Article 50
Coopération internationale dans le domaine de la protection des données à caractère personnel

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 50 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 50 keyboard_arrow_up

(29) Afin d'encourager la pseudonymisation dans le cadre du traitement des données à caractère personnel, des mesures de pseudonymisation devraient être possibles chez un même responsable du traitement, tout en permettant une analyse générale, lorsque celui-ci a pris les mesures techniques et organisationnelles nécessaires afin de garantir, pour le traitement concerné, que le présent règlement est mis en oeuvre, et que les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée précise soient conservées séparément. Le responsable du traitement qui traite les données à caractère personnel devrait indiquer les personnes autorisées à cet effet chez un même responsable du traitement.

(116) Lorsque des données à caractère personnel franchissent les frontières extérieures de l'Union, cela peut accroître le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l'utilisation ou de la divulgation illicite de ces informations. De même, les autorités de contrôle peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. Leurs efforts pour collaborer dans le contexte transfrontalier peuvent également être freinés par les pouvoirs insuffisants dont elles disposent en matière de prévention ou de recours, par l'hétérogénéité des régimes juridiques et par des obstacles pratiques tels que le manque de ressources. En conséquence, il est nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, pour les aider à échanger des informations et mener des enquêtes avec leurs homologues internationaux. Aux fins d'élaborer des mécanismes de coopération internationale destinés à faciliter et à mettre en place une assistance mutuelle internationale pour faire appliquer la législation relative à la protection des données à caractère personnel, la Commission et les autorités de contrôle devraient échanger des informations et coopérer dans le cadre d'activités liées à l'exercice de leurs compétences avec les autorités compétentes dans les pays tiers, sur une base réciproque et conformément au présent règlement.

(123) Il y a lieu que les autorités de contrôle surveillent l'application des dispositions en vertu du présent règlement et contribuent à ce que cette application soit cohérente dans l'ensemble de l'Union, afin de protéger les personnes physiques à l'égard du traitement de leurs données à caractère personnel et de faciliter le libre flux de ces données dans le marché intérieur. À cet effet, les autorités de contrôle devraient coopérer entre elles et avec la Commission sans qu'un accord doive être conclu entre les États membres sur la fourniture d'une assistance mutuelle ou sur une telle coopération.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 50.

Le GDPR

En relation avec les pays tiers et les organisations internationales, l'article 50 impose à la Commission et aux autorités de contrôles de prendre certaines mesures aux fins, in fine , de faciliter l’application des principes de protection des données.

Cette disposition tient compte de la recommandation de l’Organisation de coopération et de développement économiques (OCDE) du 12 juin 2007 relative à la coopération transfrontière dans l’application des législations protégeant la vie privée.

Ces mesures visent d’abord à développer l’élaboration de mécanismes de coopération internationale destinés à faciliter l'application effective de la législation relative à la protection des données à caractère personnel (§ 1 (a)). Elles visent ensuite à générer des devoirs d’assistance mutuelle lors de la mise en œuvre de telles législations, incluant la transmission des réclamations, l'entraide pour les enquêtes et l'échange d'information, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux (§ 1 b).

Ces mécanismes visent également, d’une part, à associer les parties prenantes intéressées aux discussions et activités visant à promouvoir la coopération internationale dans l'application de la législation relative à la protection des données à caractère personnel (§ 1 c), et, d’autre part, à favoriser l'échange et la conservation de la législation et des pratiques en matière de protection des données à caractère personnel (§ 1 d).

La Directive

La Directive n’évoquait pas la possibilité de coopération entre États membres et des pays tiers à l’Union ou des organisations internationales.

Difficultés probables ?

On ne voit pas a priori de difficulté d’implémentation.

Sommaire

Union Européenne

Union Européenne

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire Retour au sommaire Retour au sommaire
Règlement
1e 2e

Art. 50

La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationale destinés à faciliter l'application effective de la législation relative à la protection des données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans l'application de la législation relative à la protection des données à caractère personnel, y compris par la notification, la transmission des réclamations, l'entraide pour les enquêtes et l'échange d'informations, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux;

c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans le domaine de l'application de la législation relative à la protection des données à caractère personnel;

d) favoriser l'échange et la documentation de la législation et des pratiques en matière de protection des données à caractère personnel, y compris en ce qui concerne les conflits de compétence avec des pays tiers.

 

Proposition 1 close

1. La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter l’application de la législation relative à la protection des données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans la mise en application de la législation relative à la protection des données à caractère personnel, notamment par la notification, la transmission des réclamations, l’entraide pour les enquêtes et l’échange d’information, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux;

c) associer les parties prenantes intéressées aux discussions et activités visant à développer la coopération internationale dans l’application de la législation relative à la protection des données à caractère personnel;

d) favoriser l'échange et la conservation de la législation et des pratiques en matière de protection des données à caractère personnel.

2. Aux fins de l'application du paragraphe 1, la Commission prend les mesures appropriées pour intensifier les relations avec les pays tiers ou les organisations internationales, et en particulier leurs autorités de contrôle, lorsque la Commission a constaté par voie de décision qu'ils assuraient un niveau de protection adéquat au sens de l'article 41, paragraphe 3.

Proposition 2 close

1. La Commission et les autorités de contrôle prennent, à l'égard des pays tiers et des organisations internationales, les mesures appropriées pour:

a) élaborer des mécanismes de coopération internationaux efficaces destinés à faciliter l'application effective de la législation relative à la protection des données à caractère personnel;

b) se prêter mutuellement assistance sur le plan international dans la mise en application de la législation relative à la protection des données à caractère personnel, notamment par (…) la transmission des réclamations, l'entraide pour les enquêtes et l'échange d'information, sous réserve de garanties appropriées pour la protection des données à caractère personnel et d'autres libertés et droits fondamentaux;

c) associer les parties prenantes intéressées aux discussions et activités visant à promouvoir la coopération internationale dans l'application de la législation relative à la protection des données à caractère personnel;

d) favoriser l'échange et la conservation de la législation et des pratiques en matière de protection des données à caractère personnel.

2. (…)

Directive close

Art. 28

(….).

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

Aucune disposition spécifique

Ancienne loi close

Pas de disposition correspondante

United Kingdom close

54. International co-operation

(1) The Commissioner—

(a) shall continue to be the designated authority in the United Kingdom for the purposes of Article 13 of the Convention, and

(b) shall be the supervisory authority in the United Kingdom for the purposes of the Data Protection Directive [F1 and the Data Protection Framework Decision].

(2) The [F2 Secretary of State] may by order make provision as to the functions to be discharged by the Commissioner as the designated authority in the United Kingdom for the purposes of Article 13 of the Convention.

(3) The [F2 Secretary of State] may by order make provision as to co-operation by the Commissioner with the European Commission and with supervisory authorities in other EEA States in connection with the performance of their respective duties and, in particular, as to—

(a) the exchange of information with supervisory authorities in other EEA States or with the European Commission, F3...

(b) the exercise within the United Kingdom at the request of a supervisory authority in another EEA State, in cases excluded by section 5 from the application of the other provisions of this Act, of functions of the Commissioner specified in the order [F4, and

(c) the exercise within the United Kingdom at the request of a supervisory authority in another EEA State, in cases falling within the scope of the Data Protection Framework Decision as it applies to that State, of functions of the Commissioner specified in the order. ]

(4) The Commissioner shall also carry out any data protection functions which the [F2 Secretary of State] may by order direct him to carry out for the purpose of enabling Her Majesty’s Government in the United Kingdom to give effect to any international obligations of the United Kingdom.

(5) The Commissioner shall, if so directed by the [F2 Secretary of State] , provide any authority exercising data protection functions under the law of a colony specified in the direction with such assistance in connection with the discharge of those functions as the [F2 Secretary of State] may direct or approve, on such terms (including terms as to payment) as the [F2 Secretary of State] may direct or approve.

(6) Where the European Commission makes a decision for the purposes of Article 26(3) or (4) of the Data Protection Directive under the procedure provided for in Article 31(2) of the Directive, the Commissioner shall comply with that decision in exercising his functions under paragraph 9 of Schedule 4 or, as the case may be, paragraph 8 of that Schedule.

(7) The Commissioner shall inform the European Commission and the supervisory authorities in other EEA States—

(a) of any approvals granted for the purposes of paragraph 8 of Schedule 4, and

(b) of any authorisations granted for the purposes of paragraph 9 of that Schedule.

(8) In this section—

“the Convention” means the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data which was opened for signature on 28th January 1981;

[F5 “the Data Protection Framework Decision” means the Council Framework Decision 2008/977/ JHA of 27th November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters; ]

“data protection functions” means functions relating to the protection of individuals with respect to the processing of personal information. 

54A. Inspection of overseas information systems

(1) The Commissioner may inspect any personal data recorded in—

(a) the Schengen information system,

(b) the Europol information system,

(c) the Customs information system.

(2) The power conferred by subsection (1) is exercisable only for the purpose of assessing whether or not any processing of the data has been or is being carried out in compliance with this Act.

(3) The power includes power to inspect, operate and test equipment which is used for the processing of personal data.

(4) Before exercising the power, the Commissioner must give notice in writing of his intention to do so to the data controller.

(5) But subsection (4) does not apply if the Commissioner considers that the case is one of urgency.

(6) Any person who—

(a) intentionally obstructs a person exercising the power conferred by subsection (1), or

(b) fails without reasonable excuse to give any person exercising the power any assistance he may reasonably require, is guilty of an offence.

(7) In this section—

“the Customs information system” means the information system established under Chapter II of the Convention on the Use of Information Technology for Customs Purposes,

“the Europol information system” means the information system established under Title II of the Convention on the Establishment of a European Police Office,

“the Schengen information system” means the information system established under Title IV of the Convention implementing the Schengen Agreement of 14th June 1985, or any system established in its place in pursuance of any [F2EU] obligation.]

close