Article 97
Evaluation

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national

Il n'y a pas de considérant du Règlement lié à l'article 97.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 97.

Le GDPR

L’article 97 du Règlement renouvelle la mission d’évaluation et de révision de la Commission qui doit soumettre des rapports d’évaluation au Parlement et au Conseil à intervalles réguliers.  

Le second paragraphe précise que le rapport de la Commission doit examiner en particulier l’application et le fonctionnement :

- du chapitre V sur les transferts de données, et en particulier les décisions constatant un niveau adéquat de protection dans les pays tiers à l’Union.

- du chapitre VII concernant la coopération et la cohérence (coopération entre autorités de contrôle, rôle et missions du Comité européen à la protection des données,..).

Elle peut à cet effet exiger la communication d’informations de la part des autorités de contrôle et/ou des États membres (§ 3) ;

La Commission doit donc présenter tous les quatre ans des rapports sur l'évaluation et la révision du Règlement au Parlement européen et au Conseil. Ce faisant, la Commission devra prendre en compte les positions et constatations du Parlement européen, du Conseil comme d’autres institutions ou sources relevantes (§ 4).

Un premier rapport doit être soumis au plus tard quatre ans après l’entrée en vigueur du Règlement, soit le vingtième jour suivant sa publication au Journal Officiel de l’Union européenne et être publié.

A l’instar de la Directive, la Commission doit rester attentive à l’évolution de la technologie de l’information et des progrès de la société de l’information et proposer, le cas échéant, des modifications du Règlement utiles compte tenu de cette évolution (§ 5).

La Directive

La Directive faisait déjà obligation à la Commission de faire un rapport au Parlement européen et au Conseil sur l'application de la Directive, accompagné, le cas échéant, de propositions de modification (cfr. article 33).

Difficultés probables ?

On ne voit pas a priori de difficulté particulière d’implémentation. 

Groupe 29

European data protection board (EDPB)

Contribution of the EDPB to the evaluation of the GDPR under Article 97 (18 février 2020)

The application of the GDPR in this first year and a half has been successful. The GDPR has strengthened data protection as a fundamental right and harmonized the interpretation of data protection principles. Data subject rights have been reinforced and data subjects are increasingly aware of the modalities to exercise their data protection rights. Moreover, data controllers and processors within the EU now benefit from one single set of rules bringing more legal certainty and a single interlocutor through the one-stop-shop mechanism. The framework provides for increased investigative and corrective powers for supervisory authorities (SAs), including significant fines. The GDPR also contributes to an increased global visibility of the EU legal framework and is being considered a model outside of the EU.

Since the entry into application of the GDPR, the EDPB as a new decision-making EU body - building on the work of the Working Party 29 (“WP 29”) - has adopted various opinions and guidelines2 to clarify fundamental provisions of the GDPR and to ensure consistency in the application of the GDPR by SAs.

More specifically, the EDPB has done so with the objective of developing guidance on new and emerging technologies. In this respect, the EDPB emphasizes that the GDPR is a technologically neutral framework designed to be comprehensive and to foster innovation by being able to adapt to different situations without being complemented by sector-specific legislation. The EDPB underlines that the GDPR is fully applicable to emerging technologies and it will continue to elaborate on the impact of emerging technologies on the protection of personal data.

The EDPB acknowledges that the implementation of the GDPR has been challenging, especially for small actors, most notably SMEs. SAs have been developing several tools to support SMEs in complying with the GDPR . The EDPB is committed to facilitating the development of these tools in order to further alleviate the administrative burden.

The EDPB is convinced that the cooperation between data protection authorities will result in a common data protection culture and consistent monitoring practices. However, the EDPB notes that SAs have identified challenges while implementing the cooperation and consistency mechanism. In particular, the patchwork of national procedures and practices has an impact on the cooperation mechanism. This is mainly due to differences in complaint handling procedures, position of the parties in the proceedings, admissibility criteria, duration of proceedings, deadlines, etc. The EDPB is examining possible solutions to overcome these challenges and to ensure a common application of the key concepts relating to the cooperation procedure. The European Commission should monitor whether national procedures hinder the full effectiveness of the cooperation mechanism and eventually legislators may also have a role to play in ensuring further harmonization.

The EDPB stresses that the effective application of the powers and tasks attributed by the GDPR to SAs is largely dependent on the resources available to them. In this regard, the EDPB notes that most of the SAs state that resources made available to them are insufficient. Therefore, it is of the utmost importance that all SAs are provided with sufficient resources by the Member States to carry out their tasks. The EDPB notes that this applies, in particular, to the one-stop-shop mechanism, as its success depends on the time and effort that SAs can dedicate to individual cases and cooperation.

Next, the EDPB underlines that transfers of personal data to third countries or international organisations form an integral part of the digital environment. The EDPB welcomes the interest of third countries to engage with the EU in the context of an adequacy decision. Adequacy decisions are an important tool to ensure the continuous protection of personal data transferred from the European Economic Area to third countries and International organisations. The EDPB remains committed to providing independent assessments of the tools developed by the European Commission with regard to the strengthened requirements of the GDPR, especially enforceable rights, effective redress and safeguards concerning onward transfers. The EDPB considers these assessments to be of the utmost importance. The EDPB will participate in the evaluation of current adequacy decisions and the adoption of future ones, while emphasising that it needs to receive all relevant documents in time to allow for a thorough assessment.

With respect to other tools for international transfers, the EDPB recalls its ongoing work on binding corporate rules, codes of conduct, certification mechanisms and administrative arrangements for transfers between public authorities. The EDPB is of the view that there is a pressing need for the European Commission to bring the existing set of SCCs in line with the GDPR and to draft additional SCCs that cover new transfer scenarios. In particular, the adoption of a set of processor-to-processor SCCs would allow the appropriate framing of such transfers in accordance with Article 46 GDPR.

In conclusion, after only 20 months of GDPR application, the EDPB takes a positive view of the implementation of the GDPR and is of the opinion that it is premature to revise the legislative text at this point in time. Rather than revising the GDPR itself, the EDPB calls upon the EU legislators, in particular the European Commission, to intensify efforts towards the adoption of an ePrivacy Regulation to complete the EU framework for data protection and confidentiality of communications.

Link

Règlement
1e 2e

Art. 97

1. Au plus tard le ... [quatre ans après la date d'entrée en vigueur du présent règlement] et tous les quatre ans par la suite, la Commission présente au Parlement européen et au Conseil un rapport sur l'évaluation et le réexamen du présent règlement. Ces rapports sont publiés.

2. Dans le cadre des évaluations et réexamens visés au paragraphe 1, la Commission examine, en particulier, l'application et le fonctionnement du:

a) chapitre V sur le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales, en particulier en ce qui concerne les décisions adoptées en vertu de l'article 45, paragraphe 3 du présent règlement, et des décisions adoptées sur la base de l'article 25, paragraphe 6, de la directive 95/46/CE;

b) chapitre VII sur la coopération et la cohérence.

3. Aux fins du paragraphe 1, la Commission peut demander des informations aux États membres et aux autorités de contrôle.

4. Lorsqu'elle procède aux évaluations et réexamens visés aux paragraphes 1 et 2, la Commission tient compte des positions et des conclusions du Parlement européen, du Conseil, et d'autres organismes ou sources pertinents.

5. La Commission soumet, si nécessaire, des propositions appropriées visant à modifier le présent règlement, notamment en tenant compte de l'évolution des technologies de l'information et à la lumière de l’état d’avancement de la société de l'information.

Proposition 1 close

La Commission présente périodiquement des rapports sur l'évaluation et la révision du présent règlement au Parlement européen et au Conseil. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur du présent règlement.

Les rapports suivants sont ensuite présentés tous les quatre ans. Pour autant que de besoin, la Commission soumet les propositions voulues pour modifier le présent règlement et pour adapter d'autres instruments juridiques, en tenant compte, notamment, de l'évolution de la technologie de l'information et des progrès de la société de l'information. Les rapports sont publiés.

Proposition 2 close

1. La Commission présente périodiquement des rapports sur l'évaluation et la révision du présent règlement au Parlement européen et au Conseil.

2. Dans le cadre de ces évaluations, la Commission examine, en particulier, l'application et le fonctionnement des dispositions du chapitre VII concernant la coopération et la cohérence.

3. Le premier rapport est présenté au plus tard quatre ans après l'entrée en vigueur du présent règlement. Les rapports suivants sont ensuite présentés tous les quatre ans. Ces rapports sont publiés.

4. Pour autant que de besoin, la Commission soumet les propositions voulues pour modifier le présent règlement et pour adapter d'autres instruments juridiques, en tenant compte, notamment, de l'évolution de la technologie de l'information et des progrès de la société de l'information.

Directive close

Pas de disposition correspondante.

Pas de disposition correspondante

Ancienne loi close

Pas de disposition correspondante.

close