies émergentes telles que l’intelligence artificielle, avec ses éléments interconnectés et autonomes, en particulier pour les scénarios dans lesquels les données sont traitées à une ou plusieurs fins spécifiques, telles que les communications à haute fréquence entre plusieurs acteurs, par exemple les communications machine à machine (M2M) ou de véhicule avec tout (V2X), et pour lesquels l’obtention d’un consentement valide peut autrement s’avérer impossible;
rappelle les règles harmonisées du CEPD sur ce qui constitue un consentement valide, qui remplacent les diverses interprétations de nombreuses APD nationales et évitent la fragmentation au sein du marché unique numérique; rappelle également les lignes directrices du CEPD et de la Commission, qui établissent que lorsque la personne concernée a donné son consentement pour le traitement initial
mais qu’un traitement ultérieur est prévu pour une autre finalité que celles pour lesquelles les données à caractère personnel ont été collectées initialement, le consentement initial ne peut légitimer un traitement ultérieur, car le consentement, pour être valide, doit être éclairé et spécifique; prend note des lignes directrices à venir du CEPD concernant le traitement des données à caractère personnel à des fins de recherche scientifique, qui clarifieront la signification du considérant 50 du RGPD;
demande au CEPD de fournir des recommandations pour un processus d’autorisation simple et transparent afin de réduire le nombre d’interactions entre les prestataires de services et les utilisateurs finaux («fatigue des cookies») tout en trouvant un équilibre entre la protection des personnes concernées et le traitement sécurisé des données de communication fondé sur le traitement de données pseudonymisées;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
20. souligne l’importance du mécanisme du guichet unique pour assurer la sécurité juridique et réduire la charge administrative des entreprises et des citoyens;
exprime cependant sa grande préoccupation quant au fonctionnement du mécanisme, notamment en ce qui concerne le rôle de l’autorité irlandaise et luxembourgeoise chargée de la protection des données; fait observer que les autorités en question doivent traiter un grand nombre de cas, de nombreuses entreprises de technologie ayant enregistré leur siège social européen en Irlande ou au Luxembourg; s’inquiète particulièrement du fait que l’autorité irlandaise de protection des données clôture généralement la plupart des affaires par un règlement plutôt que par une sanction et que les affaires soumises à l’Irlande en 2018 n’ont même pas atteint le stade de projet de décision conformément à l’article 60, paragraphe 3, du RGPD; demande à ces
demande aux
autorités chargées de la protection des données d’accélérer leurs enquêtes en cours concernant des affaires importantes afin de montrer aux citoyens européens que la protection des données est un droit opposable dans l’Union; souligne que le succès du «mécanisme du guichet unique
»
»
dépend du temps et des efforts que les autorités chargées de la protection des données peuvent consacrer au traitement des affaires transfrontalières individuelles et à la coopération sur ces affaires au sein du CEPD, et que le manque de
volonté politique et de
ressources a des conséquences immédiates sur le bon fonctionnement de ce mécanisme;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
26. demande au CEPD d’harmoniser la mise en œuvre pratique des exigences en matière de protection des données grâce à l’élaboration de lignes directrices portant, entre autres, sur la nécessité d’évaluer les risques liés à l’information des personnes concernées quant au traitement des données (articles 12 à 14), à l’exercice des droits des personnes concernées (articles 15 à 18, 20 et 21) et à la mise en œuvre du principe de responsabilité; demande au CEPD de publier des lignes directrices classant les différents cas d’utilisation légitime du profilage en fonction des risques qu’ils présentent pour les droits et libertés des personnes concernées, ainsi que des recommandations concernant les mesures d’ordre technique et organisationnel appropriées et une définition claire des cas d’utilisation illicite; invite le CEPD à examiner l’avis 05/2014 du groupe de travail «article 29» sur la protection des données, du 10 avril 2014, concernant les Techniques d’anonymisation et à établir une liste de critères univoques pour parvenir à l’anonymisation; encourage le CEPD à clarifier le traitement des données à des fins de ressources humaines; prend acte de la conclusion du CEPD selon laquelle la nécessité d’évaluer les risques liés au traitement des données, comme le prévoit le RGPD, devrait être maintenue, étant donné que les risques pour les personnes concernées ne sont pas liés à la taille des responsables du traitement; appelle à une meilleure utilisation du mécanisme par lequel la Commission peut demander l’avis du CEPD sur les questions qui relèvent du RGPD; demande que le CEPD soit complété par un comité composé de parties prenantes issues de la recherche, de l’industrie, des organisations de consommateurs et d’autres acteurs de la société civile, ainsi que d’associations religieuses;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
26 bis. demande au CEPD d’évaluer de manière critique son propre rôle et l’incidence de ses lignes directrices sur l’industrie et l’économie des données dans leur ensemble en déterminant les domaines où son interprétation dépasse la lettre du RGPD et l’intention du législateur; encourage également le CEPD à endosser le rôle de prestataire de services pour permettre l’innovation dans l’ensemble de l’Europe;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
26 ter. note que le RGPD ne couvre pas les préoccupations sectorielles spécifiques, ce qui a conduit à une situation dans laquelle l’application concrète du RGPD dans certains secteurs demeure peu claire; demande au CEPD de présenter des recommandations sectorielles claires pour des domaines tels que la santé et les services financiers; souligne que l’utilisation de codes de conduite pourrait également contribuer à résoudre l’incertitude juridique;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
