Article 58
Pouvoirs

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 58 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 58 keyboard_arrow_up

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d'enquête, le pouvoir d'adopter des mesures correctrices et d’infliger des sanctions, ainsi que le pouvoir d'autoriser et d'émettre des avis consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit d'un État membre, le pouvoir de porter les violations du présent règlement à l'attention des autorités judiciaires et d'ester en justice. Ces pouvoirs devraient également inclure celui d'imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Les États membres peuvent préciser d'autres missions liées à la protection des données à caractère personnel en application du présent règlement. Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l'Union et le droit des État membres, d'une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l'espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d'enquête en ce qui concerne l'accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l'obligation d'obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l'autorité de contrôle devrait être présentée par écrit, être claire et dénuée d'ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d'un membre de l'autorité de contrôle qu'il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un contrôle juridictionnel dans l'État membre dont relève l'autorité de contrôle qui l'a adoptée.

Afficher les considérants de la Directive 95/46 liés à l'article 58 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 58 keyboard_arrow_up

(63) considérant que ces autorités doivent être dotées des moyens nécessaires à l'exécution de leurs tâches, qu'il s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d'ester en justice; qu'elles doivent contribuer à la transparence du traitement de données effectué dans l'État membre dont elles relèvent;

Le GDPR

Le Règlement vise, afin d'assurer la cohérence de son contrôle et de son application dans l'ensemble de l'Union, à ce que les autorités de contrôle aient, dans chaque État membre, les mêmes pouvoirs effectifs.

L’article 58 prévoit dès lors de manière assez précise trois types de pouvoirs dont les États membres doivent, par voie législative, doter leur autorité nationale de contrôle :

-des pouvoirs d’enquête (§1er) : notamment ordonner la communication d’information -en ce compris les données traitées- dont elle a besoin pour exercer ses missions (a), mener des enquêtes sous forme d’audits (b), examiner les certifications octroyées au responsable du traitement ou sous-traitant conformément à l’article 42, § 7 (c), notifier au responsable ou au sous-traitant une violation alléguée du présent Règlement (d) ; accéder à toutes les données et les informations nécessaires (e) ; accéder à tous les locaux, installation et moyen de traitement du responsable ou du sous-traitant dans le respect du droit de l’Union et du droit procédural national (f).

-des pouvoirs de prendre des mesures correctrices (§2) : avertir le responsable ou sous-traitant du fait que leurs traitements envisagés sont susceptibles de violer les dispositions du Règlement (a), les rappeler à l’ordre en cas de violation avérée (b), leur ordonner de satisfaire aux demandes d’exercice des droits des personnes concernées (c), leur ordonner la mise en conformité de leur traitement de manière spécifique et dans un délai déterminé (d), ordonner la communication d’une violation de données à une personne concernée (e) ; limiter temporairement ou définitivement le traitement, incluant une interdiction de traiter (f) ; ordonner la rectification, la limitation ou l'effacement de données et la notification de ces mesures aux destinataires auxquels les données ont été divulguées (g) ; retirer ou ordonner à l’organisme de certification de retirer une certification délivrée ou lui faire interdiction de délivrer des certifications si les conditions de la certification ne sont pas ou plus réunies, au sens des articles 42 et 43 (h) ;infliger des amendes administratives en application de l’article 83 (i)  ; ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale (j).

-des pouvoirs d’autorisation et de conseil (§3) : notamment, conseiller le responsable dans le cadre de la consultation préalable prévue à l’article 36 (a) ; émettre, de sa propre initiative ou sur demande, des avis à l'attention des pouvoirs législatifs ou exécutifs de l’État membre ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel (b), autoriser un traitement effectué dans le cadre d’une mission d’intérêts publics visé à l’article 36, § 5 (c) ; émettre un avis sur un projet de code de conduite et les approuver (d) ; agréer des organismes de certification (e), octroyer des certifications ou approuver des critères de certification (f), adopter des clauses types de protection des données au sens des articles 28, § 8 et 4§, § 2, d (g) ;autoriser des clauses contractuelles(h), autoriser des accords administratifs (i) ou approuver des règles d’entreprise contraignantes conformément à l’article 47 (j).

Selon le paragraphe 4, l’exercice des pouvoirs reconnus aux autorités de contrôle doit être encadré par des garanties appropriées, telles qu’un recours effectif et une procédure régulière, prévues par le droit de l'Union et la législation des États membres conformément à la charte des droits fondamentaux de l'Union européenne (cfr les développements dans le considérant 129).

Chaque État membre doit prévoir, par voie législative, que son autorité de contrôle a le pouvoir de saisir de toute violation du Règlement l'autorité judiciaire et le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire respecter ses dispositions (§ 5).

Enfin, les États membres ont la faculté de doter leur autorité de contrôle de pouvoirs additionnels, pour autant que ceux-ci ne gênent pas le bon fonctionnement des dispositions du Chapitre VII relatif à la coopération et cohérence (§ 6).

La Directive

L’article 28 de la Directive prévoyait deux types de pouvoirs attribués aux autorités de contrôle : un pouvoir de consultation au profit des autorités nationales élaborant des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel (§2) ; des pouvoirs effectifs de contrôle se déclinant en pouvoirs d’investigation, pouvoirs effectifs d’intervention et pouvoirs d’ester en justice (§3).

