L’Union européenne est sur le point d’adopter une série de règles qui auront un impact sur la manière dont les données sont collectées et partagées au sein de l’UE. Il s’agit notamment du Data Governance Act, du Data Act, du Digital Services Act, du Digital Markets Act et de l’Artificial Intelligence Act. Ces actes juridiques n’excluent pas de leur champ d’application les données à caractère personnel, mais se concentrent sur la manière dont les entreprises traitent et utilisent les données.

Afin de minimiser leurs risques juridiques, les entreprises devraient se pencher suffisamment tôt sur les différents règlements et évaluer leur exposition. Il est important de ne pas considérer les nouvelles réglementations de manière isolée, mais de développer une compréhension holistique.

Aperçu des règlements sur la protection des données

Cet article examine la relation entre ces nouvelles réglementations et le RGPD, en se concentrant sur les différentes sanctions et infractions. Examinons tout d’abord les différents règlements :

Le règlement général sur la protection des données de l’Union européenne (RGPD de l’UE) est en vigueur depuis le 25 mai 2018. Il concerne les acteurs opérant sur le territoire de l’UE et donne aux personnes concernées plus de contrôle et de droits sur leurs données personnelles. Le RGPD responsabilise en outre davantage les entreprises tout en réduisant leurs obligations de déclaration. Le rôle des autorités de protection des données est renforcé. De nombreuses entreprises suisses sont directement concernées par le RGPD, par exemple les institutions financières qui vendent leurs produits au sein de l’UE.

Le Data Governance Act, publié fin mai 2022 dans le cadre de la stratégie européenne en matière de données, entrera en vigueur en septembre 2023. Le règlement constitue la base d’un modèle d’échange de données qui doit faciliter leur partage entre différents secteurs et pays, également dans l’optique d’un meilleur développement de l’intelligence artificielle (IA).

Le Data Act doit constituer, avec le Data Governance Act, le deuxième pilier de la nouvelle stratégie européenne en matière de données. L’objectif est de mieux exploiter le potentiel économique de la quantité sans cesse croissante de données grâce à de nouvelles réglementations. Le Data Act proposé par la Commission européenne le 23 février 2022 fait actuellement l’objet d’une procédure de consultation. Il convient de souligner que le projet prévoit une période de mise en œuvre de douze mois seulement après l’entrée en vigueur.

En complément, la Commission von der Leyen a proposé le Digital Services Act et le Digital Markets Act, qui ont tous deux été votés par le Parlement européen en juillet 2022 et devraient entrer en vigueur avant la fin de l’année 2022. Le Digital Services Act vise à rendre plus transparentes les puissantes plateformes numériques (gatekeeper platforms) comme YouTube, TikTok, Facebook et Instagram et à les rendre responsables des risques qu’elles font courir à la société. Il s’agit par exemple de règles claires et de mesures contraignantes pour le traitement des contenus illégaux ou une plus grande transparence dans la publicité en ligne. Le Digital Markets Act, qui est également un code de conduite à l’échelle de l’UE pour les grandes entreprises numériques, vise à garantir l’équité et des conditions de concurrence uniformes pour les acteurs des marchés numériques au sein de l’UE.

L’Artificial Intelligence Act, une approche de la régulation de l’intelligence artificielle fondée sur le risque, a le potentiel de faire avancer le débat mondial sur la gestion de l’intelligence artificielle. L’Artificial Intelligence Act constituerait la première réglementation horizontale juridiquement contraignante au monde pour les systèmes d’intelligence artificielle. Le projet est actuellement débattu au Parlement européen, avec la participation d’acteurs de la société, de la politique et de la science. Le Conseil de l’UE souhaite parvenir à un accord en décembre 2022.

Prévalence du RGPD

Ces règles n’ont pas pour but de réduire la protection des données à caractère personnel offerte par le RGPD. En cas de conflit, les dispositions du RGPD prévalent. Selon la Commission européenne, il ne devrait toutefois pas y avoir de divergence entre le RGPD et ces actes juridiques, étant donné que ces derniers s’appuient sur le RGPD et le complètent. Ce point de vue n’est toutefois pas partagé de tous, comme le montrent les avis du Comité européen de la protection des données et du Contrôleur européen de la protection des données sur les propositions de la Commission européenne relatives à ces actes.

