Article 36
Consultation préalable

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 36 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 36 keyboard_arrow_up

(37) Un groupe d'entreprises devrait couvrir une entreprise qui exerce le contrôle et ses entreprises contrôlées, la première devant être celle qui peut exercer une influence dominante sur les autres entreprises du fait, par exemple, de la détention du capital, d'une participation financière ou des règles qui la régissent, ou du pouvoir de faire appliquer les règles relatives à la protection des données à caractère personnel. Une entreprise qui contrôle le traitement de données à caractère personnel dans des entreprises qui lui sont affiliées devrait être considérée comme formant avec ces dernières un "groupe d'entreprises".

(94) Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en oeuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

(95) Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

(96) L'autorité de contrôle devrait également être consultée au stade de la préparation d'une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d'assurer que le traitement prévu respecte le présent règlement et, en particulier, d'atténuer le risque qu'il comporte pour la personne concernée.

Afficher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 36 keyboard_arrow_up

(52) considérant que, dans ce contexte, le contrôle a posteriori par les autorités compétentes doit être en général considéré comme une mesure suffisante;

(53) considérant que, cependant, certains traitements sont susceptibles de présenter des risques particuliers au regard des droits et des libertés des personnes concernées, du fait de leur nature, de leur portée ou de leurs finalités telles que celle d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou du fait de l'usage particulier d'une technologie nouvelle; qu'il appartient aux États membres, s'ils le souhaitent, de préciser dans leur législation de tels risques;

(54) considérant que, au regard de tous les traitements mis en oeuvre dans la société, le nombre de ceux présentant de tels risques particuliers devrait être très restreint; que les États membres doivent prévoir, pour ces traitements, un examen préalable à leur mise en oeuvre, effectué par l'autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci; que, à la suite de cet examen préalable, l'autorité de contrôle peut, selon le droit national dont elle relève, émettre un avis ou autoriser le traitement des données; qu'un tel examen peut également être effectué au cours de l'élaboration soit d'une mesure législative du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et précise les garanties appropriées.

Le GDPR

Le responsable doit consulter l’autorité de contrôle avant la mise en œuvre du traitement uniquement lorsque l’analyse d’impact mené par le responsable du traitement en application de l’article 35, révèle que le traitement présente un risque élevé en cas d’absence de mesures appropriées prises par le responsable afin d’atténuer le risque (art. 36, paragraphe 2).

Si l’autorité estime que le traitement n’est pas conforme au Règlement, en particulier si le responsable n’a pas suffisamment identifié ou atténué le risque inhérent au traitement, cette dernière dispose alors d’un délai de huit semaines (pouvant être prolongé de six semaines si la complexité du traitement l’exige) pour conseiller par écrit le responsable du traitement de données -ou le cas échéant, le sous-traitant- en usant, en cas de besoin, des pouvoirs visés à l'article 58 consistant à exiger la communication d’informations, diligenter des enquêtes sous la forme d’audit, obtenir l’accès aux données à caractère personnel, ainsi qu’aux locaux du responsable ou du sous-traitant. La version finale du Règlement précise que le délai dans lequel l’autorité doit rendre son avis est suspendu jusqu’à ce l’autorité ait obtenu les informations qu’elle a sollicitées.

Le paragraphe 6 détermine les modalités de la demande de consultation : le responsable doit indiquer à l’autorité de contrôle la répartition des responsabilités entre le responsable du traitement, les éventuels responsables conjoints du traitement et des sous-traitants ; les finalités et les modalités du traitement ; les mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées ; le cas échéant, les coordonnées du délégué à la protection des données ; l’analyse d’impact réalisée, ainsi que toute autre information sollicitée par l’autorité.

Comme cela existait déjà auparavant dans certains pays, le Règlement prévoit que les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative ou d'une mesure réglementaire relative à un traitement de données à caractère personnel (§ 4).

Les États membres peuvent aussi exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données effectué dans le cadre d'une mission menée dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

La Directive

L’article 20 de la Directive obligeait les États membres à définir des traitements dits « à risque » c’est-à-dire ceux susceptibles de présenter des risques particuliers pour les droits et libertés des personnes concernées. Il s’agissait notamment des traitements qui du fait de leur nature, de leur portée ou de leurs finalités sont susceptibles d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat, ou ceux qui susceptibles de présenter des risques, du fait de l'usage particulier d'une technologie nouvelle (cfr. considérant 53).

Avant la mise en œuvre de ces traitements, des examens préalables devaient être effectués par l’autorité de contrôle ou par le détaché à la protection des données en coopération avec celle-ci.

Un tel examen préalable pouvait également être effectué dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, définissant la nature du traitement et fixant des garanties appropriées.