Une large marge de manœuvre était toutefois laissée aux États membres de sorte que finalement, les pouvoirs des autorités de contrôle nationales pouvaient largement diverger d’un État membre à l’autre.

Belgique

La Commission de protection de la vie privée n’était en règle dotée que de pouvoirs d’avis et de recommandations et devait obligatoirement saisir une autorité judiciaire pour obtenir d’éventuelles sanctions.

Difficultés probables ?

Les pouvoirs dont sont dotées les autorités nationales de contrôle sont considérables -y compris en termes de sanctions- et modifieront sans doute profondément le rapport entre celles-ci et les responsables du traitement ou sous-traitants, particulièrement là où les autorités étaient organisées auparavant comme de simples organes d’avis et de conciliation. Elles acquièrent ainsi des pouvoirs de coercition semblables à ceux d’autorités administratives telles les autorités de concurrence, dont on connaît la crainte qu’elles suscitent auprès des entreprises. Elles s’instituent donc pour l’avenir en véritables « gendarmes » de la protection des données.

Cette extension de pouvoirs devra nécessairement impliquer un renforcement drastique des moyens humains et financiers des autorités existantes si on veut éviter que ceux-ci restent lettre morte. Cela suscitera assurément dans certains États membres des réticences, mais permettra sans doute à la protection d’être prise bien plus au sérieux qu’actuellement. En tout état de cause, le statut de ces autorités risque de changer profondément et de leur donner une importance institutionnelle qu’elles n’avaient pas auparavant.

A noter que les États membres garderont une marge de manœuvre quant à l’application des amendes aux autorités et organismes publics (cfr le commentaire de l’article 83).

Sommaire

Union Européenne

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices sur l’application et la fixation des amendes administratives - wp253 (3 octobre 2017)

(Approuvées par le CEPD)

L’Union européenne a mené à bien une réforme approfondie de la réglementation relative à la protection des données en Europe. Cette réforme repose sur plusieurs piliers (éléments clés): des règles cohérentes, des procédures simplifiées, des actions coordonnées, la participation des utilisateurs, une information plus efficace et des pouvoirs renforcés d’application des règles.

Les responsables du traitement et les sous-traitants sont plus que jamais chargés de veiller à la protection effective des données à caractère personnel des individus. Les autorités de contrôle sont investies de pouvoirs pour garantir que les principes du règlement général sur la protection des données (ci-après le «règlement») ainsi que les droits des personnes concernées sont respectés conformément à l’esprit et à la lettre du règlement.

L’application cohérente des règles relatives à la protection des données est essentielle à un régime harmonisé de protection des données. Les amendes administratives sont au coeur du nouveau régime d’application introduit par le règlement. Elles constituent un élément efficace de la panoplie dont les autorités de contrôle disposent pour faire respecter la réglementation, parallèlement aux autres mesures prévues par l’article 58.

Le présent document vise à aider les autorités de contrôle, auxquelles il est destiné, à améliorer l’application du règlement et à mieux le faire respecter. Il reflète leur compréhension commune des dispositions de l’article 83 du règlement ainsi que son interaction avec les articles 58 et 70 et les considérants correspondants.

En particulier, l’article 70, paragraphe 1, point e), prévoit que le comité européen de la protection des données (ci-après le «CEPD») est habilité à publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement. L’article 70, paragraphe 1, point k), précise la disposition pour ce qui est des lignes directrices concernant la fixation des amendes administratives.

Les présentes lignes directrices ne sont pas exhaustives et ne fournissent pas d’explications sur les différences entre les systèmes administratifs, civils ou pénaux lors de l’imposition de sanctions administratives en général.

Afin d’assurer une approche cohérente de l’imposition des amendes administratives, qui reflète de manière adéquate l’ensemble des principes énoncés dans les présentes lignes directrices, le CEPD a convenu d’une définition commune des critères d’évaluation visés à l’article 83, paragraphe 2, du règlement. Le CEPD et chaque autorité de contrôle conviennent donc d’utiliser les présentes lignes directrices dans le cadre d’une approche commune.

Lien

Retour au sommaire

Sommaire

Union Européenne

Belgique

France

Union Européenne

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-210/16 (5 juin 2018) - Wirtschaftsakademie Schleswig-Holstein

1)      L’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que la notion de « responsable du traitement », au sens de cette disposition, englobe l’administrateur d’une page fan hébergée sur un réseau social.

2)      Les articles 4 et 28 de la directive 95/46 doivent être interprétés en ce sens que, lorsqu’une entreprise établie en dehors de l’Union européenne dispose de plusieurs établissements dans différents États membres, l’autorité de contrôle d’un État membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3, de cette directive à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre, alors même que, en vertu de la répartition des missions au sein du groupe, d’une part, cet établissement est chargé uniquement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et, d’autre part, la responsabilité exclusive de la collecte et du traitement des données à caractère personnel incombe, pour l’ensemble du territoire de l’Union européenne, à un établissement situé dans un autre État membre.

