mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 63
Article suivantarrow_forward

Mécanisme de contrôle de la cohérence

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 63 expand_more Cacher les articles et mots clés liés à l’article 63 expand_less

Mots clés liés à l'article 63

Afficher les considérants du Règlement liés à l'article 63 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 63 keyboard_arrow_up

(135) Afin de garantir l'application cohérente du présent règlement dans l'ensemble de l'Union, il y a lieu d'instaurer un mécanisme de contrôle de la cohérence pour la coopération entre les autorités de contrôle. Ce mécanisme devrait notamment s'appliquer lorsqu'une autorité de contrôle entend adopter une mesure destinée à produire des effets juridiques en ce qui concerne des opérations de traitement qui affectent sensiblement un nombre important de personnes concernées dans plusieurs États membres. Il devrait également s'appliquer lorsqu'une autorité de contrôle concernée ou la Commission demande que cette question soit traitée dans le cadre du mécanisme de contrôle de la cohérence. Ce mécanisme devrait s'appliquer sans préjudice des éventuelles mesures que la Commission peut prendre dans l'exercice des compétences que lui confèrent les traités.

(136) Dans le cadre de l'application du mécanisme de contrôle de la cohérence, le comité devrait émettre un avis, dans un délai déterminé, si une majorité de ses membres le décide ou s'il est saisi d'une demande en ce sens par une autorité de contrôle concernée ou par la Commission. Le comité devrait également être habilité à adopter des décisions juridiquement contraignantes en cas de litiges entre autorités de contrôle. À cet effet, il devrait prendre, en principe à la majorité des deux tiers de ses membres, des décisions juridiquement contraignantes dans des cas clairement définis, en cas de points de vue divergents parmi les autorités de contrôle, notamment dans le cadre du mécanisme de coopération entre l'autorité de contrôle chef de file et les autorités de contrôle concernées, sur le fond de l'affaire et en particulier sur la question de savoir s'il y a ou non violation du présent règlement.

(137) Il peut être nécessaire d'intervenir en urgence pour protéger les droits et libertés des personnes concernées, en particulier lorsque le danger existe que l'exercice du droit d'une personne concernée pourrait être considérablement entravé. En conséquence, une autorité de contrôle devrait pouvoir adopter, sur son territoire, des mesures provisoires dûment justifiées et d'une durée de validité déterminée qui ne devrait pas excéder trois mois.

(138) L'application d'un tel mécanisme devrait conditionner la légalité d'une mesure destinée à produire des effets juridiques prise par une autorité de contrôle dans les cas où cette application est obligatoire. Dans d'autres cas présentant une dimension transfrontalière, le mécanisme de coopération entre l'autorité de contrôle chef de file et les autorités de contrôle concernées devrait être appliqué, et l'assistance mutuelle ainsi que des opérations conjointes pourraient être mises en oeuvre entre les autorités de contrôle concernées, sur une base bilatérale ou multilatérale, sans faire jouer le mécanisme de contrôle de la cohérence.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 63.

Guidelines

Ici viendront les guidelines

Retour au sommaire
arrow_back Article précédentArticle 63Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Jurisprudence de la CJUE

C-645/19 (15 juin 2021) - Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

 

1) L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.  

 
 

2) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.

 
 

3) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée.

 
 

4) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.

 
 

5) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire
arrow_back Article précédentArticle 63Article suivant arrow_forward

Le GDPR

L’article 63 introduit le principe du contrôle de la cohérence selon lequel les autorités de contrôle doivent coopérer entre elles et, le cas échéant, avec la Commission au travers des mécanismes mis en œuvre par les articles 64 à 67, en vue d’assurer à la cohérence globale de l’application du Règlement au travers de l’Union.

