menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 51
Article suivantarrow_forward

Autorité de contrôle

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 51 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 51 keyboard_arrow_up

Mots clés liés à l'article 51

Afficher les considérants du Règlement liés à l'article 51 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 51 keyboard_arrow_up

(117) La mise en place d'autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative.

(118) L'indépendance des autorités de contrôle ne devrait pas signifier que celles-ci ne peuvent être soumises à des mécanismes de contrôle ou de suivi de leur gestion financière ni à un contrôle juridictionnel.

(119) Lorsqu'un État membre met en place plusieurs autorités de contrôle, il devrait établir par la loi des dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait en particulier désigner l'autorité de contrôle qui sert de point de contact unique, permettant une participation efficace de ces autorités au mécanisme, afin d'assurer une coopération rapide et aisée avec les autres autorités de contrôle, le comité et la Commission.

Afficher les considérants de la Directive 95/46 liés à l'article 51 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 51 keyboard_arrow_up

(62) considérant que l'institution, dans les États membres, d'autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel.

Le GDPR

Tout comme le prévoyait la Directive, le Règlement, en son article 51, fait obligation aux États membres de mettre en place une ou plusieurs autorités de contrôle indépendantes, chargée(s) de surveiller l’application du Règlement.

L’autorité de contrôle est définie à l’article 4 21, comme « une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51 ».

La version finale du Règlement précise que ces autorités visent à, d’une part à protéger les droits et libertés fondamentaux des personnes lors du traitement de leurs données à caractère personnel et, d’autre part à faciliter la libre circulation des données au sein de l’Union (§ 1).

Selon le paragraphe 2, chaque autorité doit contribuer à garantir l’application uniforme du Règlement au sein de l’Union. A cette fin, elles doivent coopérer entre elles et avec la commission, conformément aux mécanismes prévus par le chapitre VII.

On notera que le Règlement autorise expressément les États membres à créer plusieurs autorités de contrôle (§ 3). Dans ce cas, l’État membre doit désigner laquelle sera chargée de représenter les autres autorités nationales au comité européen de la protection des données. L’État membre doit également définir le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 63.

Toutes les dispositions adoptées par un État membre en vertu du chapitre VI doivent être notifiées à la Commission au plus tard deux ans après l’entrée en vigueur du Règlement, soit le vingtième jour suivant sa publication au Journal officiel de l’Union européenne (art. 99). Toute modification ultérieure doit être notifiée sans délai à la Commission.

La Directive

La Directive avait érigé en élément essentiel de la protection des données la constitution dans chaque État membre d’une autorité de contrôle chargée de surveiller l'application, sur son territoire, de la législation nationale protectrice des données à caractère personnel.

Le second paragraphe de l’article 28 de la Directive précisait déjà que les missions confiées à ces autorités devaient être exercées en toute indépendance.

Les États membres ont donc chacun créé une autorité nationale de contrôle compétente en matière de protection des données à caractère personnel.

France

Le Législateur français a créé par la loi Informatique et Libertés une autorité administrative indépendante, intitulée « la Commission nationale de l'informatique et des libertés ».

Difficultés probables ?

On ne voit pas a priori de difficultés particulières d’implémentation.

arrow_back Article précédentArticle 51Article suivant arrow_forward
arrow_back Article précédentArticle 51 Article suivant arrow_forward

Sommaire

Union Européenne

Belgique

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à l’autorité chef de file - n°4/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Lien

Retour au sommaire
arrow_back Article précédent Article 51 Article suivant arrow_forward

Sommaire

Union Européenne

France

Union Européenne

Jurisprudence de la CJUE

C-518/07 (9 mars 2010) - Commission v Germany

1)      La République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

2)      La République fédérale d’Allemagne est condamnée à supporter les dépens de la Commission européenne.

3)      Le Contrôleur européen de la protection des données supporte ses propres dépens.

Conclusions de l'Avocat général

Arrêt rendu

C-614/10 (16 octobre 2012) - Commission v Austria

1)      En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel

–        le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,

–        le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et

–        le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,

la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2)      La République d’Autriche est condamnée à supporter les dépens de la Commission européenne.

3)      La République fédérale d’Allemagne et le Contrôleur européen de la protection des données supportent leurs propres dépens.