3)      L’article 4, paragraphe 1, sous a), et l’article 28, paragraphes 3 et 6, de la directive 95/46 doivent être interprétés en ce sens que, lorsque l’autorité de contrôle d’un État membre entend exercer à l’égard d’un organisme établi sur le territoire de cet État membre les pouvoirs d’intervention visés à l’article 28, paragraphe 3, de cette directive en raison d’atteintes aux règles relatives à la protection des données à caractère personnel, commises par un tiers responsable du traitement de ces données et ayant son siège dans un autre État membre, cette autorité de contrôle est compétente pour apprécier, de manière autonome par rapport à l’autorité de contrôle de ce dernier État membre, la légalité d’un tel traitement de données et peut exercer ses pouvoirs d’intervention à l’égard de l’organisme établi sur son territoire sans préalablement appeler l’autorité de contrôle de l’autre État membre à intervenir.

Conclusions de l'Avocat général

Arrêt rendu

C-311/18 (16 juillet 2020) - Facebook Ireland et Schrems

1)   L’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que relève du champ d’application de ce règlement un transfert de données à caractère personnel effectué à des fins commerciales par un opérateur économique établi dans un État membre vers un autre opérateur économique établi dans un pays tiers, nonobstant le fait que, au cours ou à la suite de ce transfert, ces données sont susceptibles d’être traitées par les autorités du pays tiers concerné à des fins de sécurité publique, de défense et de sûreté de l’État.

2)   L’article 46, paragraphe 1, et l’article 46, paragraphe 2, sous c), du règlement 2016/679 doivent être interprétés en ce sens que les garanties appropriées, les droits opposables et les voies de droit effectives requis par ces dispositions doivent assurer que les droits des personnes dont les données à caractère personnel sont transférées vers un pays tiers sur le fondement de clauses types de protection des données bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’Union européenne par ce règlement, lu à la lumière de la charte des droits fondamentaux de l’Union européenne. À cet effet, l’évaluation du niveau de protection assuré dans le contexte d’un tel transfert doit, notamment, prendre en considération tant les stipulations contractuelles convenues entre le responsable du traitement ou son sous-traitant établis dans l’Union européenne et le destinataire du transfert établi dans le pays tiers concerné que, en ce qui concerne un éventuel accès des autorités publiques de ce pays tiers aux données à caractère personnel ainsi transférées, les éléments pertinents du système juridique de celui-ci, notamment ceux énoncés à l’article 45, paragraphe 2, dudit règlement.

3)   L’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci.

4)   L’examen de la décision 2010/87/UE de la Commission, du 5 février 2010, relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE du Parlement européen et du Conseil, telle que modifiée par la décision d’exécution (UE) 2016/2297 de la Commission, du 16 décembre 2016, au regard des articles 7, 8 et 47 de la charte des droits fondamentaux n’a révélé aucun élément de nature à affecter la validité de cette décision.

5)   La décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.

Conclusions de l'avocat général

Arrêt rendu

C-645/19 - Facebook Ireland Ltd e.a. c. Gegevensbeschermingsautoriteit

 

1) L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.  

 

 

2) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.

 

 

3) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée.

 

 

4) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.

 

 

5) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

Conclusions de l'Avocat général

Arrêt rendu

C-807/21,  Deutsche Wohnen SE contre Staatsanwaltschaft Berlin (5 décembre 2023)

1)      L’article 58, paragraphe 2, sous i), et l’article 83, paragraphes 1 à 6, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

ils s’opposent à une réglementation nationale en vertu de laquelle une amende administrative ne peut être infligée à une personne morale en sa qualité de responsable du traitement pour une violation visée aux paragraphes 4 à 6 de cet article 83 que pour autant que cette violation a été imputée préalablement à une personne physique identifiée.

2)      L’article 83 du règlement 2016/679

doit être interprété en ce sens que :

une amende administrative peut être imposée en application de cette disposition uniquement s’il est établi que le responsable du traitement, qui est à la fois une personne morale et une entreprise, a commis, délibérément ou par négligence, une violation visée aux paragraphes 4 à 6 de cet article.

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be, n°3/2021, (14 janvier 2021)

1. La seule circonstance que le RGPD laisse une marge de manœuvre pour infliger ou non des amendes administratives aux autorités publiques, sans offrir cette même marge de manœuvre à l’égard des personnes privées, ne suffit pas à conclure que la première catégorie de personnes et la seconde catégorie de personnes ne seraient pas suffisamment comparables au regard de la législation relative aux données à caractère personnel.

Dès lors, d’une part, que la notion de « responsable de traitement » de données à caractère personnel, au sens de l’article 4, point 7, du RGPD, s’applique indistinctement au secteur privé et au secteur public et, d’autre part, que les données à caractère personnel qui sont traitées par les deux catégories de personnes peuvent être identiques quant à leur nature et qu’elles concernent des données relatives notamment à l’identité, à la santé et à la situation financière de personnes, les deux catégories visées sont suffisamment comparables.

