mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 57
Article suivantarrow_forward

Missions

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 57 expand_more Cacher les articles et mots clés liés à l’article 57 expand_less

Mots clés liés à l'article 57

Afficher les considérants du Règlement liés à l'article 57 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 57 keyboard_arrow_up

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d'enquête, le pouvoir d'adopter des mesures correctrices et d’infliger des sanctions, ainsi que le pouvoir d'autoriser et d'émettre des avis consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit d'un État membre, le pouvoir de porter les violations du présent règlement à l'attention des autorités judiciaires et d'ester en justice. Ces pouvoirs devraient également inclure celui d'imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Les États membres peuvent préciser d'autres missions liées à la protection des données à caractère personnel en application du présent règlement. Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l'Union et le droit des État membres, d'une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l'espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d'enquête en ce qui concerne l'accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l'obligation d'obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l'autorité de contrôle devrait être présentée par écrit, être claire et dénuée d'ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d'un membre de l'autorité de contrôle qu'il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un contrôle juridictionnel dans l'État membre dont relève l'autorité de contrôle qui l'a adoptée.

(130) Lorsque l'autorité de contrôle auprès de laquelle la réclamation a été introduite n'est pas l'autorité de contrôle chef de file, l'autorité de contrôle chef de file devrait coopérer étroitement avec l'autorité de contrôle auprès de laquelle la réclamation a été introduite conformément aux dispositions relatives à la coopération et à la cohérence prévues par le présent règlement. Dans de tels cas, l'autorité de contrôle chef de file devrait, lorsqu'elle adopte des mesures visant à produire des effets juridiques, y compris des mesures visant à infliger des amendes administratives, tenir le plus grand compte de l'avis de l'autorité de contrôle auprès de laquelle la réclamation a été introduite, laquelle devrait rester compétente pour effectuer toute enquête sur le territoire de l'État membre dont elle relève, en liaison avec l'autorité de contrôle chef de file.

(131) Lorsqu'une autre autorité de contrôle devrait faire office d’autorité de contrôle chef de file pour les activités de traitement du responsable du traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la violation éventuelle ne concerne que les activités de traitement du responsable du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation a été introduite ou dans lequel la violation éventuelle a été constatée et que la question n'affecte pas sensiblement ou n’est pas susceptible d’affecter sensiblement des personnes concernées dans d'autres États membres, l'autorité de contrôle qui est saisie d'une réclamation, ou qui constate des situations susceptibles de constituer des violations du présent règlement ou qui est informée d'une autre manière de telles situations devrait rechercher un règlement amiable avec le responsable du traitement et, en cas d'échec, exercer l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques qui sont effectués sur le territoire de l'État membre dont relève l'autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le territoire de cet État membre; les traitements effectués dans le cadre d'une offre de biens ou de services visant spécifiquement des personnes concernées se trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle; ou encore les traitements qui doivent être évalués à l'aune des obligations légales pertinentes prévues par le droit d'un État membre.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 57.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l’application et la fixation des amendes administratives - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Retour au sommaire
arrow_back Article précédentArticle 57Article suivant arrow_forward

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Bruxelles – Section Cour des marchés n° 2020/AR/329 (2 septembre 2020)

L'article 57 du RGPD prévoit que l'autorité de contrôle ne doit "examiner le contenu de la réclamation" que "dans la mesure appropriée". Il n'y a donc pas d'obligation absolue mais un pouvoir discrétionnaire pour l'autorité de contrôle de procéder à une enquête de fond complète et à une évaluation de fond complète de la plainte.

Si l'autorité de contrôle considère qu'un traitement de l'affaire sur le fond n'est pas approprié (en raison de considérations politiques, par exemple), elle est autorisée à rejeter la plainte. La faculté de révocation fait en effet partie des suites qui peuvent être données à une réclamation conformément à l'article 95 §1, 3° loi du 3 décembre 2017.

Mais lorsque l'autorité de contrôle décide de rejeter une réclamation, elle doit motiver formellement et substantiellement cette décision . Une décision fondée sur des motifs erronés ou juridiquement inacceptables révèle un excès de pouvoir et est donc annulable.