Nous exposerons en détail le fonctionnement de ces différents mécanismes dans les commentaires suivants. On observe d’ores et déjà que ces mécanismes consistent à :

- solliciter l’avis du Comité européen de la protection des données sur certains projets de décisions des autorités nationales avant leur adoption (art. 64) ;

- solliciter l’avis obligatoire du Comité européen pour la protection des données en cas de différends entre autorités nationales (art. 65) ;

- permettre à une autorité, dans certains cas, d’adopter des mesures provisoires selon une procédure d’urgence (art. 66, § 1), voir même des mesures définitives après avoir requis l’avis urgent du Comité européen (art. 66, § 2).

La Directive

La Directive n’organisait aucun contrôle de cohérence pour les autorités de contrôle.

Difficultés probables

L’idée de mettre en place un système garantissant la cohérence de l’application du Règlement est essentielle, notamment au vu de l’existence, malgré la forme du Règlement, d’une réelle marge de manœuvre laissée aux États dans l’application du Règlement. Espérons néanmoins que le système ne soit pas trop lourd et n’ait pas comme conséquence de ralentir considérablement le processus de décision des autorités nationales.

arrow_back Article précédentArticle 63Article suivant arrow_forward
arrow_back Article précédentArticle 63Article suivant arrow_forward
Règlement
1e 2e

Art. 63

Afin de contribuer à l'application cohérente du présent règlement dans l'ensemble de l'Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.
Proposition 1 close

Art. 57

Aux fins visées à l’article 46, paragraphe 1, les autorités de contrôle coopèrent entre elles et avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.

Art. 58

1. Avant d'adopter une mesure visée au paragraphe 2, toute autorité de contrôle communique le projet de mesure au comité européen de la protection des données et à la Commission.

2. L’obligation énoncée au paragraphe 1 s'applique à toute mesure destinée à produire des effets juridiques et qui: a) se rapporte aux traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou à l’observation de leur comportement; ou b) est susceptible d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union; ou c) vise à l'adoption d'une liste des traitements devant faire l'objet d'une consultation préalable conformément à l’article 34, paragraphe 5, ou d) vise à la détermination de clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c), ou e) vise à l'autorisation de clauses contractuelles telles que celles visées à l'article 42, paragraphe 2, point d), ou f) vise à l'approbation de règles d’entreprise contraignantes au sens de l'article 43.

3. Toute autorité de contrôle ou le comité européen de la protection des données peut demander que toute question soit traitée dans le cadre du mécanisme de contrôle de la cohérence, notamment lorsqu'une autorité de contrôle omet de soumettre pour examen un projet de mesure visé au paragraphe 2 ou ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou aux opérations conjointes découlant de l'article 56.

4. En vue d'assurer l'application correcte et cohérente du présent règlement, la Commission peut demander que toute question soit examinée dans le cadre du mécanisme de contrôle de la cohérence.

5. Les autorités de contrôle et la Commission communiquent par voie électronique, au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de mesure et les motifs rendant nécessaire l'adoption de la mesure.

6. Le président du comité européen de la protection des données transmet sans délai aux membres du comité européen de la protection des données et à la Commission toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le président du comité européen de la protection des données fournit, si nécessaire, des traductions des informations utiles.

7. Si ses membres en décident ainsi à la majorité simple, ou à la demande de toute autorité de contrôle ou de la Commission, le comité européen de la protection des données émet un avis sur l'affaire dans un délai d'une semaine après la communication des informations utiles conformément au paragraphe 5. L'avis est adopté dans un délai d’un mois à la majorité simple des membres du comité européen de la protection des données. Le président du comité européen de la protection des données informe sans retard indu l’autorité de contrôle visée, selon le cas, au paragraphe 1 ou au paragraphe 3, la Commission et l'autorité de contrôle compétente en vertu de l'article 51 de l'avis et le publie.

8. L’autorité de contrôle visée au paragraphe 1 et l'autorité de contrôle compétente en vertu de l'article 51 tiennent compte de l'avis du comité européen de la protection des données et communiquent par voie électronique au président du conseil européen de la protection des données et à la Commission, dans un délai de deux semaines après avoir été informée de l'avis par ledit président, si elles maintiennent ou modifient le projet de mesure, et, le cas échéant, communiquent le projet de mesure modifié, au moyen d'un formulaire type.
Proposition 2 close

1. Aux fins visées à l'article 46, paragraphe 1 bis, les autorités de contrôle coopèrent entre elles dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section.