Belgique

En droit belge, l’article 17 bis de la loi du 8 décembre 1992 investit le Roi du pouvoir de déterminer les catégories de traitements qui présentent des risques particuliers, ainsi que des conditions particulières pour garantir les droits et libertés des personnes concernées. Aucun texte réglementaire n’a exécuté cette disposition.

Cependant, différentes catégories de traitements (communication de données relatives à la santé et à la sécurité sociales, communications électroniques de données d’autorités publiques vers des tiers, etc.) relèvent de comités sectoriels auprès desquels une demande d’autorisation doit le cas échéant être introduite.

Difficultés probables ?

Il appartient donc au responsable –voire au sous-traitant- de consulter l’autorité contrôle si le résultat de l’analyse d’impact révèle que le traitement présente un risque élevé qui ne peut pas être atténué sans l’intervention du responsable du traitement.

La mission exacte de l’autorité n’est pas claire non plus : la consultation a-t-elle pour but de voir l’autorité « conseiller » le responsable dans la prise de mesures adéquates ou d’interdire in fine le responsable de mettre en œuvre le traitement en cause ? Il faudra que les États membres précisent si en réalité il s’agit d’une procédure d’autorisation préalable et si les responsables doivent suivre obligatoirement l’avis de l’autorité.

Groupe 29

Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un
responsable du traitement ou d’un sous-traitant (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Lignes directrices concernant l’analyse d’impact relative à la protection des données
(AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un
risque élevé» aux fins du règlement (UE) 2016/679 (4 octobre 2017)

(Approuvées par le CEPD)

Le règlement (UE) 2016/679 (RGPD) s’appliquera à partir du 25 mai 2018. De la même manière que la directive 2016/680, l’article 35 du RGPD introduit la notion d’analyse d’impact relative à la protection des données (AIPD),

Une AIPD est un processus dont l’objet est de décrire le traitement, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face. Les AIPD sont un outil important au regard du principe de responsabilité, compte tenu de leur utilité pour les responsables du traitement non seulement aux fins du respect des exigences du RGPD, mais également en ce qui concerne leur capacité à démontrer que des mesures appropriées ont été prises pour assurer la conformité au règlement (voir également l’article 24). Autrement dit, une AIPD est un processus qui vise à assurer la conformité aux règles et à pouvoir en apporter la preuve.

En vertu du RGPD, le non-respect des exigences applicables en matière d’AIPD peut donner lieu à des amendes imposées par l’autorité de contrôle compétente. Le fait de ne pas effectuer d’AIPD alors que le traitement est soumis à l’obligation d’une telle analyse (article 35, paragraphes 1, 3 et 4), de réaliser l’analyse d’une manière incorrecte (article 35, paragraphes 2 et 7 à 9) ou de ne pas consulter l’autorité de contrôle compétente lorsque la situation l’exige (article 36, paragraphe 3, point e), est passible d'une amende administrative pouvant s'élever jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Lien

Jurisprudence de la CJUE

C-92/09 ; C-93/09 (9 novembre 2010)

1)      Les articles 42, point 8 ter, et 44 bis du règlement (CE) n° 1290/2005 du Conseil, du 21 juin 2005, relatif au financement de la politique agricole commune, tel que modifié par le règlement (CE) n° 1437/2007 du Conseil, du 26 novembre 2007, ainsi que le règlement (CE) n° 259/2008 de la Commission, du 18 mars 2008, portant modalités d’application du règlement n° 1290/2005 en ce qui concerne la publication des informations relatives aux bénéficiaires de fonds en provenance du Fonds européen agricole de garantie (FEAGA) et du Fonds européen agricole pour le développement rural (Feader), sont invalides dans la mesure où, s’agissant des personnes physiques bénéficiaires d’aides du FEAGA et du Feader, ces dispositions imposent la publication de données à caractère personnel relatives à tout bénéficiaire, sans opérer de distinction selon des critères pertinents, tels que les périodes pendant lesquelles elles ont perçu de telles aides, la fréquence ou encore le type et l’importance de celles-ci.

2)      L’invalidité des dispositions du droit de l’Union mentionnées au point 1 de ce dispositif ne permet pas de remettre en cause les effets de la publication des listes des bénéficiaires d’aides du FEAGA et du Feader effectuée par les autorités nationales, sur le fondement desdites dispositions, pendant la période antérieure à la date du prononcé du présent arrêt.

