menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : Belgique) language
Contactez notre membre local en Belgique mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 51
Article suivantarrow_forward

Autorité de contrôle

Textes
Officiels Guidelines
& Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 51 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 51 keyboard_arrow_up

Mots clés liés à l'article 51

Afficher les considérants du Règlement liés à l'article 51 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 51 keyboard_arrow_up

(117) La mise en place d'autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative.

(118) L'indépendance des autorités de contrôle ne devrait pas signifier que celles-ci ne peuvent être soumises à des mécanismes de contrôle ou de suivi de leur gestion financière ni à un contrôle juridictionnel.

(119) Lorsqu'un État membre met en place plusieurs autorités de contrôle, il devrait établir par la loi des dispositifs garantissant la participation effective de ces autorités au mécanisme de contrôle de la cohérence. Il devrait en particulier désigner l'autorité de contrôle qui sert de point de contact unique, permettant une participation efficace de ces autorités au mécanisme, afin d'assurer une coopération rapide et aisée avec les autres autorités de contrôle, le comité et la Commission.

Afficher les considérants de la Directive 95/46 liés à l'article 51 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 51 keyboard_arrow_up

(62) considérant que l'institution, dans les États membres, d'autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel.

Le GDPR

Tout comme le prévoyait la Directive, le Règlement, en son article 51, fait obligation aux États membres de mettre en place une ou plusieurs autorités de contrôle indépendantes, chargée(s) de surveiller l’application du Règlement.

L’autorité de contrôle est définie à l’article 4 21, comme « une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51 ».

La version finale du Règlement précise que ces autorités visent à, d’une part à protéger les droits et libertés fondamentaux des personnes lors du traitement de leurs données à caractère personnel et, d’autre part à faciliter la libre circulation des données au sein de l’Union (§ 1).

Selon le paragraphe 2, chaque autorité doit contribuer à garantir l’application uniforme du Règlement au sein de l’Union. A cette fin, elles doivent coopérer entre elles et avec la commission, conformément aux mécanismes prévus par le chapitre VII.

On notera que le Règlement autorise expressément les États membres à créer plusieurs autorités de contrôle (§ 3). Dans ce cas, l’État membre doit désigner laquelle sera chargée de représenter les autres autorités nationales au comité européen de la protection des données. L’État membre doit également définir le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 63.

Toutes les dispositions adoptées par un État membre en vertu du chapitre VI doivent être notifiées à la Commission au plus tard deux ans après l’entrée en vigueur du Règlement, soit le vingtième jour suivant sa publication au Journal officiel de l’Union européenne (art. 99). Toute modification ultérieure doit être notifiée sans délai à la Commission.

La Directive

La Directive avait érigé en élément essentiel de la protection des données la constitution dans chaque État membre d’une autorité de contrôle chargée de surveiller l'application, sur son territoire, de la législation nationale protectrice des données à caractère personnel.

Le second paragraphe de l’article 28 de la Directive précisait déjà que les missions confiées à ces autorités devaient être exercées en toute indépendance.

Les États membres ont donc chacun créé une autorité nationale de contrôle compétente en matière de protection des données à caractère personnel.

Belgique

En droit belge, la loi du 8 décembre 1992 a institué la « Commission de la protection de la vie privée ».

Difficultés probables ?

On ne voit pas a priori de difficultés particulières d’implémentation.

arrow_back Article précédentArticle 51Article suivant arrow_forward
arrow_back Article précédentArticle 51 Article suivant arrow_forward

Groupe 29

Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Jurisprudence de la CJUE

C-518/07 (9 mars 2010)

1)      La République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

2)      La République fédérale d’Allemagne est condamnée à supporter les dépens de la Commission européenne.

3)      Le Contrôleur européen de la protection des données supporte ses propres dépens.

Conclusions de l'Avocat général

Arrêt rendu

C-614/10 (16 octobre 2012)

1)      En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel

–        le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,

–        le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et

–        le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,

la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2)      La République d’Autriche est condamnée à supporter les dépens de la Commission européenne.

3)      La République fédérale d’Allemagne et le Contrôleur européen de la protection des données supportent leurs propres dépens.

Conclusions de l'Avocat général

Arrêt rendu

C-230/14 (1 octobre 2015)

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-210/16 ( 5 juin 2018)

 1 ) Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

2 ) L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Conclusions de l'avocat général

Arrêt rendu

Autorité nationale

Recommandation relative à la désignation de l’autorité chef de file dans le cadre de l’application du Règlement Général sur la Protection des Données n° 04/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

arrow_back Article précédentArticle 51 Article suivant arrow_forward
Règlement
1e 2e

Art. 51

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l'égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l'Union.

2. Chaque autorité de contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l'article 63.

4. Chaque État membre notifie à la Commission les dispositions légales qu'il adopte en vertu du présent chapitre, au plus tard, le … [deux ans à compter de la date d'entrée en vigueur du présent règlement], et, sans tarder, toute modification ultérieure les affectant.
Proposition 1 close

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application du présent règlement et de contribuer à son application cohérente dans l’ensemble de l'Union, afin de protéger les libertés et droits FR 83 FR fondamentaux des personnes physiques en ce qui concerne le traitement de leurs données à caractère personnel et de faciliter la libre circulation de ces données au sein de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission.

2. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui sert de point de contact unique permettant une participation efficace de ces autorités au comité européen de la protection des données, et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.

3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Proposition 2 close

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du présent règlement.

1 bis. Chaque autorité de contrôle contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union (…). À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

2. Lorsqu'un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité européen de la protection des données et définit le mécanisme permettant de s'assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence prévu à l'article 57.

3. Chaque État membre notifie à la Commission les dispositions de la législation qu'il adopte en vertu du présent chapitre, au plus tard à la date figurant à l'article 91, paragraphe 2, et, sans délai, toute modification ultérieure les affectant.
Directive close

Art. 28

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment:

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.
Belgique
compare_arrows
visibility Ancienne loi

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 3

 Il est institué auprès de la Chambre des représentants une "Autorité de protection des données".

  Elle succède à la Commission de la protection de la vie privée.

  Elle a la personnalité juridique. Son siège est établi dans l'arrondissement administratif de Bruxelles-Capitale.
Ancienne loi close

Art. 23

Il est institué auprès de la Chambre des représentants une Commission de la protection de la vie privée, composée de membres désignés par la Chambre des représentants, parmi lesquels le président et le vice-président.)

Le siège de la Commission est établi dans l'arrondissement administratif de Bruxelles-Capitale.
arrow_back Article précédentArticle 51 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.