Dans cette affaire, la Cour du marché de la Cour d'appel de Bruxelles a estimé que la décision de la chambre contentieuse de la DPA n'était pas dûment motivée car elle n'expliquait pas pourquoi il n'y avait pas d'"impact social large", ni comment et dans quelle mesure la plainte déontologique déposée auprès de l'autorité compétente avait le même objet que la plainte auprès de la DPA. Le motif établissant l'insuffisance des ressources financières à la disposition de la DPA n'a pas non plus été jugé concluant car il n'était étayé par aucune donnée. De plus, « [l'APD] est au service du citoyen et doit veiller à ce qu'il dépense correctement ses ressources » ; "les citoyens ne doivent pas et ne doivent pas être les victimes".

Le tribunal du marché a donc ordonné à la DPA de rendre une nouvelle décision concernant la plainte dans un délai raisonnable.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2022/AR/1085 (01 mars 2023)

la chambre contentieuse admet qu'en raison d'une erreur technique, la décision attaquée se réfère une fois à tort à un "licenciement technique", alors qu'il est clair qu'il s'agit d'un licenciement pour des raisons d'opportunité, puisque la chambre contentieuse considère qu'une audience sur le fond n'est pas souhaitable et renvoie au 3.2.1. de la politique de licenciement qui traite du licenciement pour des raisons d'opportunité. Le tribunal suit le raisonnement de la DPA et rejette cette partie de la plainte.

la Cour d'appel renvoie dans ce cadre à un arrêt antérieur selon lequel la DPA, en tant qu'autorité de contrôle, est totalement indépendante en vertu de l'article 52 du RGPD dans l'exécution des missions et pouvoirs qui lui sont confiés et, par conséquent, dispose d'un pouvoir discrétionnaire pour décider de rejeter ou non une plainte.

S'agissant de la violation du débat contradictoire, la loi instituant l'autorité de protection des données distingue clairement la phase précontentieuse de la phase contentieuse, les parties n'étant informées de la possibilité de se défendre qu'au début de la phase contentieuse. La Cour note que la décision attaquée est intervenue pendant la phase précontentieuse et que les plaignants n'avaient donc pas besoin d'être informés pour se défendre.

Sur la base des motifs ci-dessus, la cour a déclaré la plainte recevable mais non fondée et a condamné les plaignants à payer les frais de procédure.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°319545 (5 décembre 2011)

1) En procédant aux investigations prévues à l'article 41 de la loi n°78-17 du 6 janvier 1978 et en indiquant à l'intéressé qu'aucune information le concernant ne figurait dans les fichiers en question, la CNIL a mis un terme à la procédure d'accès indirect engagée. Elle doit être regardée comme satisfaisant entièrement la demande du demandeur.

2) a) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu'elle mette en œuvre les pouvoirs d'enquête dont elle peut faire usage sur le fondement de l'article 11 de la loi n° 78-17 du 6 janvier 1978, lorsqu'elle est saisie d'une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l'objet d'un recours pour excès de pouvoir.

b) Toutefois, si l'intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l'informatique, aux fichiers et aux libertés et de faire « effacer l'ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d'erreur manifeste d'appréciation en ne donnant pas suite à ces réclamations.

Arrêt rendu

CE Fr., n°391000 (24 février 2017)

Il résulte des dispositions de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, sans préjudice des voies de recours ouvertes devant le juge judiciaire s'agissant des litiges opposant des particuliers aux exploitants d'un moteur de recherche, la CNIL est compétente pour connaître des plaintes formées à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche et, le cas échéant, pour mettre en demeure celui-ci de faire droit à la demande de déréférencement. Ce pouvoir s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

CE Fr., n°398442 (19 juin 2017)

L'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78-17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous la réserve des secrets protégés par la loi.

Arrêt rendu

CE Fr., n°408185 (20 juin 2018)

1) Il résulte du a) du 4° de l'article 11 de la loi n° 78-17 du 6 janvier 1978, dans sa rédaction issue de la loi n° 2016-1321, que la CNIL doit être préalablement consultée sur tout projet de loi ou de décret comportant des dispositions, soit qui portent sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, soit qui déterminent, dans certaines de leurs caractéristiques essentielles, les conditions de création ou de mise en œuvre d'un traitement ou d'une catégorie de traitements de données à caractère personnel.