3)      L’article 18, paragraphe 2, second tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne soumet pas le détaché à la protection des données à caractère personnel à une obligation de procéder à la tenue du registre prévue par cette disposition préalablement à la mise en œuvre d’un traitement de données à caractère personnel, tel que celui résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

4)      L’article 20 de la directive 95/46 doit être interprété en ce sens qu’il ne fait pas obligation aux États membres de soumettre aux contrôles préalables prévus par cette disposition la publication des informations résultant des articles 42, point 8 ter, et 44 bis du règlement n° 1290/2005, tel que modifié par le règlement n° 1437/2007, ainsi que du règlement n° 259/2008.

Conclusions de l'Avocat général

Arrêt rendu

Autorité nationale

Recommandation relative à la désignation de l’autorité chef de file dans le cadre de l’application du Règlement Général sur la Protection des Données n° 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Recommandation d'initiative concernant l'analyse d'impact relative à la protection des données et la consultation préalable n° 01/2018 (28 février 2018)

1. Le Règlement général sur la protection des données (RGPD) prévoit plusieurs nouvelles obligations pour les responsables du traitement. Une des nouvelles obligations figurant dans le RGPD concerne l'obligation de réaliser - dans certaines circonstances - une "analyse d'impact relative à la protection des données", en abrégé "AIPD".

2. Une AIPD est un processus dont l’objet est de décrire le traitement de données à caractère personnel, d’en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques qui y sont liés en les évaluant et en déterminant les mesures nécessaires pour y faire face.

3. La Directive Police et Justice (Directive 2016/680) prévoit également une obligation de réaliser une AIPD dans certaines circonstances. Les lignes directrices reprises dans la présente recommandation, qui s'inspirent des dispositions du RGPD, s'appliquent mutatis mutandis pour l'interprétation des dispositions pertinentes de la Directive 2016/680.

4. Le but de la présente recommandation est de fournir des explications plus détaillées concernant : (1) les circonstances dans lesquelles une AIPD est obligatoire (section 3) ; (2) les éléments essentiels d’une AIPD (section 5) ; (3) les circonstances dans lesquelles une consultation préalable est obligatoire (section 6) ; (4) les acteurs qui doivent être impliqués dans une AIPD (section 7) ; et (5) plusieurs dispositions particulières (section 8).

5. Un précédent projet de recommandation a été soumis à une consultation publique du 20 décembre 2016 au 28 février 2017. La présente recommandation tient compte des remarques et suggestions qui ont été formulées par des entreprises, des fédérations sectorielles et des universitaires, ainsi que de la version finale des lignes directrices du Groupe de protection des données Article 29 promulguées en octobre 2017.

6. La présente recommandation ne comporte aucun modèle établi, ni de vade-mecum pour la réalisation d'une AIPD. Bien qu'il existe plusieurs modèles et vade-mecum, la Commission encourage les fédérations sectorielles à élaborer des codes de conduite adaptés aux traitements de données au sein de leur secteur et qui sont adaptés en particulier aux besoins des petites, moyennes et micro- entreprises. Il n'est toutefois pas exclu qu'à l'avenir, la Commission mette à disposition un formulaire et/ou un vade-mecum complémentaire qui pourrait servir de point de départ à la réalisation d'une AIPD ou dans le cadre d'une consultation préalable. 

Règlement
1e 2e

Art. 36

1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l'autorité de contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l'autorité de contrôle en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d) le cas échéant, les coordonnées du délégué à la protection des données;

e) l'analyse d'impact relative à la protection des données prévue à l'article 35; et

f) toute autre information que l'autorité de contrôle demande.

4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Proposition 1 close

1. Le responsable du traitement ou le sous-traitant, selon le cas, obtiennent une autorisation de l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées lorsqu'un responsable du traitement ou un sous-traitant adoptent des clauses contractuelles telles que celles prévues à l'article 42, paragraphe 2, point d), ou n'offrent pas les garanties appropriées dans un instrument juridiquement contraignant tel que visé à l'article 42, paragraphe 5, régissant le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale.

2. Le responsable du traitement ou le sous-traitant agissant au nom du responsable du traitement consultent l'autorité de contrôle avant le traitement de données à caractère personnel afin de garantir la conformité du traitement prévu avec le présent règlement et, notamment, d'atténuer les risques pour les personnes concernées:

a) lorsqu'une analyse d’impact relative à la protection des données telle que prévue à l’article 33 indique que les traitements sont, du fait de leur nature, de leur portée ou de leurs finalités, susceptibles de présenter un degré élevé de risques particuliers;

ou b) lorsque l'autorité de contrôle estime nécessaire de procéder à une consultation préalable au sujet de traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature, de leur portée et/ou de leurs finalités, ces traitements étant précisés conformément au paragraphe 4.

3. Lorsque l'autorité de contrôle est d'avis que le traitement prévu n'est pas conforme au présent règlement, en particulier lorsque les risques ne sont pas suffisamment identifiés ou atténués, elle interdit le traitement prévu et formule des propositions appropriées afin de remédier à cette non-conformité.

4. L'autorité de contrôle établit et publie une liste des traitements devant faire l’objet d’une consultation préalable au titre du paragraphe 2, point b). L'autorité de contrôle communique cette liste au comité européen de la protection des données.

5. Si la liste prévue au paragraphe 4 comprend des traitements liés à l'offre de biens ou de services à des personnes concernées dans plusieurs États membres ou liés à l'observation de leur comportement, ou susceptibles d'affecter sensiblement la libre circulation des données à caractère personnel au sein de l’Union, l’autorité de contrôle applique le mécanisme de contrôle de la cohérence prévu à l'article 57 avant d’adopter la liste.

6. Le responsable du traitement ou le sous-traitant fournissent à l'autorité de contrôle l'analyse d'impact relative à la protection des données prévue à l’article 33 et, sur demande, toute autre information afin de permettre à l'autorité de contrôle d'apprécier la conformité du traitement et, en particulier, les risques pour la protection des données à caractère personnel de la personne concernée et les garanties qui s'y rapportent.

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une mesure législative devant être adoptée par le parlement national ou d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement, en vue d’assurer la conformité du traitement prévu avec le présent règlement et, en particulier, d'atténuer les risques pour les personnes concernées.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables à la détermination du niveau élevé de risque particulier visé au paragraphe 2, point a).

9. La Commission peut élaborer des formulaires et procédures types pour les autorisations et consultations préalables visées aux paragraphes 1 et 2, ainsi que des formulaires et procédures types pour l'information des autorités de contrôle au titre du paragraphe 6. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Proposition 2 close

1. (…)

2. Le responsable du traitement (…) consulte l'autorité de contrôle avant le traitement de données à caractère personnel lorsqu'une analyse d'impact relative à la protection des données telle qu'elle est prévue à l'article 33 indique que le traitement présenterait un (...) risque élevé si le responsable du traitement ne devait pas prendre de mesures pour atténuer le risque.

3. Lorsque l'autorité de contrôle est d'avis que le traitement visé au paragraphe 2 ne serait pas conforme au présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle doit, dans un délai maximum de six semaines suivant la demande de consultation, conseiller le responsable du traitement de données, par écrit, et peut utiliser les pouvoirs visés à l'article 53 (...). Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement prévu. En cas de prolongation du délai, le responsable du traitement ou le sous-traitant est informé des raisons du report, dans un délai d'un mois à compter de la réception de la demande.

4. (…)

5. (…)

6. Lorsqu'il consulte l'autorité de contrôle, conformément au paragraphe 2, le responsable du traitement (...) informe l'autorité de contrôle:

a) le cas échéant, des responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants qui interviennent dans le traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;

b) des finalités et des modalités du traitement prévu;

c) des mesures et des garanties prévues afin de protéger les droits et les libertés des personnes concernées conformément au présent règlement;

d) le cas échéant, des coordonnées du délégué à la protection des données;

e) de l'analyse d'impact relative à la protection des données prévue à l'article 33,

et f) de toute (…) autre information demandée par l'autorité de contrôle (…).

7. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national ou d'une mesure réglementaire fondée sur une telle mesure législative qui prévoit le traitement de données à caractère personnel (...).

7 bis. Nonobstant le paragraphe 2, la législation des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable pour le traitement de données à caractère personnel effectué par un responsable du traitement dans le cadre d'une mission mené par celui-ci dans l'intérêt public, y compris le traitement de telles données relatives à la protection sociale et à la santé publique.

8. (…)

9. (…)

Directive close

Art. 20

1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l'autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l'autorité de contrôle.

3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l'élaboration soit d'une mesure du Parlement national, soit d'une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Aucune disposition spécifique

 

Ancienne loi close

Art. 17bis

Le Roi détermine, après avis de la Commission de la protection de la vie privée, les catégories de traitements qui présentent des risques particuliers au regard des droits et libertés des personnes concernées, et fixe, également sur proposition de la Commission de la protection de la vie privée, des conditions particulières pour garantir les droits et libertés des personnes concernées.

Il peut en particulier déterminer que le responsable du traitement désigne un préposé à la protection des données chargé d'assurer, d'une manière indépendante, l'application de la présente loi ainsi que de ses mesures d'exécution.

Le Roi détermine par arrêté délibéré en Conseil des ministres, après avis de la Commission de la protection de la vie privée, le statut du préposé à la protection des données.

 

close