Conclusions de l'Avocat général

Arrêt rendu

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-210/16 ( 5 juin 2018) - Wirtschaftsakademie Schleswig-Holstein

 1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

2 ) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Conclusions de l'avocat général

Arrêt rendu

C-252/21 (4 juillet 2023), Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)

1)      Les articles 51 et suivants du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), ainsi que l’article 4, paragraphe 3, TUE

doivent être interprétés en ce sens que :

sous réserve du respect de son obligation de coopération loyale avec les autorités de contrôle, une autorité de la concurrence d’un État membre peut constater, dans le cadre de l’examen d’un abus de position dominante de la part d’une entreprise, au sens de l’article 102 TFUE, que les conditions générales d’utilisation de cette entreprise relatives au traitement des données à caractère personnel et leur mise en œuvre ne sont pas conformes à ce règlement, lorsque ce constat est nécessaire pour établir l’existence d’un tel abus.

Au vu de cette obligation de coopération loyale, l’autorité de la concurrence nationale ne peut s’écarter d’une décision de l’autorité de contrôle nationale compétente ou de l’autorité de contrôle chef de file compétente relative à ces conditions générales ou à des conditions générales similaires. Lorsqu’elle nourrit des doutes à l’égard de la portée d’une telle décision, lorsque lesdites conditions ou des conditions similaires font, en même temps, l’objet d’un examen de la part de ces autorités, ou encore lorsque, en l’absence d’enquête ou de décision desdites autorités, l’autorité de la concurrence considère que les conditions en cause ne sont pas conformes au règlement 2016/679, elle doit consulter ces mêmes autorités de contrôle et solliciter leur coopération, afin de lever ses doutes ou de déterminer s’il y a lieu d’attendre l’adoption d’une décision de leur part avant d’entamer sa propre appréciation. En l’absence d’objection de leur part ou de réponse dans un délai raisonnable, l’autorité de la concurrence nationale peut poursuivre sa propre enquête.

2)      L’article 9, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

dans le cas où un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à cette disposition et, le cas échéant, y insère des données en s’inscrivant ou en effectuant des commandes en ligne, le traitement de données à caractère personnel par l’opérateur de ce réseau social en ligne, consistant en la collecte, au moyen d’interfaces intégrées, de cookies ou de technologies d’enregistrement similaires, des données issues de la consultation de ces sites et de ces applications ainsi que des données insérées par l’utilisateur, en la mise en relation de l’ensemble de ces données avec le compte du réseau social de celui-ci et en l’utilisation desdites données par cet opérateur, doit être considéré comme un « traitement portant sur des catégories particulières de données à caractère personnel », au sens de ladite disposition, qui est en principe interdit, sous réserve des dérogations prévues à cet article 9, paragraphe 2, lorsque ce traitement de données permet de révéler des informations relevant d’une de ces catégories, que ces informations concernent un utilisateur de ce réseau ou toute autre personne physique.

3)      L’article 9, paragraphe 2, sous e), du règlement 2016/679

doit être interprété en ce sens que :

lorsqu’un utilisateur d’un réseau social en ligne consulte des sites Internet ou des applications en rapport avec une ou plusieurs des catégories visées à l’article 9, paragraphe 1, de ce règlement, il ne rend pas manifestement publiques, au sens de la première de ces dispositions, les données relatives à cette consultation, collectées par l’opérateur de ce réseau social en ligne à travers des cookies ou des technologies d’enregistrement similaires.

Lorsqu’il insère des données dans de tels sites Internet ou dans de telles applications ou lorsqu’il active des boutons de sélection intégrés à ces sites et à ces applications, tels que les boutons « j’aime » ou « partager » ou les boutons permettant à l’utilisateur de s’identifier sur ces sites ou ces applications en utilisant les identifiants de connexion liés à son compte d’utilisateur du réseau social, son numéro de téléphone ou son adresse électronique, un tel utilisateur ne rend manifestement publiques, au sens de cet article 9, paragraphe 2, sous e), les données ainsi insérées ou résultant de l’activation de ces boutons que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes.

4)      L’article 6, paragraphe 1, premier alinéa, sous b), du règlement 2016/679

doit être interprété en ce sens que :

le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire à l’exécution d’un contrat auquel les personnes concernées sont parties, au sens de cette disposition, qu’à la condition que ce traitement soit objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à ces mêmes utilisateurs, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement.