2) Le Décret n° 2016-1788 du 19 décembre 2016 relatif à la transmission de données de cession des médicaments utilisés en médecine vétérinaire comportant une ou plusieurs substances antibiotiques prévoit que les déclarations auxquelles sont soumis les professionnels concernés sont transmises par voie électronique à l'autorité administrative compétente. Si ces dispositions, qui ne portent pas sur le cadre général de la protection des droits et libertés des personnes s'agissant de leurs données à caractère personnel ou du traitement de ces données, impliquent la mise en œuvre d'un traitement automatisé de données à caractère personnel, elles ne déterminent pas elles-mêmes les formalités de création ou les conditions de mise en œuvre de ce traitement. Par suite, le Premier ministre n'était pas tenu de consulter la CNIL.

Arrêt rendu

CE Fr., n°452668 (8 avril 2022)

Par la question – réponse n° 12 mise en ligne le 18 mars 2021 sur le site internet de la CNIL, cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n° 78-17 du 6 janvier 1978, quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation.

1) Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question-réponse n° 12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.

2) a) Les opérations d’affiliation sur lesquelles porte la question – réponse n° 12 impliquent l’utilisation de traceurs de connexion afin de déterminer si l’internaute qui a accompli un acte d’achat sur un site marchand s’est connecté sur ce site à partir d’un lien figurant sur celui de l’opérateur affilié. Ces traceurs ont pour seule finalité de permettre la rémunération de l’affilié par l’éditeur du site marchand, le cas échéant par l’intermédiaire d’une plateforme d’affiliation. Ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l’article 82 de la loi du 6 janvier 1978, dès lors qu’aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d’affiliation n’est nécessaire pour qu’un internaute se connecte à un site marchand à partir d’un site édité par un tiers et y effectue un achat.

Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l’affilié par l’éditeur du site marchand ne répond pas à une demande de l’utilisateur.

Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d’un site ou d’un partenariat ne saurait conduire à les ranger dans l’une ou l’autre des exceptions prévues par l’article 82 de la loi du 6 janvier 1978.

Enfin, ces traceurs n’ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l’audience des sites internet.

Par suite, la CNIL n’a pas méconnu l’article 82 de la loi du 6 janvier 1978 en exigeant que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l’utilisation des traceurs en cause.

b) Il ressort des termes de la question-réponse n° 12 que les éléments donnés par cette réponse portent uniquement sur les traceurs de connexion utilisés exclusivement à des fins de facturation des opérations d’affiliation.

Elle ne s’applique ainsi pas aux traceurs de connexion mis en œuvre pour les besoins de services de remboursement, dits de « cashback », ou de récompense, dits de « reward », par lesquels un internaute, après s’être inscrit pour ce type de services auprès de l’éditeur d’un site partenaire, bénéficie d’un remboursement partiel ou d’un avantage, comme des bons de réduction ou des tarifs préférentiels, ou attache une conséquence à son achat, lorsqu’il effectue un acte d’achat sur un site marchand auquel il s’est connecté à partir d’un lien figurant sur ce site partenaire, quand bien même ces mêmes traceurs peuvent également servir à la facturation d’opérations assimilables à l’affiliation entre ces éditeurs.

Les éléments de réponse contestés n’ont donc pas pour objet, et n’auraient pu avoir légalement pour effet, d’exiger que le dépôt et l’utilisation de tels traceurs soient précédés du recueil du consentement de l’internaute, dans la mesure où ils sont alors strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Arrêt rendu

Retour au sommaire
arrow_back Article précédentArticle 57Article suivant arrow_forward

Le GDPR

L’article 57 définit les missions qui sont confiées aux autorités de contrôle. Elles peuvent être résumées comme suit :

- des missions de surveillance, d’investigation et de contrôle (a et h), ce qui implique notamment la tenue d’un registre international des violations de données (avertissements, sanctions, mesures prises, etc…(u) ;

- des missions d’information et de conseil à l’égard du public (b), à l’égard des autorités législatives et exécutives (c) et à l’égard des responsables et des sous-traitants (d) ; et sur les évolutions technologiques liées à la protection des données personnelles (i).

- Des missions de traitement et de gestion des plaintes et des réclamations (f)), ce qui implique notamment la mise à disposition de formulaire de réclamation (§ 2.).

- Des missions d’assistance mutuelle aux autres autorités nationales (g);

- Des missions relatives à la certification, aux règles d’entreprises contraignantes (s), aux clauses contractuelles (j et r) et aux codes de conduites (m) : mécanismes de certification de marques et de labels en matière de protection des données (n), approbation, examen régulier des certifications octroyées (o) ; agrément des organismes de certification (p), et des organismes chargés du suivi des codes de conduite (q) ;

- Des missions relatives aux traitements soumis à l’exigence de consultation préalable (k) : conseils (l);

- Des missions relatives aux activités du Comité européen de la protection des données (t) ;

Le paragraphe 5 précise que les missions des autorités de contrôle doivent être gratuites pour les personnes concernées et pour le délégué à la protection des données (§ 3), à moins que les requêtes ne soient manifestement excessives ou infondées, auquel cas l’autorité peut réclamer un montant raisonnable ou refuser d’y donner suite. Il incombe toutefois à l’autorité de démontrer le caractère excessif ou infondé de la requête (§ 4).

La Directive

Sous l’empire de la Directive, chaque autorité nationale de contrôle avait pour mission de surveiller l'application, sur son territoire, des dispositions transposant la Directive adoptées par les États membres (article 28, § 1). A ce titre, elles pouvaient être saisies par toute personne d’une demande de vérification de la licéité d’un traitement de données à caractère personnel ou d’une quelconque demande relative à la protection de ses droits et libertés à l’égard d’un traitement (art. 28, 4).

Lesdites autorités devaient en outre être consultées sur tout projet législatif, administratif ou réglementaire relatif à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel (article 28, § 2).

Belgique

La mission d’avis de la Commission de la protection de la vie privée a été transposée aux articles 29 (avis) et 30 (recommandations) de la loi du 8 décembre 1992 sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée. Par ailleurs, toute personne physique ou morale peut adresser une plainte à la Commission de la protection de la vie privée conformément à l’article 31 de la loi du 8 décembre 1992. En cas de plainte, la Commission intervient en tant que médiateur pour parvenir à une conciliation entre le responsable du traitement et le plaignant (cfr. art. 27 du Règlement d’ordre intérieur de la CPVP). A défaut de conciliation, la Commission émet un avis motivé sur le bien-fondé de la plainte. Elle peut enfin dénoncer au Procureur au Roi les infractions dont elle a connaissance (art. 32, § 2). Elle ne dispose en toute hypothèse pas du pouvoir de prononcer des sanctions lorsqu’elle constate des violations de la loi.

France

En droit français, les missions de la Commission nationale de l'informatique et des libertés sont énumérées à l’article 11 de la loi Informatique et Libertés (information des personnes, respect de la loi, compétence d’avis, etc…). A la différence de son homologue belge, la CNIL dispose de véritables pouvoirs de sanction, tels que le pouvoir de d’infliger notamment des amendes administratives en cas de violation de la loi (cfr. art. 45 de la loi Informatique et Libertés).

Difficultés probables

Les missions des autorités de contrôle augmentent sensiblement avec le nouveau Règlement. Elles opèrent à tous les niveaux de la protection : elles émettent ou aident à l’élaboration des règles, elles informent, elles gèrent les plaintes et réclamations. Elles deviennent ainsi de véritables autorités de régulation. Il faudra leur en donner les moyens, ce qui n’allait pas de soi dans de nombreux Etats Membres.

arrow_back Article précédentArticle 57Article suivant arrow_forward
arrow_back Article précédentArticle 57Article suivant arrow_forward
Règlement
1e 2e

