Article 68
Comité européen de la protection des données

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 68 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 68 keyboard_arrow_up

(72) Le profilage est soumis aux règles du présent règlement régissant le traitement des données à caractère personnel, par exemple le fondement juridique du traitement ou les principes en matière de protection des données. Le comité européen de la protection des données établi par le présent règlement (ci-après dénommé "comité") devrait pouvoir publier des directives à cet égard.

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(105) Outre les engagements internationaux pris par le pays tiers ou l'organisation internationale, la Commission devrait tenir compte des obligations découlant de la participation du pays tiers ou de l'organisation internationale à des systèmes multilatéraux ou régionaux, notamment en ce qui concerne la protection des données à caractère personnel, ainsi que de la mise en oeuvre de ces obligations. Il y a lieu, en particulier, de prendre en considération l'adhésion du pays tiers à la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel et à son protocole additionnel. Lorsqu’elle évalue le niveau de protection offert par des pays tiers ou des organisations internationales, la Commission devrait consulter le comité.

(124) Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union et que ce responsable du traitement ou ce sous-traitant est établi dans plusieurs États membres, ou que le traitement qui a lieu dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres, l'autorité de contrôle dont relève l'établissement principal ou l'établissement unique du responsable du traitement ou du sous-traitant devrait faire office d'autorité chef de file. Elle devrait coopérer avec les autres autorités concernées dans le cas où le responsable du traitement ou le sous-traitant a un établissement sur le territoire de l'État membre dont elles relèvent, dans le cas où les personnes concernées résidant sur le territoire dont elles relèvent sont affectées sensiblement ou encore dans le cas où une réclamation leur a été adressée. En outre, lorsqu'une personne concernée ne résidant pas dans cet État membre a introduit une réclamation, l'autorité de contrôle auprès de laquelle celle-ci a été introduite devrait également être une autorité de contrôle concernée. Dans le cadre de ses missions liées à la publication de lignes directrices sur toute question portant sur l'application du présent règlement, le comité devrait pouvoir publier des lignes directrices portant, en particulier, sur les critères à prendre en compte afin de déterminer si le traitement en question affecte sensiblement des personnes concernées dans plusieurs États membres et sur ce qui constitue une objection pertinente et motivée.

(136) Dans le cadre de l'application du mécanisme de contrôle de la cohérence, le comité devrait émettre un avis, dans un délai déterminé, si une majorité de ses membres le décide ou s'il est saisi d'une demande en ce sens par une autorité de contrôle concernée ou par la Commission. Le comité devrait également être habilité à adopter des décisions juridiquement contraignantes en cas de litiges entre autorités de contrôle. À cet effet, il devrait prendre, en principe à la majorité des deux tiers de ses membres, des décisions juridiquement contraignantes dans des cas clairement définis, en cas de points de vue divergents parmi les autorités de contrôle, notamment dans le cadre du mécanisme de coopération entre l'autorité de contrôle chef de file et les autorités de contrôle concernées, sur le fond de l'affaire et en particulier sur la question de savoir s'il y a ou non violation du présent règlement.

(139) Afin de favoriser l'application cohérente du présent règlement, le comité devrait être institué en tant qu'organe indépendant de l'Union. Pour pouvoir atteindre ses objectifs, le comité devrait être doté de la personnalité juridique. Il devrait être représenté par son président. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par la directive 95/46/CE. Il devrait se composer du chef d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données ou de leurs représentants respectifs. La Commission devrait participer aux activités du comité sans droit de vote et le contrôleur européen de la protection des données devrait disposer de droits de vote spécifiques. Le comité devrait contribuer à l'application cohérente du présent règlement dans l'ensemble de l'Union, notamment en conseillant la Commission, en particulier en ce qui concerne le niveau de protection dans les pays tiers ou les organisations internationales, et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union. Le comité devrait accomplir ses missions en toute indépendance.

Afficher les considérants de la Directive 95/46 liés à l'article 68 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 68 keyboard_arrow_up

(65) considérant que, au niveau communautaire, un groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel doit être instauré et qu'il doit exercer ses fonctions en toute indépendance; que, compte tenu de cette spécificité, il doit conseiller la Commission et contribuer notamment à l'application homogène des règles nationales adoptées en application de la présente directive;

Le GDPR

L’article 68 prévoit la constitution d’un Comité européen de la protection des données, doté de la personnalité juridique et représenté par son président, en lieu et place du Groupe Article 29.