5)      L’article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679

doit être interprété en ce sens que :

le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, qu’à la condition que ledit opérateur ait indiqué aux utilisateurs auprès desquels les données ont été collectées un intérêt légitime poursuivi par leur traitement, que ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et qu’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux de ces utilisateurs ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers.

6)      L’article 6, paragraphe 1, premier alinéa, sous c), du règlement 2016/679

doit être interprété en ce sens que :

le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, est justifié, au titre de cette disposition, lorsqu’il est effectivement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, en vertu d’une disposition du droit de l’Union ou du droit de l’État membre concerné, que cette base juridique répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi et que ce traitement est opéré dans les limites du strict nécessaire.

7)      L’article 6, paragraphe 1, premier alinéa, sous d) et sous e), du règlement 2016/679

doit être interprété en ce sens que :

le traitement de données à caractère personnel effectué par un opérateur d’un réseau social en ligne, consistant en la collecte de données des utilisateurs d’un tel réseau issues d’autres services du groupe auquel appartient cet opérateur ou issues de la consultation par ces utilisateurs de sites Internet ou d’applications tiers, en la mise en relation de ces données avec le compte du réseau social desdits utilisateurs et en l’utilisation desdites données, ne peut, en principe et sous réserve d’une vérification à effectuer par la juridiction de renvoi, être considéré comme étant nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, au sens du point d), ou à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens du point e).

8)      L’article 6, paragraphe 1, premier alinéa, sous a), et l’article 9, paragraphe 2, sous a), du règlement 2016/679

doivent être interprétés en ce sens que :

la circonstance que l’opérateur d’un réseau social en ligne occupe une position dominante sur le marché des réseaux sociaux en ligne ne fait pas obstacle en tant que telle à ce que les utilisateurs d’un tel réseau puissent valablement consentir, au sens de l’article 4, point 11, de ce règlement, au traitement de leurs données à caractère personnel, effectué par cet opérateur. Cette circonstance constitue néanmoins un élément important pour déterminer si le consentement a effectivement été donné valablement et, notamment, librement, ce qu’il incombe audit opérateur de prouver.

Arrêt rendu

Conclusions de l'avocat général

Retour au sommaire Retour au sommaire

France

Jurisprudence française

CE Fr., n°290593 (2 juillet 2007)

1. Les dispositions de l'article R. 351-30 du code du travail issues du décret n° 2005-1624 du 22 décembre 2005 relatif au suivi de la recherche d'emploi n'ont pas pour objet de définir le cadre général de la protection des droits et libertés des personnes à l'égard du principe du traitement de données à caractère personnel. Elles ne relèvent donc pas des dispositions du 4° de l'article 11 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dont la seule obligation qu'elles instituent est de soumettre à la consultation préalable de la commission nationale de l'informatique et des libertés (CNIL) les projets de textes qui, sans avoir pour objet la création d'un traitement automatisé, définissent le cadre général de la protection des droits et libertés des personnes à l'égard du principe du traitement de données à caractère personnel.

2. Les dispositions de l'article R. 351-30 du code du travail issues du décret n° 2005-1624 du 22 décembre 2005 relatif au suivi de la recherche d'emploi, qui organisent les modalités selon lesquelles les agents chargés du contrôle de la recherche d'emploi par les travailleurs involontairement privés d'emploi ont accès, pour l'exercice de leur mission, à certaines de ces données, parmi lesquelles figure le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques, autorisent des traitements de données à caractère personnel et relèvent ainsi, eu égard à la nature des données en cause, des dispositions de l'article 27 de la loi du 6 janvier 1978. En conséquence, le Gouvernement était tenu de recueillir l'avis motivé de la commission nationale de l'informatique et des libertés, dès lors que les modifications apportées au traitement antérieurement autorisé par décret en Conseil d'Etat, qui portent tant sur le champ des personnes ayant accès à ces données que sur les finalités de ce traitement, étaient substantielles.

3. Il résulte des dispositions de l'article 15 de la loi du 6 janvier 1978 que, si la commission peut déléguer à son président ou à son vice-président certaines de ses attributions, seule la commission réunie en formation plénière peut régulièrement émettre un avis sur les projets de texte qui lui sont soumis par le Gouvernement.

