NOYB & Max Schrems - Allègement ou Complication du RGPD ?
Depuis son entrée en vigueur en 2018, le Règlement général sur la protection des données (RGPD) s’est imposé comme un standard mondial en matière de protection des données personnelles. Toutefois, son application concrète continue de susciter des interrogations, notamment au sein des institutions européennes. Pour remédier à certaines limites, la Commission européenne a proposé un Règlement Procédural RGPD, visant à renforcer la coopération entre les autorités de protection des données (APD) dans le cadre des plaintes transfrontalières.
Cependant, l'organisation noyb (None of Your Business), fondée par Max Schrems, figure emblématique des luttes pour la protection de la vie privée, exprime de vives préoccupations. Selon noyb, loin de faciliter les mécanismes existants, ce nouveau règlement risquerait d’alourdir les procédures, de ralentir le traitement des plaintes et, in fine, de nuire à une mise en œuvre effective et accessible du RGPD – en particulier pour les PME et les citoyens européens
Une promesse initiale : simplifier et accélérer
À l’origine, le Règlement Procédural RGPD avait pour ambition de simplifier et d’accélérer le mécanisme de coopération entre les autorités de protection des données (APD), souvent pointé du doigt comme un frein majeur à l’application effective du RGPD. En l’état actuel, une plainte transfrontalière peut nécessiter plusieurs années avant d’aboutir à une décision, laissant citoyens et entreprises dans une impasse juridique face à l’inaction ou la lenteur des autorités compétentes.
Pour l’ONG noyb et Max Schrems, ce mécanisme est au cœur même des défaillances du RGPD dans sa mise en œuvre concrète. L’organisation estime que la lenteur et la complexité des procédures nuisent gravement à la protection des droits des personnes concernées. Et si la réforme devait initialement instaurer une procédure plus fluide et transparente, noyb alerte aujourd’hui sur une trahison de cette promesse, pointant les risques accrus de bureaucratie et de blocages dans la dernière version du texte issue des négociations interinstitutionnelles.
Un texte "plus complexe, inflexible et incohérent"
Le reproche est clair : le texte envisagé crée une superposition de procédures hétérogènes – parfois contradictoires – qui s’éloignent de toute logique de simplification administrative.
"Cette proposition risque de devenir le plus grand désordre législatif que j’aie vu depuis longtemps."
— Max Schrems
Au lieu de créer un cadre clair et prévisible, notamment pour les acteurs de terrain et les petites entités, le texte risque d’accroître l’insécurité juridique. Or, les TPE, PME, associations et collectivités locales ont besoin de règles lisibles, applicables, et de points de contact accessibles, non d’un millefeuille réglementaire qui les expose à davantage de complexité sans moyens supplémentaires.
Des APD plus surchargées, des droits affaiblis
Le projet est également critiqué pour alourdir considérablement la charge de travail des APD, sans gains d’efficacité pour les usagers. Il pourrait ainsi mobiliser des ressources importantes sur des procédures formelles au détriment de l’instruction des cas réels.
"Cela semble devoir faire perdre des milliers d’heures à des autorités déjà surchargées… ce qui équivaut à des millions en argent public."
— Max Schrems
Plus inquiétant encore, le texte réduit la capacité des citoyens et entreprises à être entendus à un stade précoce. Il concentre les pouvoirs entre les mains d’une seule autorité, dite "chef de file", sans véritable contre-pouvoir des autres APD, souvent plus proches du terrain.
Cette approche va à l’encontre d’une logique décentralisée et souveraine, qui favoriserait une application différenciée mais cohérente selon les contextes nationaux. Elle affaiblit aussi la capacité des acteurs locaux à défendre les droits numériques de leurs administrés ou clients.
Délais, recours et insécurité juridique
Le texte échoue également à garantir des délais raisonnables et encadrés, condition essentielle pour que les droits deviennent effectifs. Des propositions allant jusqu’à 33 mois de traitement pour une plainte ont été évoquées, sans possibilité réelle de recours rapide.
Les citoyens pourraient être contraints de saisir une juridiction étrangère, éloignée de leur langue, culture juridique et moyens, pour faire respecter un droit fondamental. Ce système accentue les déséquilibres entre grandes plateformes capables d’absorber les lenteurs procédurales, et structures plus petites pour qui chaque mois de retard a un coût opérationnel et humain.
"C’est tout bonnement un blanc-seing donné aux autorités de protection des données pour faire traîner les procédures indéfiniment…"
— Max Schrems
Un manque d’expertise et une recentralisation inadaptée
La complexité croissante du texte semble aussi être le symptôme d’un manque d’expérience des institutions européennes en matière de droit procédural. Cette matière reste, dans la plupart des États membres, un domaine fortement enraciné dans les traditions juridiques nationales. En centralisant à outrance la gestion procédurale des affaires RGPD, le risque est grand de produire un droit déconnecté des réalités locales.
"C’est comme si je me mettais à pratiquer l’astrophysique dès demain – le résultat ne présenterait probablement aucun bénéfice pour l’humanité."
— Max Schrems
Cette centralisation mal calibrée va également à l’encontre des principes de souveraineté numérique européenne, qui nécessitent des autorités proches des citoyens, bien dotées, et capables d’agir rapidement en cas de violation.
Conclusion : réforme ou régression ?
La proposition actuelle du Règlement Procédural RGPD, telle qu’analysée par noyb.eu, s’apparente moins à une réforme qu’à un recul. Elle compromet les objectifs de rapidité, de transparence et d’accessibilité qui auraient pu profiter en priorité aux structures les plus exposées aux lenteurs actuelles : collectivités locales, PME, associations, start-ups…
Plutôt qu’une refonte complète du RGPD, c’est sans doute un renforcement des capacités locales, une clarification des rôles, et une simplification des recours qui seraient réellement bénéfiques. Une modernisation ciblée, pragmatique et tournée vers l’efficacité pourrait permettre à la fois de mieux protéger les droits fondamentaux et de garantir une mise en œuvre soutenable pour l’écosystème numérique européen, dans toute sa diversité.
📎 Source : Analyse de noyb.eu – 17 avril 2025 – https://noyb.eu/en/eu-pledged-improve-gdpr-cooperation-and-made-it-worse
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
