Qui sont ces acteurs ?
L’autorité de contrôle est une autorité publique indépendante établie par les États membres de l’UE. Les lois ne sont efficaces que si leur respect est supervisé et que les violations sont sanctionnées. C’est pour cette raison que le RGPD constitue des autorités de contrôle indépendantes dans son chapitre 6. De manière moins formelle, elles sont également appelées autorités de protection des données ou APD. Les APD font partie de la branche exécutive du gouvernement et travaillent de manière indépendante afin de pouvoir superviser d’autres agences gouvernementales.
Quelles sont leurs tâches ?
Les autorités de contrôle ou les APD sont chargées de surveiller et de faire respecter l’application du RGPD. En outre, elles doivent promouvoir la sensibilisation et la compréhension du public sur les questions relatives au traitement des données. Elles visent également à promouvoir la sensibilisation aux obligations des responsables du traitement et des sous-traitants de données personnelles en vertu du RGPD.
L’autorité de contrôle est l’une des personnes de contact auxquelles les personnes concernées peuvent s’adresser pour déposer une plainte relative à des malversations et elle est habilitée à mener des enquêtes sur ces malversations. L’autorité de contrôle fixe également les critères de certification pour la démonstration de la conformité.
Les tâches précises des autorités de contrôle sont réglementées à l’art. 57 duRGPD. Le sous-ensemble suivant des 22 tâches énumérées à l’art. 57(1) donne une idée générale :
- Contrôler et faire appliquer le RGPD.
- Sensibiliser les personnes concernées, le public, les responsables du traitement et les sous-traitants aux droits et obligations en matière de protection des données.
- Traiter les plaintes déposées par les personnes concernées.
- Mener des enquêtes.
- Adopter, autoriser ou approuver différents types de clauses contractuelles, de dispositions ou de règles d’entreprise contraignantes.
Afin de faire appliquer le RGPD, les autorités de contrôle disposent de “pouvoirs correctifs” (article 58, paragraphe 2, du RGPD) qui vont du simple avertissement à l’interdiction du traitement, en passant par les amendes administratives.
Quels sont leurs droits et leurs responsabilités ?
L’autorité de contrôle est chargée de veiller à l’application correcte du RGPD dans le traitement des données personnelles. Pour ce faire, l’autorité de contrôle doit agir de manière indépendante dans l’exercice de ses pouvoirs, y compris les pouvoirs d’enquête, les pouvoirs correctifs et les sanctions, le pouvoir d’imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement, ainsi que d’imposer des amendes administratives. En particulier, chaque mesure doit être appropriée, nécessaire et proportionnée afin d’assurer le respect du RGPD. Les États membres de l’UE doivent veiller à ce que l’autorité de contrôle dispose de ressources financières, humaines et techniques suffisantes.
Chaque État membre dispose-t-il d’une autorité de contrôle ?
“Chaque État membre prévoit une ou plusieurs autorités publiques indépendantes [de contrôle] chargées de contrôler l’application [du RGPD].” (article 51, paragraphe 1, du RGPD).
Dans la pratique, cela signifie que certains États membres ont une seule autorité de contrôle nationale, tandis que d’autres en ont plusieurs. Par exemple, la France dispose d’une seule autorité de contrôle appelée Commission nationale de l’informatique et des libertés (CNIL)[1] . L’Allemagne, quant à elle, dispose de plusieurs autorités de contrôle. Elles se situent toutes au même niveau mais sont responsables et compétentes pour différents types d’activités de traitement : les activités de traitement des agences fédérales et certains types spécifiques de traitement relèvent de la responsabilité du commissaire fédéral à la protection des données et à la liberté d’information (BfDI)[2] ; la compétence des autres activités de traitement publiques et privées est subdivisée géographiquement par État fédéral (Bundesland) ; les autorités spécifiques de protection des données des églises sont responsables des activités de traitement des églises.
Puis-je faire appel des décisions de l’autorité de contrôle ? Quelle est la plus haute juridiction d’appel ?
Les décisions d’une autorité de contrôle peuvent faire l’objet d’un recours en justice (article 78 du RGPD). Cela se fait généralement devant un tribunal administratif national. La décision de cette première instance peut faire l’objet d’un appel devant les juridictions de niveau supérieur jusqu’à la cour suprême nationale. Au-delà, la plus haute autorité judiciaire est la Cour de justice européenne.
Il convient de noter qu’il n’existe aucun mécanisme permettant aux responsables du traitement ou aux sous-traitants de faire appel d’une décision prise par une autorité de contrôle d’un État membre auprès du Conseil européen de la protection des données.