Arrêt rendu

CE Fr., n°319545 (5 décembre 2011)

1) En procédant aux investigations prévues à l'article 41 de la loi n°78-17 du 6 janvier 1978 et en indiquant à l'intéressé qu'aucune information le concernant ne figurait dans les fichiers en question, la CNIL a mis un terme à la procédure d'accès indirect engagée. Elle doit être regardée comme satisfaisant entièrement la demande du demandeur.

2) a) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu'elle mette en œuvre les pouvoirs d'enquête dont elle peut faire usage sur le fondement de l'article 11 de la loi n° 78-17 du 6 janvier 1978, lorsqu'elle est saisie d'une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l'objet d'un recours pour excès de pouvoir.

b) Toutefois, si l'intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l'informatique, aux fichiers et aux libertés et de faire « effacer l'ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d'erreur manifeste d'appréciation en ne donnant pas suite à ces réclamations.

Arrêt rendu

CE Fr., n°391000 (24 février 2017)

Il résulte des dispositions de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, sans préjudice des voies de recours ouvertes devant le juge judiciaire s'agissant des litiges opposant des particuliers aux exploitants d'un moteur de recherche, la CNIL est compétente pour connaître des plaintes formées à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche et, le cas échéant, pour mettre en demeure celui-ci de faire droit à la demande de déréférencement. Ce pouvoir s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

CE Fr., n°452668 (8 avril 2022)

Par la question – réponse n° 12 mise en ligne le 18 mars 2021 sur le site internet de la CNIL, cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n° 78-17 du 6 janvier 1978, quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation.

1) Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question-réponse n° 12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.

2) a) Les opérations d’affiliation sur lesquelles porte la question – réponse n° 12 impliquent l’utilisation de traceurs de connexion afin de déterminer si l’internaute qui a accompli un acte d’achat sur un site marchand s’est connecté sur ce site à partir d’un lien figurant sur celui de l’opérateur affilié. Ces traceurs ont pour seule finalité de permettre la rémunération de l’affilié par l’éditeur du site marchand, le cas échéant par l’intermédiaire d’une plateforme d’affiliation. Ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l’article 82 de la loi du 6 janvier 1978, dès lors qu’aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d’affiliation n’est nécessaire pour qu’un internaute se connecte à un site marchand à partir d’un site édité par un tiers et y effectue un achat.

Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l’affilié par l’éditeur du site marchand ne répond pas à une demande de l’utilisateur.

Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d’un site ou d’un partenariat ne saurait conduire à les ranger dans l’une ou l’autre des exceptions prévues par l’article 82 de la loi du 6 janvier 1978.

Enfin, ces traceurs n’ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l’audience des sites internet.

Par suite, la CNIL n’a pas méconnu l’article 82 de la loi du 6 janvier 1978 en exigeant que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l’utilisation des traceurs en cause.

b) Il ressort des termes de la question-réponse n° 12 que les éléments donnés par cette réponse portent uniquement sur les traceurs de connexion utilisés exclusivement à des fins de facturation des opérations d’affiliation.

Elle ne s’applique ainsi pas aux traceurs de connexion mis en œuvre pour les besoins de services de remboursement, dits de « cashback », ou de récompense, dits de « reward », par lesquels un internaute, après s’être inscrit pour ce type de services auprès de l’éditeur d’un site partenaire, bénéficie d’un remboursement partiel ou d’un avantage, comme des bons de réduction ou des tarifs préférentiels, ou attache une conséquence à son achat, lorsqu’il effectue un acte d’achat sur un site marchand auquel il s’est connecté à partir d’un lien figurant sur ce site partenaire, quand bien même ces mêmes traceurs peuvent également servir à la facturation d’opérations assimilables à l’affiliation entre ces éditeurs.

Les éléments de réponse contestés n’ont donc pas pour objet, et n’auraient pu avoir légalement pour effet, d’exiger que le dépôt et l’utilisation de tels traceurs soient précédés du recueil du consentement de l’internaute, dans la mesure où ils sont alors strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Arrêt rendu

Retour au sommaire
arrow_back Article précédent Article 51 Article suivant arrow_forward
Règlement
1e 2e

Art. 51

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union.

2. Chaque autorité de contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l'article 63.

4. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du présent chapitre, au plus tard, le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute modification ultérieure les affectant.
Proposition 1 close

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits FR 83 FR fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.

2. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données, et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.

3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Proposition 2 close

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement.