Art. 57

1. Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire:

a) contrôle l'application du présent règlement et veille au respect de celui-ci;

b) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière;

c) conseille, conformément au droit de l'État membre, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement;

d) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

e) fournit, sur demande, à toute personne concernée des informations sur l'exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d'autres États membres;

f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examine l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

g) coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

h) effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique;

i) suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales;

j) adopte les clauses contractuelles types visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d);

k) établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact relative à la protection des données en application de l'article 35, paragraphe 4;

l) fournit des conseils sur les opérations de traitement visées à l'article 36, paragraphe 2;

m) encourage l'élaboration de codes de conduite en application de l'article 40, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l'article 40, paragraphe 5;

n) encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l'article 42, paragraphe 1, et approuve les critères de certification en application de l'article 42, paragraphe 5;

o) procède, le cas échéant, à l'examen périodique des certifications délivrées conformément à l'article 42, paragraphe 7;

p) rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;

q) procède à l'agrément d'un organisme chargé du suivi des codes de conduite en application de l'article 41 et d'un organisme de certification en application de l'article 43;

r) autorise les clauses contractuelles et les dispositions visées à l'article 46, paragraphe 3;

s) approuve les règles d'entreprise contraignantes en application de l'article 47;

t) contribue aux activités du comité;

u) tient des registres internes des violations au présent règlement et des mesures prises conformément à l'article 58, paragraphe 2; et

v) s'acquitte de toute autre mission relative à la protection des données à caractère personnel.

2. Chaque autorité de contrôle facilite l'introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d'autres moyens de communication ne soient exclus.

3. L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.

4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l'autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande.
Proposition 1 close

1. L'autorité de contrôle:

a) contrôle et assure l’application du présent règlement;

b) reçoit les réclamations introduites par toute personne concernée ou par une association la représentant conformément à l'article 73, examine l'affaire pour autant que de besoin et informe la personne concernée ou l'association de l'état d'avancement de l'affaire et de l'issue de la réclamation dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

c) partage des informations avec d'autres autorités de contrôle, leur fournit une assistance mutuelle et veille à la cohérence de l’application du présent règlement et des mesures prises pour en assurer le respect;

d) effectue des enquêtes, soit de sa propre initiative, soit à la suite d'une réclamation ou à la demande d'une autre autorité de contrôle, et informe la personne concernée, si elle l'a saisie d'une réclamation, du résultat de ses enquêtes dans un délai raisonnable;

e) surveille les faits nouveaux présentant un intérêt, dans la mesure où ils ont une incidence sur la protection des données à caractère personnel, notamment l'évolution des technologies de l'information et des communications et celle des pratiques commerciales;

f) est consultée par les institutions et organes de l’État membre sur les mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel;

g) autorise les traitements prévus à l’article 34 et est consultée à leur sujet;

h) émet un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2;

i) approuve les règles d'entreprise contraignantes conformément à l'article 43; j) participe aux activités du comité européen de la protection des données.

2. Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière.

3. L'autorité de contrôle, sur demande, conseille toute personne concernée dans l'exercice des droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres.

4. Pour les réclamations visées au paragraphe 1, point b), l’autorité de contrôle fournit un formulaire de réclamation qui peut être rempli par voie électronique, sans exclure d'autres moyens de communication.

5. L'accomplissement des fonctions de l'autorité de contrôle est gratuit pour la personne concernée.

6. Lorsque les demandes sont manifestement excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut exiger le paiement de frais ou ne pas prendre les mesures sollicitées par la personne concernée. Il incombe à l'autorité de contrôle d'établir le caractère manifestement excessif de la demande.

 
Proposition 2 close

1. Sans préjudice des autres missions prévues dans le cadre du présent règlement, chaque autorité de contrôle, sur son territoire:

a) contrôle l'application du présent règlement et veille au respect de celui-ci;

a bis) favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement des données à caractère personnel. Les activités destinées spécifiquement aux enfants font l'objet d'une attention particulière;

a ter) conseille, conformément à la législation nationale, le parlement national, le gouvernement et d'autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement des données à caractère personnel;

a quater) encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

a quinquies) fournit des informations, sur demande, à toute personne concernée sur l'exercice de ses droits découlant du présent règlement et, si nécessaire, coopère à cette fin avec les autorités de contrôle d'autres États membres;

b) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association la représentant, conformément à l'article 73, examine l'objet de la réclamation, dans la mesure nécessaire, et informe la personne concernée ou l'organisme, l'organisation ou l'association de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

c) coopère avec d'autres autorités de contrôle, y compris en partageant des informations, et leur fournit une assistance mutuelle en vue d'assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

d) effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique;

e) suit les évolutions présentant un intérêt, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l'information et de la communication et des pratiques commerciales;

f) adopte les clauses contractuelles types visées à l'article 26, paragraphe 2 quater;

f bis) établit une liste concernant l'exigence d'une analyse d'impact relative à la protection des données conformément à l'article 33, paragraphe 2 bis;

g) fournit des conseils sur les traitements visés à l'article 34, paragraphe 3;

g bis) encourage l'élaboration de codes de conduite conformément à l'article 38, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, conformément à l'article 38, paragraphe 2;

g ter) encourage la mise en place de mécanismes de certification ainsi que de marques et de labels en matière de protection des données, et approuve les critères de certification conformément à l'article 39, paragraphe 2 bis;

g quater) procède, le cas échéant, à l'examen périodique des certifications octroyées conformément à l'article 39, paragraphe 4;

h) rédige et publie les critères d'agrément d'un organisme chargé du suivi des codes de conduite conformément à l'article 38 bis et d'un organisme de certification conformément à l'article 39 bis;

h bis) procède à l'agrément d'un organisme chargé du suivi des codes de conduite conformément à l'article 38 bis et d'un organisme de certification conformément à l'article 39 bis;

h ter) autorise les clauses contractuelles visées à l'article 42, paragraphe 2 bis, point a);

i) approuve les règles d'entreprise contraignantes conformément à l'article 43;

j) contribue aux activités du comité européen de la protection des données; k) s'acquitte de toute autre mission relative à la protection des données à caractère personnel.

2. (...)

3. (…).

4. Chaque autorité de contrôle facilite l'introduction des réclamations visées au paragraphe 1, point b), par des mesures telles que la fourniture d'un formulaire de réclamation qui peut être rempli également par voie électronique, sans que d'autres moyens de communication soient exclus.

5. L'accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et pour le délégué à la protection des données, le cas échéant.

6. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l'autorité de contrôle peut refuser de donner suite à la demande. Il incombe à l'autorité de contrôle d'établir le caractère manifestement infondé ou excessif de la demande.
Directive close

Art. 28

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

(…).

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

(…).
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

 

Art. 8

 

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l'article 40 du code de procédure pénale, lorsqu'elle acquiert connaissance d'un crime ou d'un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il est tenu compte d'une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques et numériques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l'Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l'Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.
Ancienne loi
en France close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 11

Version initiale

Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés à l'article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

g) (Abrogé)

h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;

3° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés.A la demande du président de l'une des commissions permanentes prévue à l'article 43 de la Constitution, l'avis de la commission sur tout projet de loi est rendu public ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.

Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République, au Premier ministre et au Parlement un rapport public rendant compte de l'exécution de sa mission.

Art. 11

Modifié par la loi n°2018-493 du 20 juin 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 26 et 27 ;

a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ;

b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il en est tenu compte, le cas échéant, pour la mise en œuvre des sanctions prévues au chapitre VII de la présente loi.

h) Elle répond aux demandes ou saisines prévues aux articles 41, 42 et 70-22 ;

i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ;

j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.

Décret d'application.

CF  TITRE IV du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978.

Belgique
Ancienne loi

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 4§1

§ 1er. L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.

  Sans préjudice des compétences des Gouvernements de communauté et de région, des Parlements de communauté et de région, du Collège réuni et de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, l'Autorité de protection des données exerce cette mission, indépendamment du droit national applicable au traitement concerné, sur l'ensemble du territoire du Royaume.