27. fait observer que la pandémie de COVID-19 a mis en évidence la nécessité d’orientations claires de la part des autorités chargées de la protection des données et du CEPD sur la mise en œuvre et l’application appropriées du RGPD dans les politiques de santé publique; rappelle, à cet égard, les lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19 et les lignes directrices 04/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de COVID-19;
demande à la Commission d’assurer le plein respect du RGPD lors de la création de l'espace européen commun des données de santé
souligne que les entreprises à but lucratif mènent également d’importantes recherches scientifiques; appelle par conséquent à une interprétation large de la disposition relative aux «fins de recherche scientifique» ainsi qu’à une approche cohérente concernant l’utilisation des données à caractère personnel sensibles
;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
27 bis. souligne l’importance, dans le contexte de la pandémie de COVID-19, d’une utilisation secondaire des données dans le secteur de la santé et demande donc un élargissement de l’interprétation du consentement qui permettrait d’autres finalités que celles initialement prévues; souligne en outre que l’harmonisation renforcée dans le domaine du traitement des données à caractère personnel est essentielle aux fins de la recherche; demande à la Commission de proposer un ensemble de règles concernant les données de santé afin de trouver un équilibre entre la protection des données à caractère personnel et la mise en place d’espaces de données européens pour entraîner l’intelligence artificielle européenne, mener des recherches dans le domaine de la santé et améliorer les services de santé pour ses citoyens;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
34. demande aux autorités chargées de la protection des données et à la Commission de déterminer de manière systématique si les règles de protection des données sont respectées dans la pratique par les pays tiers, conformément à la jurisprudence de la Cour de justice de l’Union européenne; souligne que certaines entreprises exploitent le plus faible niveau de protection des données dans certains pays tiers pour entraîner leur intelligence artificielle ou tester leurs nouveaux modèles commerciaux basés sur les données sans aucune restriction afin de progresser techniquement et, finalement, de conquérir des parts de marché en Europe;
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
35. demande instamment à la Commission de publier dans les meilleurs délais son examen des décisions d’adéquation adoptées en vertu de la directive de 1995; souligne que, en l’absence de décision d’adéquation, les clauses contractuelles types sont l’outil le plus largement utilisé pour les transferts internationaux de données; relève que la Cour de justice de l'Union européenne a confirmé la validité de la décision 2010/87 relative aux clauses contractuelles types7 tout en requérant une évaluation du niveau de protection accordé aux données transférées dans un pays tiers et des éléments pertinents du système juridique de ce pays tiers au regard de l’accès de ses autorités publiques aux données à caractère personnel transférées; invite instamment la Commission à accélérer ses travaux de modernisation des clauses contractuelles types pour les transferts internationaux de données afin de garantir des conditions de concurrence équitables pour les petites et moyennes entreprises (PME) au niveau international; se félicite de la publication d’un projet de clauses contractuelles types par la Commission et de l’objectif visant à rendre les clauses contractuelles types plus faciles à utiliser et à remédier aux lacunes décelées dans les normes actuelles
;
; avertit que le projet de lignes directrices du CEPD n’est conforme, ni à l’approche fondée sur le risque du RGPD, ni à l’arrêt de la Cour de justice de l’Union européenne, et souligne que l’exigence de cryptage de toutes les données avant de les transférer hors de l’UE est impossible à mettre en pratique;
______________ 7 Décision de la Commission du 5 février 2010 relative aux clauses contractuelles
types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, modifiée par la décision
d’exécution (UE) 2016/2297 de la
Commission du 16 décembre 2016 (JO 2016 L 344, p. 100)
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
PPE
36.
rappelle que les règles d'entreprise contraignantes et les mécanismes de certification, assortis de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous- traitant dans le pays tiers d'appliquer les garanties appropriées, ainsi que des codes de conduite, permettent également les transferts internationaux de données tout en garantissant le respect des normes du RGPD;
rappelle les lignes directrices 1/2019 du CEPD relatives aux codes de conduite et aux organismes de suivi au titre du règlement (UE) 2016/679; constate que cet instrument est actuellement sous-utilisé, alors qu'il garantit la conformité au RGPD lorsqu’il est assorti de l'engagement contraignant et exécutoire pris par le responsable du traitement ou le sous- traitant dans le pays tiers d'appliquer les garanties appropriées; souligne le potentiel que présente cet instrument pour ce qui est de mieux soutenir les PME et d’apporter une plus grande sécurité juridique dans le contexte des transferts internationaux de données entre différents secteurs
;
; souligne que les critères pour la création et la mise en œuvre de règles d’entreprise contraignantes, tels que déterminés par le document de travail du groupe de travail «article 29» pour les règles d’entreprise contraignantes1a, sont trop stricts et trop étroits pour les questions numériques; ______________________ 1a Working Document Setting Forth a Co- Operation Procedure for the approval of ‘Binding Corporate Rules’ for controllers and processors under the GDPR, adopté par le groupe de travail «article 29» sur la protection des données le 11 avril 2018
Déposé par PPE (🇫🇷 : Les Républicains, Les centristes)
🚫 Aucun amendement
124760
124771
190774
96952
5565
189065
124738
24505
124765
72779
197533
197521
197628
197627
131580
94649
197597
197680
197691
182995
🚫 Aucune explication de vote
🚫 Aucune intervention en plénière