2. L’imposition d’amendes administratives à des autorités publiques en charge d’une mission d’intérêt général est susceptible de mettre en péril l’exercice de cette mission et, par conséquent, de porter atteinte à la continuité du service public, en raison du poids financier qui y est attaché. Nonobstant l’obligation, découlant de l’article 83, paragraphe 2, du RGPD, pour l’Autorité de protection des données, de prendre en compte une série d’éléments concrets lors de son examen de l’opportunité d’infliger des amendes administratives, y compris la finalité d’intérêt général des missions exercées par le responsable de traitement, l’exonération de toute amende constitue une mesure pertinente par rapport aux objectifs poursuivis par le législateur.

Saisissant la faculté offerte par le droit européen d’exonérer certaines personnes publiques des amendes administratives, le législateur a pu raisonnablement estimer qu’il n’était pas nécessaire de soumettre au système des amendes administratives les autorités publiques et leurs préposés ou mandataires autres que les personnes morales de droit public qui offrent des biens ou des services sur un marché.

3. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

4. L’examen de la compatibilité de la disposition attaquée avec les articles 7, 8, 20, 21, paragraphe 1, et 52, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne, avec l’article 16, paragraphe 1, du Traité sur le fonctionnement de l’Union européenne, avec le principe général d’égalité et de non-discrimination en droit de l’Union européenne, avec l’article 8 de la Convention européenne des droits de l’homme et avec les articles 83 et 84 du RGPD ne mène pas à une autre conclusion.

5. Il convient aussi de rappeler que les amendes administratives visant à sanctionner le non- respect des obligations en matière de protection des données ne sont qu’indirectement liées au respect effectif du droit des individus à la protection de leurs données à caractère personnel. Cette protection spécifique fait l’objet du régime de la responsabilité civile des responsables de traitement, contenu dans l’article 82 du RGPD. Le droit de toute personne à obtenir réparation des préjudices subis, sous forme de dommages et intérêts, est ouvert indistinctement contre les entreprises privées et contre les autorités publiques visées par la disposition attaquée.

6. L’article 83, paragraphe 7, du RGPD, tel qu’il est appliqué par la disposition attaquée, n’a ni pour objet ni pour effet de faire obstacle au respect du droit primaire de l’Union européenne. La faculté offerte aux États membres d’exclure certaines autorités publiques du champ d’application des amendes administratives est fondée sur un critère objectif et n’est pas dénuée de justification raisonnable, étant donné qu’elle ne porte pas atteinte au pouvoir des autorités de contrôle de prendre des mesures correctrices conformément à l’article 58, paragraphe 2, du RGPD. Cette disposition ne peut dès lors être tenue pour invalide. Si elle limite le nombre de mesures coercitives permettant de garantir le respect du RGPD, elle ne porte pas atteinte, en soi, au droit à la protection de la vie privée et des données à caractère personnel.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/582 (28 octobre 2020)

Le tribunal précise qu'un avertissement (avec publication) constitue une sanction et qu'il découle du seul fait qu'il s'agit d'une mesure corrective qu'il peut être susceptible d'avoir un effet préjudiciable sur la personne à qui il s'adresse.

Le tribunal a estimé que, bien que la chambre contentieuse puisse être un organe administratif, elle a un pouvoir étendu, ce qui en fait un organe semi-judiciaire. En conséquence, les principes généraux de bonne administration s'appliquent au processus.

La Cour d'appel ne peut user de sa plénitude de compétence lorsqu'elle est saisie d'un recours contre des mesures provisoires et correctives.

En l'espèce, le tribunal a annulé la décision de la chambre contentieuse de la DPA pour non-respect des principes de bonne administration, notamment parce que l'obligation d'être entendu n'a pas été respectée.

Arrêt rendu (néerlandais)

Bruxelles – Section Cour des marchés n° 2020/AR/1111 (30 juin 2021)

La Cour a annulé la décision au motif que la décision imposait une mesure corrective à Google Belgium alors que le responsable du traitement en cause est Google LLC (contre laquelle la plainte devrait être déposée), sans motiver suffisamment en quoi les activités de Google Belgium seraient inextricablement liées au responsable du traitement (Google LLC).

Google Belgium ne pourrait faire l'objet d'une mesure corrective que si l'APD peut prouver le lien entre les deux sociétés.

De plus, la Cour confirme la décision de publier la décision sans supprimer le nom de Google. Toutefois, la Cour reconnaît qu'elle n'est pas compétente pour annuler toute communication de l'APD autour de l'affaire, ni pour imposer une action à cet égard. Néanmoins, la Cour regrette que l'APD et ses membres communiquent dans la presse sur une affaire toujours pendante.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°304300 (6 novembre 2009)

1. Le droit au respect du domicile que les stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales protègent s'applique également, dans certaines circonstances, aux locaux professionnels où des personnes morales exercent leurs activités.

2. Ce droit doit être concilié avec les finalités légitimes du contrôle, par les autorités publiques, du respect des règles qui s'imposent à ces personnes morales dans l'exercice de leurs activités professionnelles. Le caractère proportionné de l'ingérence que constitue la mise en œuvre, par une autorité publique, de ses pouvoirs de visite et de contrôle des locaux professionnels résulte de l'existence de garanties effectives et appropriées, compte tenu, pour chaque procédure, de l'ampleur et de la finalité de ces pouvoirs.

