Art. 54

1. Chaque État membre prévoit, par la loi, tous les éléments suivants:

a) la création de chaque autorité de contrôle;

b) les qualifications et les conditions d'éligibilité requises pour être nommé membre de chaque autorité de contrôle;

c) les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle;

d) la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le … [date de l’entrée en vigueur du présent règlement], dont une partie peut être d'une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;

e) le caractère renouvelable ou non du mandat du ou des membres de chaque autorité de contrôle et, si c’est le cas, le nombre de mandats;

f) les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d'activités, d'emplois et d'avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l'emploi.

2. Le ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l'Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s'applique en particulier au signalement par des personnes physiques de violations du présent règlement.

Art. 28

1. Chaque État membre prévoit qu'une ou plusieurs autorités publiques sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l'élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l'égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment:

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l'obligation du secret professionnel à l'égard des informations confidentielles auxquelles ils ont accès.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 9

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est composée de dix-huit membres :

1° Deux députés et deux sénateurs, désignés respectivement par l'Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste ;

2° Deux membres du Conseil économique, social et environnemental, élus par cette assemblée ;

3° Deux membres ou anciens membres du Conseil d'Etat, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale du Conseil d'Etat ;

4° Deux membres ou anciens membres de la Cour de cassation, d'un grade au moins égal à celui de conseiller, élus par l'assemblée générale de la Cour de cassation ;

5° Deux membres ou anciens membres de la Cour des comptes, d'un grade au moins égal à celui de conseiller maître, élus par l'assemblée générale de la Cour des comptes ;

6° Trois personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, nommées par décret ;

7° Deux personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, désignées respectivement par le président de l'Assemblée nationale et par le président du Sénat ;

8° Le président de la Commission d'accès aux documents administratifs, ou son représentant.

Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son représentant.

Les deux membres désignés ou élus par une même autorité en application des 1° à 5° sont une femme et un homme. Les trois membres mentionnés au 6° comprennent au moins une femme et un homme.

Les deux membres mentionnés au 7° sont une femme et un homme. Pour l'application de cette règle, le membre succédant à une femme est un homme et celui succédant à un homme, une femme. Toutefois, le nouveau membre désigné est de même sexe que celui qu'il remplace, soit en cas de cessation du mandat avant son terme normal, soit en cas de renouvellement du mandat de l'autre membre mentionné au 7°.

Selon des modalités fixées par décret en Conseil d'Etat, le collège est, à l'exception de son président, renouvelé par moitié tous les deux ans et six mois.

Le président est nommé par décret du Président de la République parmi les membres pour la durée de son mandat. La commission élit en son sein deux vice-présidents, dont un vice-président délégué. Le président et les vice-présidents composent le bureau.

Le président exerce ses fonctions à temps plein. Sa fonction est incompatible avec toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique.

La durée du mandat de président est de cinq ans.

Le président de la commission reçoit un traitement égal à celui afférent à la seconde des deux catégories supérieures des emplois de l'Etat classés hors échelle.

En cas de besoin, le vice-président délégué exerce les attributions du président.

Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l'autorité du président.

La formation restreinte de la commission est composée d'un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau ne sont pas éligibles à la formation restreinte.

En cas de partage égal des voix, celle du président est prépondérante.

II. - Le mandat des membres de la commission est de cinq ans ; il est renouvelable une fois, sous réserve des dixième et onzième alinéas du I.

Art. 10

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les agents de la commission sont nommés par le président.
Ceux des agents qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées aux articles 19 et 25 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l'application des dispositions définissant les procédures autorisant l'accès aux secrets protégés par la loi.

Art. 11

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les agents de la commission sont astreints au secret pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, sous peine des sanctions prévues à l'article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l'établissement du rapport annuel, à l'article 226-13 du même code.

Art. 12

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le règlement intérieur de la commission précise notamment les règles relatives aux délibérations, à l'instruction des dossiers et à leur présentation devant la commission, ainsi que les modalités de mise en œuvre de la procédure de labellisation prévue au 3° du I de l'article 8.

Art. 13

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.

L'ordre du jour de la commission réunie en formation plénière est rendu public.

En cas de partage égal des voix, la voix du président est prépondérante.

La commission peut charger le président ou le vice-président délégué d'exercer celles de ses attributions mentionnées :

1° Aux f et g du 2° du I de l'article 8 ;

2° Au d du 2° du I de l'article 8 ;

3° Au d du 4° du I de l'article 8 ;

4° Aux articles 52, 108 et 118 ;

5° A l'article 66 ;

6° Au 4 de l'article 34 du règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;

7° Aux a et h du 3 de l'article 58 du même règlement.

Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature.

Art. 14

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

La Commission nationale de l'informatique et des libertés et la Commission d'accès aux documents administratifs se réunissent dans un collège unique, sur l'initiative conjointe de leurs présidents, lorsqu'un sujet d'intérêt commun le justifie.

Art. 15

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Le bureau peut être chargé par la commission d'exercer les attributions de celle-ci mentionnées au dernier alinéa de l'article 10.

Art. 16

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

La formation restreinte prend les mesures et prononce les sanctions à l'encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre.

Ses membres délibèrent hors de la présence des agents de la commission, à l'exception de ceux chargés de la tenue de la séance.

Les membres de la formation restreinte ne peuvent participer à l'exercice des attributions de la commission mentionnées aux d, f et g du 2° du I de l'article 8 et à l'article 19 de la présente loi.

Art. 17

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.

Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ainsi qu'à celles des réunions de son bureau qui ont pour objet l'exercice des attributions déléguées en application de l'article 15. Il peut assister aux séances de la formation restreinte, sans être présent au délibéré. Il est rendu destinataire de l'ensemble des avis et décisions de la commission et de la formation restreinte.

Sauf en matière de mesures ou de sanctions relevant de la section 3 du présent chapitre, il peut provoquer une seconde délibération de la commission, qui doit intervenir dans les dix jours suivant la délibération initiale.

Art. 18

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Les membres du Gouvernement, autorités publiques, dirigeants d'entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s'opposer à l'action de la Commission nationale de l'informatique et des libertés ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du g du 2° du I de l'article 8 sont tenues de fournir les renseignements demandés par celle-ci pour l'exercice de ses missions.