Art. 20

§ 1er. Le secrétariat général a également pour tâches exécutives de:
  1° surveiller les développements sociaux, économiques et technologiques qui ont un impact sur la protection des données à caractère personnel;
  2° établir la liste des traitements qui requièrent une analyse d'impact relative à la protection des données;
  3° formuler des avis dans le cadre d'une analyse d'impact relative à la protection des données à un responsable du traitement dans le cadre d'une consultation par le responsable du traitement de l'Autorité de protection des données;
  4° approuver les codes de conduite ;
  5° promouvoir l'introduction de mécanismes de certification et approuver les critères de certification;
  6° établir et faire connaître les critères pour l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679 et d'un organe de certification sur la base de l'article 43 du Règlement 2016/679;
  7° veiller à l'agrément d'un organe de contrôle des codes de conduite, sur la base de l'article 41 du Règlement 2016/679;
  8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes.
 § 2. Les tâches mentionnées dans le paragraphe 1er, 4° à 8°, sont exécutées conformément à la réglementation européenne et internationale en vigueur.

Art. 22 

§ 1er. Le service de première ligne:
  1° reçoit les plaintes et demandes adressées à l'Autorité de protection des données;
  2° peut lancer une procédure de médiation;
  3° promeut la protection des données auprès du public, en accordant une attention spécifique aux mineurs;
  4° promeut auprès des responsables de traitement et des sous-traitants la prise de conscience de leurs obligations;
  5° fournit des informations relatives à l'exercice de leurs droits aux personnes concernées.
 § 2. Le service de première ligne est dirigé par le directeur du service de première ligne.

Art. 23§1

§ 1er. Le centre de connaissances émet soit d'initiative, soit sur demande du gouvernement, des Chambres législatives, des Gouvernements de communauté ou de région, des Parlements de communauté ou de région, du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises:

1° des avis sur toute question relative aux traitements de données à caractère personnel;
2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.

Art. 58 alinéa 2

Toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l'Autorité de protection des données.

L'Autorité de protection des données établit un formulaire à ces fins.

Art. 59

Le dépôt d'une plainte et d'une requête est sans frais.

Art. 63 4°

 Le service d'inspection peut être saisi:

4° sur demande du comité de direction, pour coopérer avec une autorité de protection des données d'un autre Etat;

  1° des avis sur toute question relative aux traitements de données à caractère personnel;

  2° des recommandations relatives aux développements sociaux, économiques et technologiques qui peuvent avoir une incidence sur les traitements de données à caractère personnel.
Ancienne loi
en Belgique close

Art. 29

§ 1er. La Commission émet soit d'initiative, soit sur demande du Gouvernement, des Chambres législatives, des (Gouvernements de communauté ou de région), des (Parlements de communauté ou de région), du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloise ou d'un comité de surveillance, des avis sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

§ 2. Toute demande est adressée à la Commission par pli recommandé à la poste.

Sauf si la loi en dispose autrement, la Commission émet ses avis dans un délai de soixante jours après que toutes les données nécessaires à cet effet lui auront été communiquées.

§ 3. Dans tous les cas ou l'avis de la Commission est requis par ou en vertu d'une loi, d'un décret ou d'une ordonnance, il peut être dérogé à cette obligation lorsque l'avis n'a pas été rendu dans le délai prévu au paragraphe 2.

Dans les cas où l'avis de la Commission est requis par une disposition de la présente loi, à l'exception de l'article 11, le délai visé au § 2 est réduit à quine jours au minimum dans des cas d'urgence spécialement motivés.

§ 4. Les avis de la Commission sont motivés.

§ 5. La Commission communique son avis à l'autorité concernée.

Une copie de l'avis est adressée au Ministre de la Justice.

Dans les cas où l'avis de la Commission est requis, l'avis doit être publié au Moniteur belge en même temps que l'acte réglementaire auquel il se rapporte.

Art. 30

§ 1er. La Commission peut émettre, soit d'initiative, soit sur demande du Gouvernement, des Chambres législatives, des (Gouvernements de communauté ou de région), des (Parlements de communauté ou de région), du Collège réuni ou de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux institutions bruxelloises ou d'un comité de surveillance, des recommandations sur toute question relative à l'application des principes fondamentaux de la protection de la vie privée dans le cadre de la présente loi, ainsi que des lois contenant des dispositions relatives à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

§ 2. Avant d'adresser une recommandation au (responsable du traitement), la Commission lui donne l'occasion de faire connaître son point de vue.

§ 3. Les recommandations de la Commission sont motivées. Une copie de chaque recommandation est transmise au Ministre de la Justice.

Art. 31

§ 1er. Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi.

§ 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense.