1 bis. Chaque autorité de contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union (…). À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

2. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité européen de la protection des données et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.

3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Directive close

Art. 28

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment:

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.
France
compare_arrows
visibility Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 8

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l'article 40 du code de procédure pénale, lorsqu'elle acquiert connaissance d'un crime ou d'un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il est tenu compte d'une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques et numériques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l'Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l'Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.
Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 11

Version initiale

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi.

A ce titre :

a) Elle autorise les traitements mentionnés à l'article 25, donne un avis sur les traitements mentionnés aux articles 26 et 27 et reçoit les déclarations relatives aux autres traitements ;

b) Elle établit et publie les normes mentionnées au I de l'article 24 et édicte, le cas échéant, des règlements types en vue d'assurer la sécurité des systèmes ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

g) (Abrogé)

h) Elle répond aux demandes d'accès concernant les traitements mentionnés aux articles 41 et 42 ;

3° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés.A la demande du président de l'une des commissions permanentes prévue à l'article 43 de la Constitution, l'avis de la commission sur tout projet de loi est rendu public ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.

Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République, au Premier ministre et au Parlement un rapport public rendant compte de l'exécution de sa mission.

Art. 11

Modifié par la loi n°2018-493 du 20 juin 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en oeuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 26 et 27 ;

a bis) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle prend en compte la situation des personnes dépourvues de compétences numériques. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs, et des besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises ; elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel ;

b) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

d) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en oeuvre ou envisagent de mettre en oeuvre des traitements automatisés de données à caractère personnel ;

e) Elle informe sans délai le procureur de la République, conformément à l'article 40 du code de procédure pénale, des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 52 ;

f) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 44, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il en est tenu compte, le cas échéant, pour la mise en œuvre des sanctions prévues au chapitre VII de la présente loi.

h) Elle répond aux demandes ou saisines prévues aux articles 41, 42 et 70-22 ;

i) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 70-4 ;

j) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l'égard du traitement de données à caractère personnel, ou à l'anonymisation de ces données, qui lui sont soumis ;

b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu'elle a précédemment reconnues conformes aux dispositions de la présente loi, au regard du respect des droits fondamentaux des personnes ;

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le Président de l'Assemblée nationale, par le Président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données personnelles prévues par les textes législatifs et règlementaires, le droit de l'Union européenne, y compris le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.
Austria close

All of the following in force until May 25, 2018:

Control Bodies

Data Protection Authority and Data Protection Council

§ 35 DSG 2000

(1) The Data Protection Authority and the Data Protection Council shall safeguard data protection in accordance with the regulations of this federal law without prejudice to the competence of the Federal Chancellor and the courts of law.

(2) (Constitutional provision) The Data Protection Authority shall exercise its functions vis-á-vis the highest executive authorities enumerated in Art. 19 B-VG.

Establishment of the Data Protection Authority

§ 36 DSG 2000

(1) The Data Protection Authority is managed by its head. He is appointed for a term of five years by the Federal President on a proposal of the Federal Government; re-appointments are permitted. The proposal is to be preceded by an advertisement for the position, which permits general applications. The advertisement for the position falls under the responsibility of the Federal Chancellor. The position of the head of the Data Protection Authority shall be advertised on the public career website of the Federal Chancellery. The position shall also be advertised in the official journal “Wiener Zeitung” .

(2) The head of the Data Protection Authority must

1. have completed his study of law and political science,

2. have the necessary personal and professional aptitude through prior education and appropriate professional experience in the matters to be handled by the Data Protection Authority,

3. possess excellent knowledge of Austrian data protection law, European Union law and fundamental rights and

4. have at least five years of professional experience in the legal field.

(3) The following persons may not be appointed head of the Data Protection Authority:

1. Members of the Federal Government, State Secretaries, Members of a Land Government, National Council, Federal Council or any other General Representative Body or of the European Parliament, as well as a member of the Ombudsman Board and the president of the Public Audit Office;

2. anybody who held one of the positions listed in sub-para. 1 in the last two years;

3. anybody who may not be elected for the National Council.

(4) The head of the Data Protection Authority may not exercise any function that casts doubt on his professional independence or creates the impression of partiality or that keeps him from performing his duties or endangers essential official interests. He is required to report functions that he exercises beside his office as head of the Data Protection Authority to the Federal Chancellor without delay.

