Qui est l’acteur ?
Le Conseil européen de la protection des données (EDPB[1] ) est un “organe de l’Union” doté d’une “personnalité juridique” établie sur la base de l’art. 68 duRGPD. Il est composé d’une autorité de contrôle de chaque État membre et du CEPD (le Contrôleur européen de la protection des données, qui sera présenté plus tard). Le EDPB a remplacé le groupe de travail Article 29 sur la protection des données (WP29) lorsque le RGPD est entré en vigueur. Ce faisant, il a également approuvé certains des avis de la ligne directrice du groupe de travail[2] .
L’EDPB est responsable d’un nombre important de tâches qui sont énumérées à l’art. 70 duRGPD. Ces tâches comprennent, sans s’y limiter, la publication de lignes directrices, d’avis, de recommandations et de bonnes pratiques sur l’application du RGPD, la fourniture de conseils à la Commission européenne sur les questions relatives au RGPD et la promotion de l’échange de connaissances et d’informations entre les différentes autorités de surveillance.
Plus important encore, l’EDPB est préoccupé par l’application et l’interprétation cohérentes du RGPD dans tous les États membres. Conformément à l’art. 65(1) du RGPD, l’EDPB doit adopter des décisions contraignantes si une autorité de contrôle principale ne suit pas un avis fourni par l’EDPB ou s’il existe des opinions contradictoires sur l’application du RGPD par différentes autorités de surveillance.[3] Ces cas déclenchent le “mécanisme de cohérence” par lequel l’EDPB peut émettre des avis sur la manière dont le RGPD doit être appliqué dans plusieurs États membres. Si les autorités de surveillance de ces États membres ne respectent pas un avis de l’EDPB, celui-ci peut prendre des décisions contraignantes, qui doivent être respectées par les autorités de surveillance, afin de résoudre les différends[4] .
Quelles sont ses missions ?
L’EDPB a pour mission de conseiller la Commission européenne sur les questions liées à la protection des données à caractère personnel et sur le format et les procédures d’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que sur la certification. En outre, il encourage la coopération et l’échange bilatéral et multilatéral efficace d’informations et de bonnes pratiques entre les autorités de contrôle. Elle publie des lignes directrices, des recommandations et des bonnes pratiques et examine toute question relative à celles-ci ou au RGPD. L’accréditation des organismes de certification et leur examen périodique sont effectués par l’EDPB. En outre, il établit un rapport annuel sur la protection des personnes physiques, le traitement dans l’Union, les pays tiers et les organisations internationales.
Quels sont ses droits et ses responsabilités ?
L’EDPB agit de manière indépendante dans l’accomplissement de ses tâches.
Pour remplir ses missions, l’EDPB peut publier et établir des décisions, des avis et des lignes directrices contraignants. Par exemple, l’EDPB a approuvé les orientations du WP29, notamment sur le consentement, la transparence et bien d’autres encore[5] , et a publié des orientations supplémentaires[6] . Comme indiqué précédemment, l’EDPB peut émettre des avis et des décisions contraignantes sur l’application du RGPD dans les États membres.
- Pour de plus amples informations sur l’EDPB, veuillez consulter le site officiel de l’UE : https://edpb.europa.eu/about-edpb/about-edpb_en. ↑
- Le Conseil européen de la protection des données, (EDPB), Endorsement 1/2018, https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf (dernière visite le 24.11.2020). ↑
- Art. 65(1) RGPD “Résolution des litiges par le Conseil”. ↑
- Voir “Consistency Findings”, EDPB, disponible à l’adresse https://edpb.europa.eu/our-work-tools/consistency-findings_en (dernière visite le 25.11.2020). ↑
- Approbation 1/2018, EDPB, disponible à l’adresse https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf (dernière visite : 25.11.2020). ↑
- Voir “RGPD : Lignes directrices, recommandations, bonnes pratiques”, https://edpb.europa.eu/our-work-tools/general-guidance/RGPD-guidelines-recommendations-best-practices_en pour une liste de lignes directrices et de recommandations fournies par l’EDPB. ↑