Le GDPR
Tout comme le prévoyait la Directive, le Règlement, en son article 51, fait obligation aux États membres de mettre en place une ou plusieurs autorités de contrôle indépendantes, chargée(s) de surveiller l’application du Règlement.
L’autorité de contrôle est définie à l’article 4 21, comme « une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51 ».
La version finale du Règlement précise que ces autorités visent à, d’une part à protéger les droits et libertés fondamentaux des personnes lors du traitement de leurs données à caractère personnel et, d’autre part à faciliter la libre circulation des données au sein de l’Union (§ 1).
Selon le paragraphe 2, chaque autorité doit contribuer à garantir l’application uniforme du Règlement au sein de l’Union. A cette fin, elles doivent coopérer entre elles et avec la commission, conformément aux mécanismes prévus par le chapitre VII.
On notera que le Règlement autorise expressément les États membres à créer plusieurs autorités de contrôle (§ 3). Dans ce cas, l’État membre doit désigner laquelle sera chargée de représenter les autres autorités nationales au comité européen de la protection des données. L’État membre doit également définir le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 63.
Toutes les dispositions adoptées par un État membre en vertu du chapitre VI doivent être notifiées à la Commission au plus tard deux ans après l’entrée en vigueur du Règlement, soit le vingtième jour suivant sa publication au Journal officiel de l’Union européenne (art. 99). Toute modification ultérieure doit être notifiée sans délai à la Commission.
La Directive
La Directive avait érigé en élément essentiel de la protection des données la constitution dans chaque État membre d’une autorité de contrôle chargée de surveiller l'application, sur son territoire, de la législation nationale protectrice des données à caractère personnel.
Le second paragraphe de l’article 28 de la Directive précisait déjà que les missions confiées à ces autorités devaient être exercées en toute indépendance.
Les États membres ont donc chacun créé une autorité nationale de contrôle compétente en matière de protection des données à caractère personnel.
Belgique
En droit belge, la loi du 8 décembre 1992 a institué la « Commission de la protection de la vie privée ».
Difficultés probables ?
On ne voit pas a priori de difficultés particulières d’implémentation.
Groupe 29
Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (5 avril 2017)
(Approuvées par le CEPD)
Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.
L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.
Lien
Jurisprudence de la CJUE
C-518/07 (9 mars 2010)
1) La République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».
2) La République fédérale d’Allemagne est condamnée à supporter les dépens de la Commission européenne.
3) Le Contrôleur européen de la protection des données supporte ses propres dépens.
Conclusions de l'Avocat général
Arrêt rendu
C-614/10 (16 octobre 2012)
1) En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel
– le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,
– le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et
– le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,
la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
2) La République d’Autriche est condamnée à supporter les dépens de la Commission européenne.
3) La République fédérale d’Allemagne et le Contrôleur européen de la protection des données supportent leurs propres dépens.
Conclusions de l'Avocat général
Arrêt rendu
C-230/14 (1 octobre 2015)
1) L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.
Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.
En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.
2) Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.
3) La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).
Conclusions de l'Avocat général
Arrêt rendu
C-210/16 ( 5 juin 2018)
1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.
2 ) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.
Conclusions de l'avocat général
Arrêt rendu
Autorité nationale
Recommandation relative à la désignation de l’autorité chef de file dans le cadre de l’application du Règlement Général sur la Protection des Données n° 04/2016 (19 décembre 2016)
1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.