(5) The function of the head of the Data Protection Authority ends with the expiry of the period of office, death, abdication and loss of eligibility to the national Council.

(6) Once the function of the head of the Data Protection Authority ends, a new head shall be appointed according to the rules of para. 1 to 3.

(7) The Federal President shall appoint a deputy head of the Data Protection Authority on a proposal of the Federal Government according to the rules of para. 1 to 3. Para. 4 to 6 shall be applied to the deputy head of the Data Protection Authority in equal measure. He shall represent the head of the Data Protection Authority during his absence.

Organisation and Independence of the Data Protection Authority

§ 37 DSG 2000

(1) The head of the Data Protection Authority is independent and not bound by instructions in the exercise of his office.

(2) The Data Protection Authority is an administrative authority und human resource department. The Federal Finance Act shall provide for the necessary expenditures for staff and equipment. The officials of the Data Protection Authority shall be bound only by the instructions of the head. The head shall have the service prerogative over the officials of the Data Protection Authority.

(3) The Federal Chancellor can request information from the head of the Data Protection Authority about the operations of the authority. The head of the Data Protection Authority shall comply such requests only insofar as this does not compromise the independence of the supervisory authority as laid down in Article 28 paragraph 1 sub-paragraph 2 of Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data, Official Journal L 281, 23/11/1995, p. 31.

(4) The Data Protection Authority shall be heard before laws concerning essential issues of data protection and federal ordinances based on this federal law or which otherwise directly concerns important issues of data protection are enacted.

(5) The Data Protection Authority shall formulate until 31 March every year a report about its workings in the preceding calendar year, submit it to the Federal Chancellor and publish it in an appropriate manner. The report shall be submitted to the National Council and the Federal Council by the Federal Chancellor.

(6) Decisions of the Data Protection Authority of fundamental importance to the general public shall be published by the Data Protection Authority in a suitable manner while respecting official secrecy rules.

Rulings of the Data Protection Authority

§ 38 DSG 2000

(1) Controllers in the public sector always have a position as party in proceedings before the Data Protection Authority.

(2) Rulings that permit transmission and committing of data according to section 13, shall be revoked once the legal or factual prerequisites under which the permit was issued, especially pursuant to a promulgation of the Federal Chancellor according to section 55 no longer apply.

(3) Parties according to para. 1 may file a complaint with the federal administrative court.

Procedure before the Federal Administrative Court

§ 39 DSG 2000

(1) The federal administrative court shall decide on complaints against rulings as well as complaints regarding the obligation to decide in due time regarding matters of this federal law by chamber.

(2) The chamber shall consist of a chairman und one professionally experienced lay judge from the domain of the employers and from the domain of employees each. The professionally experienced lay judges shall be appointed on a proposal by the Austrian Federal Economic Chamber and the Federal Chamber of Labour. Appropriate arrangements shall be made so that a sufficient number of professionally experienced lay judges can be nominated at the right time.

(3) The professionally experienced lay judges must have at least five years of relevant professional experience and special knowledge of data protection law.

(4) The chairman shall transmit all documents relevant to the decision to the professionally experienced lay judges without delay, or, if this is impractical or absolutely necessary to safeguard the confidence of the documents, make them available in some other way.

Appeal before the Supreme Administrative Court

§ 40 DSG 2000

An appeal before the Supreme Administrative Court may be brought by any party according to section 38 para. 1.

Establishment and Duties of the Data Protection Council

§ 41 DSG 2000

(1) A Data Protection Council is established at the Federal Chancellery.

(2) The Data Protection Council shall advise the Federal Government and the Land Governments on requests in political matters of data protection. For this purpose,

1. the Data Protection Council can deliberate on questions of fundamental importance for data protection and may issue opinions by itself or commission an expert to deliver an opinion;

2. the Data Protection Council shall be given opportunity to give its opinion on draft bills of federal ministries, insofar as these are significant for data protection;

3. public sector controllers shall present their projects to the Data Protection Council for evaluation, insofar as these are significant for data protection;

4. the Data Protection Council shall have the right to request information and documents from public sector controllers insofar as this is necessary to evaluate projects of significant impact on data protection in Austria;

4a. (Note: repealed by Federal Law Gazette I Nr. 83/2013)

5. the Data Protection Council may ask private sector controllers or their representations of interest established by law to give their opinion on developments of general importance that give cause for concern or at least call for attention from a data protection perspective;

6. the Data Protection Council may transmit its observations, concerns and suggestions for improvements of data protection in Austria to the Federal Government and the Land Governments, as well as to the legislative bodies by way of these organs.