§ 3. La Commission examine la recevabilité de la plainte. Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile. En cas de conciliation des parties, fondée sur le respect de la vie privée, elle dresse un procès-verbal dans lequel la solution retenue est explicitée. En l'absence de conciliation, la Commission émet un avis sur la caractère fondé de la plainte. Son avis peut être accompagné de recommandations à l'intention du (responsable du traitement)

§ 4. Les décisions, avis et recommandations de la Commission sont motivés.

§ 5. La Commission communique sa décision, son avis ou ses recommandations au plaignant, au (responsable du traitement) et à toutes les autres parties à la cause.  Une copie de la décision, de l'avis des recommandations est adressée au Ministre de la Justice.

Art. 31bis

§ 1er. La loi institue au sein de la Commission des comités sectoriels compétents pour instruire et statuer sur des demandes relatives au traitement ou à la communication de données faisant l'objet de législations particulières, dans les limites déterminées par celle-ci.

§ 2. Sans préjudice de l'article 37 de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale, chaque comité sectoriel est composé de trois membres de la Commission, effectifs ou suppléants, dont le président ou un membre désigné en qualité de président par la commission ainsi que de trois membres externes désignés par la Chambre des représentants conformément aux conditions et modalités prévues par ou en vertu de la législation particulière qui régit le comité concerné. En cas de parité des voix, la voix du président est prépondérante.

Le fonctionnaire dirigeant de l'institution de gestion du secteur concerné peut être invité aux réunions du comité avec voix consultative.

§ 3. Les demandes relatives au traitement ou à la communication de données réglementées par une législation particulière, introduites auprès de la Commission, sont transmises par celle-ci au comité sectoriel compétent s'il a été constitué ainsi qu'à l'institution de gestion du secteur concerné; celle-ci transmet au comité un avis technique et juridique endéans les quinze jours et pour autant que le dossier soit en état. Le comité statue, sous la même réserve, endéans les trente jours de la réception de cet avis ou, le cas échéant, de l'expiration du délai de quinze jours précité; à défaut, sa décision est réputée conforme à l'avis technique et juridique précité.

Si une demande visée à l'alinéa précédent doit être traitée, pour raisons urgentes, dans un délai plus court que celui fixé à cet alinéa, le président communique, le plus rapidement possible, la demande, l'avis juridique et technique et le projet de décision aux membres, lesquels sont invités à communiquer au président, dans le délai qu'il détermine, leur position quant au projet de décision.

Le projet de décision ne devient définitif que si aucun membre ne fait connaître, dans le délai prescrit par le président, son désaccord avec les éléments essentiels de ce projet. Si les circonstances le justifient, le président organise une réunion extraordinaire du comité sectoriel. Le président apprécie, en concertation avec le fonctionnaire dirigeant de l'institution concernée, l'existence de raisons urgentes de nature à justifier l'application des deux alinéas précédents. Sans préjudice de l'article 44 de la loi précitée du 15 janvier 1990, le président du comité peut décider de suspendre l'examen d'un dossier afin de le soumettre à la Commission qui rend sa décision dans le délai d'un mois.

§ 4. Hors le cas où elle est assumée par le président ou le vice-président de la Commission, la présidence d'une section donne droit à un double jeton de présence.

§ 5. Sans préjudice de l'article 41 de la loi précitée du 15 janvier 1990, les Comités sectoriels sont établis et se réunissent au siège de la Commission, sauf si l'institution de gestion concernée demande que le comité sectoriel dont elle relève soit établi et se réunisse auprès d'elle.

La Commission peut accéder à cette demande, pour autant que l'institution de gestion mette préalablement à la disposition du président du comité sectoriel les bureaux et moyens bureautiques nécessaires au fonctionnement dudit comité et à sa présidence, un secrétaire que le président choisit en concertation avec le fonctionnaire dirigeant de l'institution concernée ainsi que du personnel spécialisé, notamment des juristes et des informaticiens, dans la mesure requise par la réalisation des missions du comité sectoriel. Le président du comite sectoriel a la responsabilité fonctionnelle de ce personnel en ce qui concerne les tâches qu'il assume pour ce comité.
arrow_back Article précédentArticle 57Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK