Article 77
Droit d'introduire une réclamation auprès d'une autorité de contrôle

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 77 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 77 keyboard_arrow_up

(7) Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l'Union, assorti d'une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.

(141) Toute personne concernée devrait avoir le droit d'introduire une réclamation auprès d'une seule autorité de contrôle, en particulier dans l'État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l'article 47 de la Charte si elle estime que les droits que lui confère le présent règlement sont violés ou si l'autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n'agit pas alors qu'une action est nécessaire pour protéger les droits de la personne concernée. L'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce. L'autorité de contrôle devrait informer la personne concernée de l'état d'avancement et de l'issue de la réclamation dans un délai raisonnable. Si l'affaire requiert un complément d'enquête ou une coordination avec une autre autorité de contrôle, des informations intermédiaires devraient être fournies à la personne concernée. Afin de faciliter l'introduction des réclamations, chaque autorité de contrôle devrait prendre des mesures telles que la fourniture d'un formulaire de réclamation qui peut être également rempli par voie électronique, sans que d'autres moyens de communication soient exclus.

(142) Lorsqu'une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu'il introduise une réclamation en son nom auprès d'une autorité de contrôle, exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d'un État membre, exerce le droit d'obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d'introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s'il a des raisons de considérer que les droits d'une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d'une personne concernée indépendamment du mandat confié par la personne concernée.

(143) Toute personne physique ou morale a le droit de former un recours en annulation des décisions du comité devant la Cour de justice dans les conditions prévues à l'article 263 du traité sur le fonctionnement de l’Union européenne. Dès lors qu'elles reçoivent de telles décisions, les autorités de contrôle concernées qui souhaitent les contester doivent le faire dans un délai de deux mois à compter de la notification qui leur en a été faite, conformément à l'article 263 du traité sur le fonctionnement de l’Union européenne. Lorsque des décisions du comité concernent directement et individuellement un responsable du traitement, un sous-traitant ou l'auteur de la réclamation, ces derniers peuvent former un recours en annulation de ces décisions dans un délai de deux mois à compter de leur publication sur le site internet du comité, conformément à l'article 263 du traité sur le fonctionnement de l’Union européenne. Sans préjudice de ce droit prévu à l'article 263 du traité sur le fonctionnement de l’Union européenne, toute personne physique ou morale devrait disposer d'un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d'une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l'exercice, par l'autorité de contrôle, de pouvoirs d'enquête, d'adoption de mesures correctrices et d'autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle. Les actions contre une autorité de contrôle devraient être portées devant les juridictions de l'État membre sur le territoire duquel l'autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d'une pleine compétence, et notamment de celle d'examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.Lorsqu'une réclamation a été rejetée ou refusée par une autorité de contrôle, l'auteur de la réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le cadre des recours juridictionnels relatifs à l'application du présent règlement, les juridictions nationales qui estiment qu'une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à l'article 267 du traité sur le fonctionnement de l’Union européenne, doivent demander à la Cour de justice de statuer à titre préjudiciel sur l'interprétation du droit de l'Union, y compris le présent règlement. En outre, lorsqu'une décision d'une autorité de contrôle mettant en oeuvre une décision du comité est contestée devant une juridiction nationale et que la validité de la décision du comité est en cause, ladite juridiction nationale n'est pas habilitée à invalider la décision du comité et doit, dans tous les cas où elle considère qu'une décision est invalide, soumettre la question de la validité à la Cour de justice, conformément à l'article 267 du traité sur le fonctionnement de l’Union européenne tel qu'il a été interprété par la Cour de justice. Toutefois, une juridiction nationale peut ne pas soumettre une question relative à la validité d'une décision du comité à la demande d'une personne physique ou morale qui a eu la possibilité de former un recours en annulation de cette décision, en particulier si elle était concernée directement et individuellement par ladite décision, et ne l'a pas fait dans le délai prévu à l'article 263 du traité sur le fonctionnement de l’Union européenne.

(144) Lorsqu'une juridiction saisie d’une action contre une décision prise par une autorité de contrôle a des raisons de croire que des actions concernant le même traitement, portant par exemple sur le même objet, effectué par le même responsable du traitement ou le même sous-traitant, ou encore la même cause, sont introduites devant une juridiction compétente d'un autre État membre, il convient qu'elle contacte cette autre juridiction afin de confirmer l'existence de telles actions connexes. Si des actions connexes sont pendantes devant une juridiction d'un autre État membre, toute juridiction autre que celle qui a été saisie en premier peut surseoir à statuer ou peut, à la demande de l'une des parties, se dessaisir au profit de la juridiction saisie en premier si celle-ci est compétente pour connaître de l'action concernée et que le droit dont elle relève permet de regrouper de telles actions connexes. Sont réputées connexes, les actions qui sont à ce point étroitement liées qu'il y a intérêt à les instruire et à les juger en même temps afin d'éviter que ne soient rendues des décisions inconciliables, issues de procédures séparées.

(145) En ce qui concerne les actions contre un responsable du traitement ou un sous-traitant, le demandeur devrait pouvoir choisir d'intenter l'action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant dispose d'un établissement ou dans l'État membre dans lequel la personne concernée réside, à moins que le responsable du traitement ne soit une autorité publique d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique.

Afficher les considérants de la Directive 95/46 liés à l'article 77 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 77 keyboard_arrow_up

La Directive imposait déjà aux États membres de mettre en place une procédure de réclamation auprès de l’autorité de contrôle. Ainsi, toute personne, ou une association la représentant, peuvent introduire toute demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. Celle-ci peut notamment consister en une demande de vérification de la licéité d'un traitement. Aux termes de l’article 28, paragraphe 4, la personne doit être informée des suites données à sa réclamation ou, le cas échéant, de ce qu'une vérification a eu lieu.

Le GDPR

À l’instar de la Directive, l’article 77 du Règlement investit toute personne concernée par un traitement du droit d’introduire une plainte auprès d'une autorité de contrôle, si celle-ci estime que le traitement de données à caractère personnel la concernant n'est pas conforme aux règles européennes. Toute violation du Règlement est donc susceptible de justifier une telle plainte.

Dans sa première mouture, le second paragraphe de l’article 77 précisait également les organisations habilitées à déposer une réclamation au nom de la personne concernée, voir même indépendamment de toute réclamation de la personne concernée, en cas de violation de données à caractère personnel. Cet élément n’a toutefois pas été retenu dans la version finale du texte. 

La détermination de l’autorité de contrôle à saisir n’est pas précisée de manière stricte. Selon le paragraphe 1er, la personne concernée peut introduire une réclamation tant auprès de l’autorité de contrôle dans lequel se trouve sa résidence habituelle, son lieu de travail que de celle exerçant sa compétence sur lieu où la violation aurait été commise.

Il incombe enfin à l’autorité de contrôle d’informer la personne concernée de l'état d'avancement et du résultat de la réclamation dans un délai raisonnable, et de lui indiquer son droit à un recours juridictionnel contre la décision de l’autorité de contrôle en vertu de l’article 78 du Règlement (§ 2).

La Directive

La Directive imposait déjà aux États membres de mettre en place une procédure de réclamation auprès de l’autorité de contrôle. Ainsi, toute personne, ou une association la représentant, peuvent introduire toute demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. Celle-ci peut notamment consister en une demande de vérification de la licéité d'un traitement. Aux termes de l’article 28, paragraphe 4, la personne doit être informée des suites données à sa réclamation ou, le cas échéant, de ce qu'une vérification a eu lieu.

France

La loi Informatique et Libertés et Libertés confère à Commission nationale de l’informatique et des libertés (CNIL) la compétence de recevoir les plaintes de toute personne physique ou morale relative à la mise en œuvre des traitements de données à caractère personnel (art. 11). La CNIL dispose à l’heure actuelle d’un véritable pouvoir de sanction ; conformément aux articles 45 et suivants de la loi Informatique et Libertés et Libertés, la formation restreinte de la CNIL peut, à l’issue d’une procédure contradictoire, prononcer une sanction pécuniaire, une injonction de cesser le traitement, un avertissement, ordonner le « verrouillage » de certaines données, etc. En cas d’atteinte grave et immédiate, la CNIL peut, par l’intermédiaire du président de la formation restreinte de la CNIL, demander à la juridiction compétente d’ordonner, au besoin sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Le législateur français a introduit une disposition supplémentaire dans la loi organique 2011/333 du 29 mars 2011 relative au Défenseur des droits. Dans le cadre de sa mission de protection des libertés et des droits des citoyens, le Défenseur des droits peut être saisi (gratuitement) par une personne et transmettre une réclamation à une « autre autorité indépendant investie d’une mission de protection des droits et libertés » et « accompagner cette transmission de ses observations et demander à être informé des suites données à celle-ci ». Il est associé à sa demande et aux travaux de la CNIL. (article 9 de la loi du 29 mars 2011).

Difficultés probables ?

Dans les pays où l’autorité n’avait pas de pouvoir de décision, on peut s’attendre à une augmentation des plaintes, dès lors qu’elles pourront aboutir à une décision, susceptible de recours. Le problème est alors de savoir quelle sera la procédure à respecter devant l’autorité nationale –on peut cependant supposer qu’elle soit contradictoire- et d’éviter que sa lourdeur et/ou son coût ne découragent la personne concernée.

Règlement
1e 2e

Art. 77

1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. L'autorité de contrôle auprès de laquelle la réclamation a été introduite informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 78.

Proposition 1 close

1. Sans préjudice de tout autre recours administratif ou judiciaire, toute personne concernée a le droit d’introduire une réclamation auprès d'une autorité de contrôle dans tout État membre si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2. Tout organisme, organisation ou association qui œuvre à la protection des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel et qui a été valablement constitué conformément au droit d’un État membre a le droit d'introduire une réclamation auprès d’une autorité de contrôle dans tout État membre au nom d’une ou de plusieurs personnes concernées s'il considère que les droits dont jouit une personne concernée en vertu du présent règlement ont été violés à la suite du traitement de données à caractère personnel.

3. Indépendamment d’une réclamation introduite par une personne concernée, tout organisme, organisation ou association visé au paragraphe 2 a le droit de saisir une autorité de contrôle dans tout État membre d'une réclamation s'il considère qu'il y a eu violation de données à caractère personnel.

Proposition 2 close

1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle unique, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant n'est pas conforme au présent règlement.

2. (…)

3. (…)

4. (…)

5. L'autorité de contrôle auprès de laquelle la réclamation a été introduite informe la personne à l'origine de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 74 (...).

Directive close

Art. 28

(…)

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d'une demande de vérification de la licéité d'un traitement lorsque les dispositions nationales prises en vertu de l'article 13 de la présente directive sont d'application. La personne est à tout le moins informée de ce qu'une vérification a eu lieu.

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 8

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l'article 40 du code de procédure pénale, lorsqu'elle acquiert connaissance d'un crime ou d'un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il est tenu compte d'une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques et numériques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l'Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l'Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.

Ancienne loi close

 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 11

Version initiale

(….).

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

La loi organique 2011/333 art 9 al 1er réfère au rôle du Défenseur des droits en la matière.

Art. 11

Modifié par la loi n°2018-493 du 20 juin 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

(...)

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci.

close