Le fait que certaines dispositions s’appuient sur des principes du RGPD signifie également qu’une violation de ces actes peut constituer une violation du RGPD. Ainsi par exemple, si de grandes plateformes en ligne agissant en tant que gatekeepers combinent et utilisent de manière transversale des données à caractère personnel provenant de plusieurs de leurs plateformes, elles pourraient enfreindre à la fois le Data Act et le RGPD. Il en va de même pour les gatekeepers qui ne respectent pas l’exigence de portabilité des données du RGPD. Un autre exemple concerne le Digital Services Act : le non-respect des interdictions d’envoyer de la publicité ciblée aux mineurs ou de traiter des catégories particulières de données à des fins publicitaires pourrait également constituer une infraction au RGPD.

L’Artificial Intelligence Act contient aussi plusieurs dispositions qui interagissent avec le RGPD, par exemple des règles sur le profilage ou l’utilisation de la reconnaissance faciale. Une infraction à l’une de ces dispositions pourrait également constituer une infraction au RGPD.

Différentes autorités de contrôle

La situation qui en résulte est complexe. Chacun de ces actes a ses propres règles et ses propres autorités compétentes en matière d’application, qui ne sont pas nécessairement les mêmes. À l’exception du Digital Markets Act, dont l’application incombe à la Commission européenne, il est prévu que les États membres désignent des autorités nationales compétentes chargées du contrôle et de l’application des règlements.

Malgré les appels lancés en ce sens par le Comité européen de la protection des données et le Contrôleur européen de la protection des données, il n’est pas certain que les États membres désignent les autorités actuelles de protection des données comme autorités compétentes en matière d’application. Il est donc possible que des entreprises fassent l’objet de deux enquêtes distinctes pour la même infraction.

Les doubles procédures en tant que telles ne constituent pas un phénomène nouveau. Dans le passé, il y a eu de nombreux cas où des entreprises ont été doublement sanctionnées pour les mêmes faits. Dans nombre de ces affaires, elles ont invoqué pour leur défense le principe « non bis in idem » selon lequel nul ne peut être poursuivi ou puni pénalement à raison des mêmes faits. Ce principe équivaut pour l’essentiel à l’interdiction des doubles poursuites dans les systèmes juridiques de la common law, qui s’appuie sur des précédents[1]. Il interdit de condamner deux fois pour une même infraction. Il est toutefois limité aux sanctions pénales. Cependant, la plupart des infractions au RGPD ne devraient pas être sanctionnées pénalement.

[1] La common law désigne le système juridique qui prévaut dans la plupart des pays anglophones (notamment en Grande-Bretagne et aux États-Unis). Bien que la common law soit basée sur des lois, les décisions des instances judiciaires (précédents) jouent un rôle plus important. Par conséquent, la détermination du droit applicable se fonde sur des analogies entre des cas individuels déjà tranchés.

Simple ou double sanction ?

La question se pose donc de savoir si le principe de l’interdiction des doubles poursuites peut être invoqué dans les cas de double procédure au titre du RGPD et de l’un des actes législatifs. Ce sera probablement le cas. Dans la pratique juridique actuelle, ce principe est également invoqué, indépendamment de son libellé, lorsqu’il ne s’agit pas de droit pénal au sens strict, mais de sanctions graves à caractère punitif. Celles-ci visent non seulement la réparation des dommages, mais se veulent aussi dissuasives. Dans ce contexte, la dissuasion doit être comprise dans le sens de la prévention générale négative. En d’autres termes, les sanctions devraient contribuer à garantir le respect des dispositions réglementaires.

Les sanctions prévues par le RGPD et celles imposées par les États membres dans le cadre des actes juridiques devraient passer ce test, à savoir qu’il n’y aura pas de doubles poursuites. On ne sait toutefois pas encore si ce sera le cas et dans quelles situations.