3. Si le droit au respect du domicile que les stipulations de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales protègent s'applique également, dans certaines circonstances, aux locaux professionnels où des personnes morales exercent leurs activités, il doit être concilié avec les finalités légitimes du contrôle, par les autorités publiques, du respect des règles qui s'imposent à ces personnes morales dans l'exercice de leurs activités professionnelles. Le caractère proportionné de l'ingérence que constitue la mise en œuvre, par une autorité publique, de ses pouvoirs de visite et de contrôle des locaux professionnels résulte de l'existence de garanties effectives et appropriées, compte tenu, pour chaque procédure, de l'ampleur et de la finalité de ces pouvoirs.

4. Il ressort des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978, dans sa rédaction issue de la loi n°2004-801 du 6 août 2004 et des articles 61 et 62 du décret n° 2005-1309 du 20 octobre 2005 pris pour son application que les membres de la CNIL et leurs agents habilités peuvent accéder à des locaux professionnels en dehors de leurs heures normales de fonctionnement et en l'absence du responsable du traitement de données à caractère personnel soumis au contrôle. Toute entrave à l'exercice de ce droit de visite peut, en application des dispositions de l'article 51 de la loi du 6 janvier 1978, faire l'objet de sanctions pénales, à l'exception de l'exercice du droit d'opposition prévu par les dispositions de son article 44. Cependant, aucune disposition ne prévoit que le responsable du traitement soit prévenu de cette visite et puisse se faire assister de la personne de son choix, alors que les membres de la commission peuvent accéder aux programmes informatiques et aux données ainsi qu'en demander la transcription. En raison tant de l'ampleur de ces pouvoirs de visite des locaux professionnels et d'accès aux documents de toute nature qui s'y trouvent que de l'imprécision des dispositions qui les encadrent, cette ingérence ne pourrait être regardée comme proportionnée aux buts en vue desquelles elle a été exercée qu'à la condition d'être préalablement autorisée par un juge. Toutefois, la faculté du responsable des locaux de s'opposer à la visite, laquelle ne peut alors avoir lieu qu'avec l'autorisation et sous le contrôle du juge judiciaire, offre une garantie équivalente à l'autorisation préalable du juge. Néanmoins, une telle garantie ne présente un caractère effectif que si le responsable des locaux ou le représentant qu'il a désigné à cette fin a été préalablement informé de son droit de s'opposer à la visite et mis à même de l'exercer.

Arrêt rendu

CE Fr., n°335140 (16 avril 2012)

Le requérant demande l'annulation d'une décision portant, selon lui, création d'un traitement de données à caractère personnel. Il produit à l'appui de sa demande des éléments qui ne permettent, en l'état, ni de regarder comme établie l'existence d'un tel traitement ni, par suite, d'identifier une éventuelle décision de le créer. Il appartient au requérant, s'il estime cependant que ces éléments sont de nature à faire présumer de l'existence d'un traitement de données personnelles et s'il s'y croit fondé, de demander à la CNIL de faire usage des pouvoirs qu'elle détient pour vérifier la licéité de traitements au regard des dispositions de la loi n° 78-17 du 6 janvier 1978.

Arrêt rendu

CE Fr., n°340026 (27 juillet 2012)

Lorsqu'un procès-verbal dressé, conformément aux dispositions de l'article 64 du décret n° 2005-1309 du 20 octobre 2005, par un agent de la CNIL dans le cadre d'un contrôle sur place décrit le déroulement du contrôle et ses résultats, il appartient aux personnes qui en contestent les énonciations, en l'absence de dispositions leur attribuant la charge de la preuve contraire, de fournir néanmoins des éléments ou indications au soutien de leur contestation qui permettront au juge, dans le cadre du débat contradictoire, d'établir, le cas échéant, le caractère erroné ou incomplet des mentions du procès-verbal au regard de la réalité des faits ressortant du dossier issu du débat entre les parties.

Arrêt rendu

CE Fr., n°354629 (12 mars 2014)

1. La Société Foncia Groupe a mis un traitement de données à caractère personnel à disposition des entités qui lui sont liées, décidé de la nature des données collectées et déterminé les droits d'accès à celles-ci puis, après le contrôle de la Commission nationale de l'informatique et des libertés (CNIL),a fixé la durée de conservation des données et apporté des correctifs à leur traitement. Ainsi, cette société, qui détermine les finalités et les moyens du traitement, doit être regardée comme le responsable du traitement, la désignation d'un correspondant à la protection des données par les autres entités n'ayant pas, par elle-même, pour effet de rendre celles-ci responsables des traitements.

2. En vertu des dispositions de l'article 44 de la loi n° 78-17 du 6 janvier 1978 et de l'article 61 du décret n° 2005-1309 du 20 octobre 2005, lorsque des membres ou agents de la Commission nationale de l'informatique et des libertés (CNIL) opèrent un contrôle dans des locaux servant à la mise en œuvre d'un traitement de données à caractère personnel, le procureur territorialement compétent doit en être informé, au plus tard vingt-quatre heures avant le contrôle.