Ce comité est composé du directeur de l’autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données, ou de leurs représentants respectifs. Lorsqu’il existe plusieurs autorités de contrôle au sein d’un même État membre, un représentant commun doit être désigné par ledit État, conformément à son droit national.

La Commission et le contrôleur européen à la protection des données ont le droit de participer aux réunions et activités du Comité, sans toutefois être investi d’un quelconque droit de vote. À cet effet, la Commission doit logiquement désigner un représentant (§ 5).

Enfin, le président du Comité doit veiller à tenir informée la Commission des activités du Comité européen à la protection des données.

Dans les cas visés à l’article 65, c’est-à-dire lorsque le Comité doit rendre une décision contraignante, le Contrôleur européen de la protection des données ne dispose d’un droit de vote que si la décision concerne les principes et les règles applicables aux institutions, organismes, bureaux et agences qui correspondent en substance à ceux du Règlement (§ 6).

La Directive

Tous les praticiens du droit à la protection des données prennent la mesure du rôle majeur joué par le Groupe Article 29 mis en place par la Directive. Ce groupe consultatif et indépendant est composé d'un représentant de l'autorité ou des autorités de contrôle désigné par chaque État membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission.

Le G29 est l’auteur de nombreux avis et recommandations sur les problématiques actuelles liées aux développements technologiques au regard de la protection des données à caractère personnel. Tous ses travaux sont librement accessibles sur le site http://ec.europa.eu/justice/data-protection/article-29/index_fr.htm .

Difficultés probables ?

On ne voit pas a priori de difficultés particulières d’implémentation. 

Règlement
1e 2e

Art. 68

1. Le comité européen de la protection des données (ci après dénommé "comité") est institué en tant qu'organe de l'Union et possède la personnalité juridique.

2. Le comité est représenté par son président.

3. Le comité se compose du chef d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données, ou de leurs représentants respectifs.

4. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, un représentant commun est désigné conformément au droit de cet État membre.

5. La Commission a le droit de participer aux activités et réunions du comité sans droit de vote. La Commission désigne un représentant. Le président du comité informe la Commission des activités du comité.

6. Dans les cas visés à l'article 65, le contrôleur européen de la protection des données ne dispose de droits de vote qu'à l'égard des décisions concernant des principes et règles applicables aux institutions, organes et organismes de l'Union qui correspondent, en substance, à ceux énoncés dans le présent règlement.

Proposition 1 close

1. Il est institué un comité européen de la protection des données.

2. Le comité européen de la protection des données se compose du directeur d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données.

3. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, celles-ci désignent le directeur de l'une d'entre elles comme représentant commun.

4. La Commission a le droit de participer aux activités et réunions du comité européen de la protection des données et désigne un représentant. Le président du comité européen de la protection des données informe sans délai la Commission de toutes les activités du comité européen de la protection des données.

Proposition 2 close

1 bis. Le comité européen de la protection des données est institué en tant qu'organe de l'Union et possède la personnalité juridique.

1 ter. Le comité européen de la protection des données est représenté par son président.

2. Le comité européen de la protection des données se compose du directeur d'une autorité de contrôle de chaque État membre ou de son représentant et du contrôleur européen de la protection des données.

3. Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l'application des dispositions du présent règlement, (...) un représentant commun est désigné conformément à la législation nationale de cet État membre.

4. La Commission et le contrôleur européen de la protection des données ou son représentant ont le droit de participer aux activités et réunions du comité européen de la protection des données sans droit de vote. La Commission désigne un représentant. Le président du comité européen de la protection des données informe (...) la Commission des activités du comité européen de la protection des données.

Directive close

Art. 29

Groupe de protection des personnes à l'égard du traitement des données à caractère personnel

1. Il est institué un groupe de protection des personnes à l'égard du traitement des données à caractère personnel, ci-après dénommé «groupe».

Le groupe a un caractère consultatif et indépendant.

2. Le groupe se compose d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque État membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes communautaires et d'un représentant de la Commission.

Chaque membre du groupe est désigné par l'institution, l'autorité ou les autorités qu'il représente. Lorsqu'un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d'un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.

3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.

4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est renouvelable.

5. Le secrétariat du groupe est assuré par la Commission.

6. Le groupe établit son règlement intérieur.

7. Le groupe examine les questions mises à l'ordre du jour par son président, soit à l'initiative de celui-ci, soit à la demande d'un représentant des autorités de contrôle ou de la Commission.

Aucune disposition spécifique

Ancienne loi close

Pas de disposition correspondante

Turkey close

close