TITRE II - MARGES DE MANoeUVRE PERMISES PAR LE RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 AVRIL 2016 RELATIF À LA PROTECTION DES PERSONNES PHYSIQUES À L'ÉGARD DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL ET À LA LIBRE CIRCULATION DE CES DONNÉES, ET ABROGEANT LA DIRECTIVE 95/46/CE
Le titre II du projet de loi concerne les marges de manoeuvre permises par le RGPD.
Le choix d'un règlement, d'application directe et uniforme sur le territoire des États membres de l'Union, pour remplacer l'ancienne directive de 1995 devait, selon la Commission européenne, éviter les divergences de transposition, renforcer la cohérence de la protection des personnes ainsi que la sécurité juridique et favoriser la libre circulation des données à caractère personnel au sein du marché intérieur.
Pourtant, le RGPD prévoit plus d'une cinquantaine de marges de manoeuvre qui permettent à chaque État membre de préciser certaines dispositions, de ménager des dérogations ou au contraire d'accorder plus de garanties que ce que prévoit le droit européen.
Le SGAE 46 ( * ) , responsable du suivi de la négociation et dont votre rapporteur a reçu en audition la secrétaire générale, rapporte que le nombre élevé de ces « marges de manoeuvre » renvoyant aux législations nationales a permis d'emporter le soutien des États membres qui n'étaient pas favorables à un règlement d'application uniforme (et auraient préféré une directive).
Fruit d'un difficile compromis, le RGPD a ainsi un caractère hybride , mêlant des dispositions entièrement harmonisées et d'application directe à de multiples renvois au droit national, obligatoires (modalités d'application particulières) ou le plus souvent facultatifs (« marges de manoeuvres » des États membres) 47 ( * ) .
Ainsi que l'ont souligné plusieurs organisations entendues par votre rapporteur, si certains renvois aux droits nationaux peuvent être utiles en apportant des souplesses bienvenues, leur nombre considérable fait peser un double risque :
- d'une part, sur la lisibilité et l'accessibilité du droit, tant pour les particuliers que pour les acteurs économiques, les normes de protection des données étant dispersées à travers plusieurs corpus ;
- d'autre part, sur l'application uniforme du droit, les marges de manoeuvre risquant d'entraîner une nouvelle fragmentation du régime de la protection des données personnelles dans l'Union européenne, voire la mise en concurrence des systèmes juridiques par une recherche des territoires aux normes les plus favorables, ce que le règlement visait pourtant justement à éviter.
En l'espèce, votre rapporteur partage les précieuses observations du rapporteur de la commission des affaires européennes 48 ( * ) , notre collègue Simon Sutour, selon lesquelles : « le projet de loi maintient des régimes spéciaux et des règles nationales pour les données les plus sensibles, sans excéder les marges de manoeuvre ouvertes par le règlement, dans le sens du maintien du haut niveau de protection nationale en la matière souhaité par le Sénat ».
* 46 Le Secrétariat général des affaires européennes est un service du Premier ministre, il a notamment pour mission l'élaboration des positions françaises.
* 47 Le SGAE a comptabilisé au total 56 marges de manoeuvre renvoyant au droit national, prévues soit directement dans les articles du RGPD, soit dans ses considérants (paragraphes interprétatifs qui ouvrent le texte). Elles sont de portée inégale et leur liste récapitulée dans une note du SGAE communiquée à votre rapporteur, est publiée en annexe du présent rapport.
* 48 Rapport d'information n° 344 (2017-2018), fait par M. Simon Sutour au nom de la commission des affaires européennes, sur le projet de loi, adopté par l'Assemblée nationale après engagement de la procédure accélérée, relatif à la protection des données personnelles.