3. En l'espèce, si l'information a été communiquée au procureur territorialement compétent à 15 heures pour un contrôle qui a débuté le lendemain à 9 heures 15, soit dans un délai inférieur de cinq heures quarante-cinq minutes au délai de vingt-quatre heures prescrit, cette circonstance, dont il n'est pas établi ni même soutenu qu'en raison de la brièveté de ces délais, elle aurait fait obstacle à l'exercice par le procureur de ses pouvoirs, et par suite privé la société requérante d'une des garanties légales dont elle pouvait se prévaloir, n'est pas de nature à affecter la légalité de la décision de sanction prononcée par la CNIL.

Arrêt rendu

CE Fr., n°353193 (12 mars 2014)

La formation restreinte de la CNIL, lorsqu'elle est saisie d'agissements pouvant donner lieu à l'exercice de son pouvoir de sanction, doit être regardée comme décidant du bien-fondé d'accusations en matière pénale au sens de l'article 6, paragraphe 1 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales.

Arrêt rendu

CE Fr., n°391000 (24 février 2017)

Il résulte des dispositions de l'article 11 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés que, sans préjudice des voies de recours ouvertes devant le juge judiciaire s'agissant des litiges opposant des particuliers aux exploitants d'un moteur de recherche, la CNIL est compétente pour connaître des plaintes formées à la suite d'une décision de refus de déréférencement opposée par l'exploitant d'un moteur de recherche et, le cas échéant, pour mettre en demeure celui-ci de faire droit à la demande de déréférencement. Ce pouvoir s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

CE Fr., n°396050 (19 juin 2017)

Il résulte des dispositions de l'article 45 de la loi n° 78-17 du 6 janvier 1978 et de la délibération n° 2013-175 du 4 juillet 2013 portant règlement intérieur de la CNIL que la CNIL ne peut faire usage des pouvoirs de sanction qui lui sont dévolus qu'après avoir mis en demeure le responsable du traitement de respecter les obligations qui lui sont imposées par les textes législatifs et réglementaires, et faute pour l'intéressé de s'être conformé à cette mise en demeure dans le délai imparti à cet effet. L'autorité investie du pouvoir de sanction doit donc apprécier, à la date à laquelle ce délai a expiré, si la personne à l'encontre de laquelle la mise en demeure a été prononcée s'y est, en tout ou partie, conformée. En revanche, la circonstance qu'il a été remédié au manquement fautif postérieurement à la date d'expiration de la mise en demeure peut être prise en compte pour la détermination de la sanction infligée.

Arrêt rendu

CE Fr., n°416505 (21 juin 2018)

L'auteur d'une plainte peut déférer au juge de l'excès de pouvoir le refus de la CNIL d'engager à l'encontre de la personne visée par la plainte une procédure sur le fondement du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, y compris lorsque la CNIL procède à des mesures d'instruction ou constate l'existence d'un manquement aux dispositions de cette loi. Il appartient au juge de censurer ce refus en cas d'erreur de fait ou de droit, d'erreur manifeste d'appréciation ou de détournement de pouvoir. En revanche, lorsque la CNIL a décidé d'engager une procédure sur le fondement de l'article 45 de la loi du 6 janvier 1978, l'auteur de la plainte n'a intérêt à contester ni la décision prise à l'issue de cette procédure, quel qu'en soit le dispositif, ni le sort réservé à sa plainte à l'issue de cette dernière. Il est toutefois recevable à déférer, dans tous les cas, au juge de l'excès de pouvoir le défaut d'information par la CNIL des suites données à sa plainte.

Arrêt rendu

CE Fr., n°422575 (17 avril 2019)

1) Il résulte du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978, éclairé par les travaux préparatoires de cette loi, que la formation restreinte de la CNIL peut, sans mise en demeure préalable, sanctionner un responsable de traitement dont les manquements aux obligations qui lui incombent ne sont pas susceptibles d'être régularisés, soit qu'ils soient insusceptibles de l'être, soit qu'il y ait déjà été remédié.

2) Il résulte de l'instruction qu'à la suite d'une mesure correctrice apportée au traitement litigieux, le manquement aux obligations de sécurité constaté par la mission de contrôle de la CNIL avait cessé et n'était dès lors plus susceptible de faire l'objet d'une régularisation. Il s'ensuit que la formation restreinte de la CNIL a pu légalement engager, sans procéder à une mise en demeure préalable, une procédure de sanction à l'encontre du responsable du traitement.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 58

1. Chaque autorité de contrôle dispose de tous les pouvoirs d'enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions;

b) mener des enquêtes sous la forme d'audits sur la protection des données;

c) procéder à un examen des certifications délivrées en application de l'article 42, paragraphe 7;

d) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;

e) obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions;

f) obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres.

2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;

c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du présent règlement;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;

g) ordonner la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19;

h) retirer une certification ou ordonner à l'organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;

i) imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;

j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants:

a) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 36;

b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

c) autoriser le traitement visé à l'article 36, paragraphe 5, si le droit de l'État membre exige une telle autorisation préalable;

d) rendre un avis sur les projets de codes de conduite et les approuver en application de l'article 40, paragraphe 5;

e) agréer des organismes de certification en application de l'article 43;

f) délivrer des certifications et approuver des critères de certification conformément à l'article 42, paragraphe 5;

g) adopter les clauses types de protection des données visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d);

h) autoriser les clauses contractuelles visées à l'article 46, paragraphe 3, point a);

i) autoriser les arrangements administratifs visés à l'article 46, paragraphe 3, point b);

j) approuver les règles d'entreprise contraignantes en application de l'article 47.

4. L'exercice des pouvoirs conférés à l'autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte.

5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement.

6. Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L'exercice de ces pouvoirs n'entrave pas le bon fonctionnement du chapitre VII.

 

Proposition 1 close

1. Chaque autorité de contrôle a le pouvoir:

a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;

b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;

c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions

d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34;

e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

g) d'interdire temporairement ou définitivement un traitement;

h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel;

j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel.

2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:

 a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions;

b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement. Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.

3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2.

4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l’article 79, paragraphes 4, 5 et 6.

Proposition 2 close

1. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs d'enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement, de lui communiquer toute information dont elle a besoin pour l'exercice de ses missions;

a bis) mener des enquêtes sous la forme d'audits sur la protection des données;

a ter) procéder à un examen des certifications octroyées conformément à l'article 39, paragraphe 4;

b) (...)

c) (...)

d) informer le responsable du traitement ou le sous-traitant d'une violation alléguée du présent règlement;

d bis) obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses missions;

d ter) obtenir l'accès à tous les locaux du responsable du traitement ou du sous-traitant, notamment à toute installation ou à tout moyen de traitement, dans le respect du droit de l'Union ou du droit procédural national.

1 bis. (…).

1 ter. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs suivants en matière d'adoption de mesures correctrices:

a) avertir un responsable du traitement ou un sous-traitant du fait que les traitements envisagés sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l'ordre le responsable du traitement ou le sous-traitant lorsque les traitements ont entraîné une violation des dispositions du présent règlement;

c) (…);

c bis) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits présentées par la personne concernée en application du présent règlement;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les traitements en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé; en particulier en ordonnant la rectification, la limitation ou l'effacement de données en application des articles 16, 17 et 17 bis et la notification de ces mesures aux destinataires auxquels les données ont été divulguées conformément à l'article 17, paragraphe 2 bis, et à l'article 17 ter;

e) limiter temporairement ou définitivement un traitement (...);

f) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

g) infliger une amende administrative en application des articles 79 et 79 bis, en complément ou à la place des mesures visées au présent paragraphe, en fonction des particularités de chaque cas individuel.

1 quater. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs d'autorisation et des pouvoirs consultatifs suivants:

a) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 34;

a bis) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément à la législation nationale, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

a ter) autoriser le traitement visé à l'article 34, paragraphe 7 bis, si la législation de l'État membre exige une telle autorisation préalable;

a quater) émettre un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2 et les approuver;

a quinquies) agréer des organismes de certification conformément à l'article 39 bis;

a sexies) octroyer des certifications et approuver des critères de certification conformément à l'article 39, paragraphe 2 bis;

b) adopter les clauses types de protection des données visées à l'article 42, paragraphe 2, point c);

c) autoriser les clauses contractuelles visées à l'article 42, paragraphe 2 bis, point a);

c bis) autoriser les accords administratifs visés à l'article 42, paragraphe 2 bis, point d); d) approuver les règles d'entreprise contraignantes conformément à l'article 43.

2. L'exercice des pouvoirs conférés à l'autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours effectif et à une procédure régulière, prévues par le droit de l'Union et la législation des États membres conformément à la charte des droits fondamentaux de l'Union européenne.

3. Chaque État membre prévoit, par voie législative, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et (...), le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire respecter les dispositions du présent règlement.

4. (...)

5. (...)

Directive close

Art. 28

Autorité de contrôle

3. Chaque autorité de contrôle dispose notamment:

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 6 

L'autorité de protection des données a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice en vue de voir appliquer ces principes fondamentaux.

Art. 20§1 8°

§ 1er. Le secrétariat général a également pour tâches exécutives de:

  8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes.

Art. 71

Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 70. Le recours ne suspend pas la mesure.

 Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les 30 jours de la notification de la décision par envoi recommandé avec avis de réception.

Art. 78

Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer à tout moment dans l'entreprise, le service, ou tout autre endroit pour procéder à un examen sur place afin d'y faire des constatations matérielles.

Sauf accord écrit de la personne concernée ou autorisation du juge d'instruction, l'inspecteur général et les inspecteurs ne peuvent, sans la présence d'un représentant de l'ordre professionnel, pénétrer dans les locaux d'un professionnel qui est soumis au secret professionnel et pour qui une règlementation légale est prévue concernant des examens sur place et l'accès à leurs locaux professionnels.

  Art. 79 

§ 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer dans des espaces habités, moyennant l'accord de l'occupant ou, à défaut, une autorisation préalable du juge d'instruction.

