Le temps s'est écoulé : tous les États membres sont-ils prêts pour le RGPD ?

Le règlement général sur la protection des données (RGPD) vise à harmoniser les lois sur la protection des données des États membres. En fait, depuis l'entrée en vigueur du règlement, il a un effet contraignant pour toute l'Union européenne et prévaut sur les lois nationales de protection des données.

Cependant, le RGPD a laissé une certaine marge de manœuvre aux États membres pour définir leurs règles sur des sujets spécifiques, tels que l'utilisation de numéros d'identification nationaux. Le chapitre 9 contient une liste d'activités de traitement spécifiques pour lesquelles les États membres peuvent introduire des dispositions nationales, à savoir :

  • Liberté d'expression et d'information
  • Accès public aux documents officiels
  • Traitement du numéro d'identification national
  • Traitement dans le cadre des relations de travail
  • Traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques
  • Obligations de secret
  • Règles de protection des données existantes à des fins religieuses
rgpd

Modification des dispositions du RGPD

Les États membres peuvent modifier les dispositions du RGPD qui contiennent des « clauses d'ouverture » et les mettre en œuvre dans leur législation locale.

Plus de 50 dispositions du RGPD contiennent des clauses d'ouverture qui offrent aux États membres une certaine flexibilité dans la fixation des règles.

Par exemple, les États membres peuvent créer des règles nationales concernant les conditions de désignation d'un délégué à la protection des données, l'âge de consentement des enfants et ils peuvent créer des règles locales sur les obligations de notification.

Par conséquent, les États membres ont commencé à promulguer des lois, souvent appelées « Lois de mise en œuvre » , qui incluent leur application spécifique du RGPD.

Ces règles spécifiques des États membres qui répondent aux questions domestiques doivent être formulées en fonction du niveau de protection que le RGPD vise à fournir. Vous vous demandez peut-être si laisser l'espace à ces dispositions nationales entre en conflit avec l'applicabilité directe du RGPD. Cependant, ce mécanisme définit simplement les règles d'application du règlement dans des situations spécifiques.

Pour cette raison, les Lois Nationales de mise en œuvre sont considérées comme un complément du RGPD, et différentes variations de règles peuvent être trouvées dans les États membres.

Tous les États membres ont-ils adopté des Lois de Mise en œuvre du RGPD ?

Le RGPD est entré en vigueur le mois dernier et, maintenant que le temps soit écoulé, la question est de savoir si les États membres ont adopté leurs Lois de Mise en œuvre du RGPD. Qu'arrivera-t-il s'ils n'ont pas aligné leurs lois sur la protection des données avec le RGPD ?

L'Allemagne a été le premier État à adapter les changements en adoptant la Modification de la Loi Allemande sur la Protection des Données (MLAPD). L'Autriche, la France et d'autres États membres ont suivi en adoptant leur propre législation.

Cependant, malgré les avertissements de la Commission européenne, tous les États membres ne sont pas prêts. Certains États membres d'Europe de l'Est, tels que la Bulgarie, n'ont pas encore mis en œuvre de législation nationale concernant l'application du RGPD.

Alors, que se passe-t-il avec les activités de traitement des données dans les États membres qui n'ont pas encore adopté de législation pour l'application du RGPD ?

En l'absence de règles claires et spécifiques, il sera plus difficile pour les entreprises d'accomplir leurs activités de traitement puisqu'il n'y a pas de directives pour l'application du RGPD dans des activités de traitement spécifiques. Cela pourrait augmenter le coût de la conformité et le coût des services juridiques parce que les entreprises seront tenues de prendre des décisions sur des questions qui ne sont pas claires ou qui diffèrent selon l'interprétation. En particulier, l'absence de règles nationales concernant l'âge de consentement des mineurs et les règles d'utilisation des numéros d'identification nationaux peuvent avoir un impact important sur les opérations quotidiennes des entreprises.

En conclusion, les États membres ont la possibilité d'introduire dans la législation nationale des règles spécifiques concernant l'application du RGPD et la possibilité de modifier les articles en profitant des dérogations et des clauses d'ouverture du RGPD. Certains États membres n'ont pas encore promulgué leurs Lois de mise en œuvre, ce qui peut créer des ambiguïtés pour les entreprises.

 
Tess Priester & Elif Kaya 
Legal Department at PrivacyPerfect