2. Le comité européen de la protection des données émet un avis chaque fois qu'une autorité de contrôle compétente envisage d'adopter l'une des mesures ci-après (...). À cet effet, l'autorité de contrôle compétente communique le projet de décision au comité européen de protection des données, lorsque ce projet:

a) (…);

b) (…);

c) vise à adopter une liste de traitements soumis à l'exigence d'une analyse d'impact relative à la protection des données conformément à l'article 33, paragraphe 2 ter;

c bis) concerne la question de savoir, au titre de l'article 38, paragraphe 2 ter, si un code de conduite, la modification ou la prorogation d'un code de conduite sont conformes au présent règlement;

c ter) vise à approuver les critères d'agrément d'un organisme, conformément à l'article 38 bis, paragraphe 3, ou d'un organisme de certification, conformément à (...) l'article 39 bis, paragraphe 3;

d) vise à fixer des clauses types de protection des données telles que celles visées à l'article 42, paragraphe 2, point c);

 e) vise à autoriser les clauses contractuelles visées à l'article 42, paragraphe 2, point d); ou f) vise à approuver des règles d'entreprise contraignantes au sens de l'article 43.

3. Le comité européen de la protection des données adopte une décision contraignante dans les cas suivants:

a) lorsque, dans un cas visé à l'article 54 bis, paragraphe 3, une autorité de contrôle concernée a formulé une objection pertinente et motivée à un projet de décision de l'autorité chef de file ou que l'autorité chef de file a rejeté une objection comme étant non pertinente et/ou non motivée. La décision contraignante concerne toutes les questions qui font l'objet de l'objection pertinente et motivée, notamment celle de savoir s'il y a infraction au règlement;

b) lorsqu'il existe des points de vue divergents quant à l'autorité de contrôle concernée compétente pour l'établissement principal;

c) (...)

d) lorsqu'une autorité de contrôle compétente ne demande pas l'avis du comité européen de la protection des données dans les cas visés au paragraphe 2 ou qu'elle ne suit pas l'avis émis par le comité européen de la protection des données en vertu de l'article 58. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le comité européen de la protection des données.

4. Toute autorité de contrôle, le président du comité européen de la protection des données ou la Commission peuvent demander que toute question d'application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité européen de la protection des données en vue d'obtenir un avis, en particulier lorsqu'une autorité de contrôle compétente ne respecte pas les obligations relatives à l'assistance mutuelle découlant de l'article 55 ou les obligations relatives aux opérations conjointes découlant de l'article 56.

5. Les autorités de contrôle et la Commission communiquent au comité européen de la protection des données, par voie électronique et au moyen d'un formulaire type, toutes les informations utiles, notamment, selon le cas, un résumé des faits, le projet de décision, les motifs rendant nécessaire l'adoption de cette mesure et les points de vue des autres autorités de contrôle concernées.

6. Le président du comité européen de la protection des données transmet, dans les meilleurs délais, aux membres de ce comité et à la Commission, toutes les informations utiles qui lui ont été communiquées, par voie électronique et au moyen d'un formulaire type. Le secrétariat du comité européen de la protection des données fournit, si nécessaire, les traductions des informations utiles.
Directive close

Pas de disposition correspondante
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 24

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l'informatique et des libertés met en œuvre des procédures de coopération et d'assistance mutuelle avec les autorités de contrôle des autres Etats membres de l'Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D'exercer ses prérogatives en tant qu'autorité concernée, au sens de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d'émettre une objection pertinente et motivée au projet de décision d'une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu'autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d'arrêter la décision au nom de la commission.
Ancienne loi
en France close

Pas de disposition correspondante
Belgique
Ancienne loi

Aucune disposition spécifique
Ancienne loi
en Belgique close

Pas de disposition correspondante
arrow_back Article précédentArticle 63Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK