Article 52
Indépendance

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 52 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 52 keyboard_arrow_up

(117) La mise en place d'autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative.

(118) L'indépendance des autorités de contrôle ne devrait pas signifier que celles-ci ne peuvent être soumises à des mécanismes de contrôle ou de suivi de leur gestion financière ni à un contrôle juridictionnel.

Afficher les considérants de la Directive 95/46 liés à l'article 52 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 52 keyboard_arrow_up

(62) considérant que l'institution, dans les États membres, d'autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel.

Le GDPR

L’article 52 pour objet de clarifier les conditions garantissant l'indépendance des autorités de contrôle, en application de la jurisprudence de la Cour de justice de l'Union européenne (CJUE, 9 mars 2010, C-518/07), et en s'inspirant également de l'article 44 du Règlement (CE) n° 45/200135.

Dans cette affaire, la Cour a considéré que la République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la Directive 95/46 en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par le secteur non public dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

Par ailleurs, l’article 44 du Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, prévoit en détail les conditions d’indépendance du contrôleur européen de la protection des données.

L’article 52 rappelle que l’autorité de contrôle de chaque État membre doit exercer ses missions et ses pouvoirs en toute indépendance, en conformité avec le Règlement. A cet effet, le second paragraphe de l’article 52 précise que les membres de l’autorité de contrôle doivent dans l’exercice de leurs pouvoirs, demeurer libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne doivent solliciter, ni accepter d'instructions de quiconque.

Le troisième paragraphe fait obligation aux membres de l’autorité de contrôle de s’abstenir de tout acte incompatible avec leur fonction pendant la durée de leur mandat, ce qui implique de ne pas exercer une autre activité professionnelle qui soit incompatible avec leur fonction, que celle-ci soit ou non rémunéré (art. 52, § 3). En vertu du 4e paragraphe, les États membres doivent doter lesdites autorités des ressources humaines, techniques et financières, ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif des fonctions et des pouvoirs dont elles sont investies, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.

Chaque autorité de contrôle doit également pouvoir choisir et disposer de ses propres agents, qui sont placés sous les ordres du membre ou des membres de l'autorité de contrôle (§ 5).

Enfin, comme le précise le considérant 118, l’indépendance de l’autorité de contrôle ne fait pas obstacle à un mécanisme de contrôle ou de suivi de leur gestion financière. Partant, l’article 52, en son paragraphe 6 prévoit que chaque autorité nationale doit être soumise à un contrôle financier, sans que ce contrôle ne mette en péril son indépendance. À cet effet, chaque autorité doit disposer d’un budget annuel public propre, qui peut faire partie du budget général de l'État ou du budget national.

La Directive

Selon l’article 28, paragraphe 1, second alinéa, de la Directive, les autorités nationales devaient exercer en toute indépendance les missions dont elles étaient investies.

Belgique

La loi du 8 décembre 1992 prévoit également en son article 24 que les membres de la Commission de la protection de la vie privée doivent offrir toutes les garanties leur permettant d'exercer leur mission avec indépendance et être parfaitement compétents dans le domaine de la protection des données.

Difficultés probables ?

On ne voit pas a priori de difficultés particulières d’implémentation.

Jurisprudence de la CJUE

C-518/07 (9 mars 2010)

1)      La République fédérale d’Allemagne a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, en soumettant à la tutelle de l’État les autorités de contrôle compétentes pour la surveillance du traitement des données à caractère personnel par les organismes non publics et les entreprises de droit public prenant part à la concurrence sur le marché (öffentlich-rechtliche Wettbewerbsunternehmen) dans les différents Länder, transposant ainsi de façon erronée l’exigence selon laquelle ces autorités exercent leurs missions «en toute indépendance».

2)      La République fédérale d’Allemagne est condamnée à supporter les dépens de la Commission européenne.

3)      Le Contrôleur européen de la protection des données supporte ses propres dépens.

Conclusions de l'Avocat général 

Arrêt rendu 

C-614/10 (16 octobre 2012)

1)      En ne prenant pas toutes les dispositions nécessaires pour que la législation en vigueur en Autriche satisfasse au critère d’indépendance concernant la Datenschutzkommission (commission de protection des données), plus précisément, en instituant un cadre réglementaire en vertu duquel

–        le membre administrateur de la Datenschutzkommission est un fonctionnaire fédéral assujetti à une tutelle de service,

–        le bureau de la Datenschutzkommission est intégré aux services de la chancellerie fédérale, et

–        le chancelier fédéral dispose d’un droit inconditionnel à l’information sur tous les aspects de la gestion de la Datenschutzkommission,

la République d’Autriche a manqué aux obligations qui lui incombent en vertu de l’article 28, paragraphe 1, second alinéa, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

2)      La République d’Autriche est condamnée à supporter les dépens de la Commission européenne.

3)      La République fédérale d’Allemagne et le Contrôleur européen de la protection des données supportent leurs propres dépens.

Conclusions de l'Avocat général

Arrêt rendu

C-230/14 (1 octobre 2015)

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Règlement
1e 2e

Art. 52

1. Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.

2. Dans l'exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent d'instructions de quiconque.

3. Le ou les membres de chaque autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

4. Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité.

5. Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du ou des membres de l'autorité de contrôle concernée.

6. Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu’elle dispose d'un budget annuel public propre, qui peut faire partie du budget global national ou d'une entité fédérée.

Proposition 1 close

1. L'autorité de contrôle exerce en toute indépendance les missions et les pouvoirs qui lui sont confiés.

2. Dans l'accomplissement de leur mission, les membres de l'autorité de contrôle ne sollicitent ni n'acceptent d'instructions de quiconque.

3. Les membres de l’autorité de contrôle s'abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n'exercent aucune activité professionnelle incompatible, rémunérée ou non.

4. Après la cessation de leurs fonctions, les membres de l'autorité de contrôle sont tenus de respecter les devoirs d'honnêteté et de délicatesse quant à l'acceptation de certaines fonctions ou de certains avantages.

5. Chaque État membre veille à ce que l’autorité de contrôle dispose des ressources humaines, techniques et financières appropriées, ainsi que des locaux et de l'infrastructure, nécessaires à l'exécution effective de ses fonctions et pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données. 6. Chaque État membre veille à ce que l'autorité de contrôle dispose de son propre personnel, qui est désigné par le directeur de l'autorité de contrôle et est placé sous les ordres de celui-ci.

7. Les États membres veillent à ce que l'autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que l’autorité de contrôle dispose de budgets annuels propres. Les budgets sont rendus publics.

Proposition 2 close

1. Chaque autorité de contrôle exerce en toute indépendance les fonctions et les pouvoirs qui lui sont confiés conformément au présent règlement.

2. Dans l'exercice de leurs fonctions et de leurs pouvoirs conformément au présent règlement, le membre ou les membres de l'autorité de contrôle demeurent libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent d'instructions de quiconque.

3. (…)

4. (…)

5. Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières (…), ainsi que des locaux et de l'infrastructure nécessaires à l'exercice effectif de ses fonctions et de ses pouvoirs, notamment ceux qu'elle doit mettre en œuvre dans le cadre de l'assistance mutuelle, de la coopération et de la participation au comité européen de la protection des données.

6. Chaque État membre veille à ce que chaque autorité de contrôle dispose de ses propres agents, qui sont (…) placés sous les ordres du membre ou des membres de l'autorité de contrôle.

7. Les États membres veillent à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance. Les États membres veillent à ce que chaque autorité de contrôle dispose d'un budget annuel public propre, pouvant faire partie du budget général de l'État ou du budget national.

Directive close

Art. 28

(…).

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

 

 

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 43

Les membres du comité de direction, les membres du centre de connaissances, du service d'inspection ainsi que de la chambre contentieuse ne reçoivent ni demandes dans les limites de leurs attributions, ni instructions de façon directe ou indirecte.

  Il leur est interdit d'être présents lors d'une délibération ou décision sur les dossiers pour lesquels ils ont un intérêt personnel ou direct ou pour lesquels leurs parents ou alliés jusqu'au troisième degré ont un intérêt personnel ou direct.

Art. 38

 Au moment de leur nomination et au cours de leur mandat, les membres du comité de direction, du centre de connaissances et de la chambre contentieuse doivent remplir les conditions suivantes :]1

  1° être citoyen d'un Etat membre de l'Union européenne;

  2° jouir de leurs droits civils et politiques;

  3° ne pas être membre du Parlement européen ou des Chambres législatives, ni d'un Parlement de Communauté ou de Région;

  4° ne pas être membre d'un Gouvernement fédéral, d'un Gouvernement de communauté ou de région;

  5° ne pas exercer une fonction dans une cellule stratégique ministérielle;

  6° ne pas être mandataire d'une fonction publique.

Art. 44

§ 1er. Les membres du comité de direction, les membres du centre de connaissances et les membres de la chambre contentieuse ne peuvent, durant la durée de leur mandat, exercer une autre activité incompatible avec leur mandat, rémunérée ou non.

  Une activité incompatible est une activité pouvant bénéficier directement ou indirectement des décisions et prises de positions que peut prendre l'Autorité de protection des données.

  La Chambre des représentants peut autoriser un membre du comité de direction à exercer une activité complémentaire pour autant que l'exercice de sa fonction à plein temps ainsi que son indépendance et sa réputation n'en soient pas affectés.

  § 2. Avant de commencer leur mandat les membres visés au paragraphe 1er complètent et signent une déclaration d'absence de conflits d'intérêts. Ils tiennent à jour cette déclaration durant la durée de leur mandat.

  Pendant les deux années qui suivent la fin de leur mandat, les membres du comité de direction ne peuvent pas exercer de fonction qui pourrait directement ou indirectement leur apporter des avantages découlant de l'exercice de leur mandat.

  [1 § 3. Un congé pour mission d'intérêt général peut être octroyé à un fonctionnaire ou un magistrat pour exercer la fonction de membre du comité de direction. Durant leur mandat, ils perçoivent leur traitement en qualité de membre du comité de direction, leur traitement en tant que fonctionnaire ou magistrat étant suspendu.]1

Art. 46

§ 1er. Le cadre du personnel de l'Autorité de protection des données, le statut et le mode de recrutement du personnel sont fixés par la Chambre des représentants, sur proposition de l'Autorité de protection des données.

  Pour le reste, le personnel de l'Autorité de protection des données est soumis aux règles légales et statutaires applicables aux membres du personnel de la fonction publique fédérale.

  § 2. Les membres du personnel de l'Autorité de protection des données nommés à titre définitif bénéficient, en matière de pension de retraite, du régime qui est d'application pour les agents qui sont occupés à titre définitif à l'administration fédérale de l'Etat. Ces pensions sont à charge du Trésor public.

Art. 49

Une dotation est inscrite au budget général des dépenses de l'Etat pour financer le fonctionnement de l'Autorité de protection des données.

  L'Autorité de protection des données établit annuellement un projet de budget pour son fonctionnement. Assistée par la Cour des comptes, la Chambre des représentants examine les propositions budgétaires détaillées de l'Autorité de protection des données, elle les approuve et contrôle l'exécution de son budget, elle examine et approuve en outre les comptes détaillés.

  L'Autorité de protection des données joint à sa proposition de budget annuel un plan stratégique, accompagné de l'avis du conseil de réflexion et un plan de management.

  Pour son budget et ses comptes, l'Autorité de protection des données utilise un schéma budgétaire et des comptes comparable à celui qui est utilisé par la Chambre des représentants

 

Ancienne loi close

Art. 23.

Il est institué auprès de la Chambre des représentants une Commission de la protection de la vie privée, composée de membres désignés par la Chambre des représentants, parmi lesquels le président et le vice-président.)

Le siège de la Commission est établi dans l'arrondissement administratif de Bruxelles-Capitale.

close