(3) Para. 2 sub-paras. 3 and 4 shall not apply insofar as the internal affairs of the churches and religious communities acknowledged by law are concerned.

Composition of the Data Protection Council

§ 42 DSG 2000

(1) The Data Protection Council shall have the following members:

1. representatives of the political parties: The party that is most strongly represented in the main committee of the National Council shall delegate four representatives, the second strongest shall delegate three members and all other parties represented in the main committee of the National Council shall delegate one member each, to be determined by the strength of representation at the time of delegation. In case of equal number of deputies of two parties in the main committee the number of votes cast in the most recent election to the Federal Parliament is decisive;

2. each one representative of the Federal Chamber of Labour and from the Austrian Federal Economic Chamber;

3. two representatives of the provinces;

4. one representative each of the Association of Austrian Municipalities and the Austrian Association of towns;

5. one representative of the Federation appointed by the Federal Chancellor.

(2) The representatives mentioned in para. 1 sub-para. 3, 4 and 5 should have professional experience in the field of computer science and data protection.

(3) An alternate representative shall be nominated for every representative.

(4) Members of the Federal Government or of a Land Government or Secretaries of State as well as persons who may not be elected for the National Council shall not be members of the Data Protection Council.

(5) The representatives shall be members of the Data Protection Council until they announce their resignation in writing to the Federal Chancellor, or, if no resignation is announced, until the nominating body (para. 1) has named another representative to the Federal Chancellor. Members according to para 1 sub-para 1 retire also, as soon as the main committee has been newly elected according to § 29 and 30 of the Rules of Procedure Law of 1975, Federal Law Gazette No. 410, and they have not been delegated again.

(6) The members of the Data Protection Council shall serve in an honorary capacity. Members of the Data Protection Council living outside of Vienna shall be entitled to receive compensation for travel expenses (category 3) according to the regulations for federal officials, if they attend meetings of the Data Protection Council.

Chairmanship and Operation of the Data Protection Council

§ 43 DSG 2000

(1) The Data Protection Council shall decide on its rules of procedure.

(2) The Data Protection Council shall elect a chairman and two vice chairmen. The term of office of the chairman and the vice chairmen shall be five years, without prejudice to § 42 para. 5. Reappointments shall be permitted.

(3) The Federal Chancellery shall be responsible for the operation of the Data Protection Council. The Federal Chancellor shall supply the necessary personnel. While working for the Data Protection Council, the officials of the Federal Chancellery shall be bound only by instructions of the chairman of the Data Protection Council with regard to their professional work.

Meetings and Decisions of the Data Protection Council

§ 44 DSG 2000

(1) The meeting of the Data Protection Council shall be convened by the chairman whenever the need arises. If a member requests that a meeting be convened, the chairman shall convene the meeting so that it can take place within four weeks.

(2) The chairman can bring experts into the meeting whenever the need arises.

(3) Deliberations and decisions of the Data Protection Council shall require the presence of at least half of its members. Decisions shall be passed by a simple majority of votes cast. In the case of a parity of votes, the vote of the chairman shall decide the issue. An abstention from the vote is not permitted. A dissenting opinion may be given.

(4) The Data Protection Council may create permanent or ad hoc working groups which it may entrust with the preparation, appraisal and handling of specific issues. An individual member (rapporteur) may be entrusted with executive work, the first appraisal and handling of specific issues.

(5) Every member of the Data Protection Council must – unless justifiably being prevented – attend the meetings of the Council. A member who is unable to attend shall inform his alternate member without delay.

(6) The head of the Data Protection Authority shall have the right to attend meetings of the Data Protection Council or its working groups. He has not the right to vote.

(7) The deliberations of the Data Protection Council shall be confidential as long as the Data Protection Council itself does not decide otherwise.

(8) The members of the Data Protection Council, the head of the Data Protection Authority and experts brought into the meeting according to para. 2 shall be obliged to keep all information confidential of which they have learned solely due to their activities for the Data Protection Council, insofar as secrecy is required in the public interest or in the interest of a party.
arrow_back Article précédentArticle 51 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.