  § 2. Pour obtenir cette autorisation, l'inspecteur général adresse une demande motivée au juge d'instruction du ressort de la personne contrôlée. Cette demande comporte au moins les données suivantes:

  1° l'identification des espaces habités qui font l'objet d'une visite;

  2° le nom de l'inspecteur qui dirige la visite des espaces habités;

  3° la législation qui fait l'objet du contrôle et pour laquelle les inspecteurs estiment nécessaire d'obtenir une autorisation de visite;

  4° les infractions présumées qui sont l'objet du contrôle;

  5° tous les documents et renseignements prouvant que l'emploi de ce moyen est nécessaire;

  6° la proportionnalité à l'égard de tout autre devoir d'enquête.

  § 3. Le juge d'instruction décide dans un délai de maximum quarante-huit heures après réception de la demande. Cette décision n'est susceptible d'aucun recours.

  § 4. Les visites des locaux habités sans l'accord de l'occupant sont effectuées entre cinq heures et vingt-et-une heures par au moins deux inspecteurs agissant conjointement.

Art. 81

§ 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent consulter tous les systèmes d'information et les données qu'ils contiennent, moyennant l'accord de la personne contrôlée ou, à défaut, une autorisation préalable du juge d'instruction.

  § 2. L'inspecteur général et les inspecteurs peuvent se faire produire sur place le système informatique et les données qu'ils contiennent dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu'ils ont demandée.

  S'il n'est pas possible de prendre des copies sur place, l'inspecteur général et les inspecteurs peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu'ils contiennent, aux conditions visées à l'article 89.

  § 3. La personne contrôlée doit garantir un accès par voie électronique au système informatique et à ces données à l'inspecteur général et aux inspecteurs.

L'inspecteur général et les inspecteurs peuvent prendre ou demander gratuitement des extraits, des duplicatas ou des copies du système informatique et des données qu'ils contiennent, sous une forme lisible et intelligible qu'ils ont demandée.

Art. 90

Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 89.

Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les trente jours de la remise du procès-verbal par envoi recommandé avec avis de réception.

Article 100§1 

§ 1er. La chambre contentieuse a le pouvoir de:

  1° classer la plainte sans suite;

  2° ordonner le non-lieu;

  3° prononcer la suspension du prononcé;

  4° proposer une transaction;

  5° formuler des avertissements et des réprimandes;

  6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;

  7° ordonner que l'intéressé soit informé du problème de sécurité;

  8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;

  9° ordonner une mise en conformité du traitement;

  10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données;

  11° ordonner le retrait de l'agréation des organismes de certification;

  12° donner des astreintes;

  13° donner des amendes administratives;

  14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;

  15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;

  16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.

Art. 108

§ 1er. La chambre contentieuse informe les parties de sa décision et de la possibilité de recours dans un délai de trente jours, à compter de la notification à la Cour des marchés.

  Sauf les exceptions prévues par la loi ou sauf si la chambre contentieuse en décide autrement par décision spécialement motivée, la décision est exécutoire par provision, nonobstant recours.

  La décision d'effacement des données conformément à l'article 100, § 1er, 10°, n'est pas exécutoire par provision.

§ 2 Un recours peut être introduit contre les décisions de la chambre contentieuse en vertu des articles 71 et 90 devant la Cour des marchés qui traite l'affaire selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire.

Ancienne loi close

Art.  31

§1er. Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi.


  § 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense.


  § 3. La Commission examine la recevabilité de la plainte. Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile. En cas de conciliation des parties, fondée sur le respect de la vie privée, elle dresse un procès-verbal dans lequel la solution retenue est explicitée. En l'absence de conciliation, la Commission émet un avis sur la caractère fondé de la plainte. Son avis peut être accompagné de recommandations à l'intention du responsable du traitement.


  § 4. Les décisions, avis et recommandations de la Commission sont motivés.


  § 5. La Commission communique sa décision, son avis ou ses recommandations au plaignant, au responsable du traitement et à toutes les autres parties à la cause. 
  Une copie de la décision, de l'avis des recommandations est adressée au Ministre de la Justice.

Art. 32

§ 1er. Pour l'accomplissement de toutes ses missions, la Commission peut requérir le concours d'experts. Elle peut charger un ou plusieurs de ses membres éventuellement assistés d'experts, de procéder à un examen sur place.

  (Dans ce cas, les membres de la Commission ont la qualité d'officier de police judiciaire, auxiliaire du procureur du Roi.)

  Ils peuvent notamment exiger communication de tout document pouvant leur être utile dans leur enquête.

  Ils peuvent également pénétrer en tous lieux où ils ont un motif raisonnable de supposer que s'exerce une activité en rapport avec l'application de la présente loi.

  § 2. Sauf si la loi en dispose autrement, la Commission dénonce au procureur du Roi les infractions dont elle a connaissance.

  La Commission communique chaque année aux Chambres législatives un rapport sur ses activités.

  (A côté de l'information générale relative à l'application de la présente loi et aux activités de la Commission, ce rapport, qui a un caractère public, contient de l'information spécifique sur l'application des articles 3, §§ 3 et 6, 13, 17 et 18.)

  § 3. Sans préjudice de la compétence des cours et tribunaux ordinaires pour l'application des principes généraux en matière de protection de la vie privée, le Président de la Commission peut soumettre au tribunal de première instance tout litige concernant l'application de la présente loi et de ses mesures d'exécution.

close