Lexique IT
Autorité de contrôle
Une autorité de contrôle est une autorité publique indépendante qui est instituée par un Etat membre de l’Union européenne en vertu du RGPD.
Elle contrôle par des pouvoirs d’enquête et de coercition l’application du RGPD et des lois nationales relatives à la protection des données à caractère personnel sur le territoire dont elle relève.
Ses missions sont multiples puisque chaque autorité de contrôle :
- Contrôle l’application du RGPD et veille au respect de celui-ci ;
- Favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement ;
- Conseille le Parlement national, le Gouvernement et les autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et des libertés des personnes physiques à l’égard du traitement;
- Encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement ;
- Fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le RGPD et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres ;
- Traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;
- Coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du RGPD et des mesures prises pour en assurer le respect ;
- Effectue des enquêtes sur l’application du RGPD, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique ;
- Suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication et des pratiques commerciales ;
- Adopte des clauses contractuelles types ;
- Etablit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données ;
- Fournit des conseils sur les opérations de traitement soumises à consultation préalable ;
- Encourage l’élaboration de codes de conduite, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes ;
- Encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données et approuve les critères de certification ;
- Procède, le cas échéant, à l’examen périodique des certifications délivrées;
- Rédige et publie les exigences relatives à l’agrément d’un organisme chargé du suivi des codes de conduite et d’un organisme de certification ;
- Procède à l’agrément d’un organisme chargé du suivi des codes de conduite ;
- Autorise les clauses contractuelles types ;
- Approuve les règles d’entreprise contraignantes ;
- Tient des registres internes des violation au RGPD et des mesures prises.
L’indépendance des autorités de contrôle et de leurs membres est indispensable à l’exercice de leurs missions et de leurs pouvoirs dans les conditions prévues au RGPD.
A ce titre, la durée du mandat des membres des autorités de contrôle ne peut être inférieure à quatre années.
Les principales autorités de contrôle des Etats membres sont les suivants :
- Agencia Española de Protección de Datos (AEPD) – Espagne
- Autoriteit Persoonsgegevens (AP) – Pays-Bas
- Autorité de Protection des Données (APD) – Belgique
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) – Allemagne
- Commission Nationale de l’Informatique et des Libertés (CNIL) – France
- Datatilsynet – Danemark
- Garante per la protezione dei dati personali (Garante) – Italie
Dans les situations de traitements de données transfrontières (impliquant plusieurs Etats membres), l’autorité de contrôle chef de file compétente est par principe celle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant concernant le traitement.
Les Etats peuvent désigner plusieurs autorités de contrôle, comme l’Allemagne et l’Espagne, mais désigner celle qui représente les autorités de l’Etat notamment dans le cadre de leur participation participe au Comité Européen de la Protection des Données.
En effet, chaque autorité de contrôle des Etats membres de l’Union européenne participe au Comité Européen de la Protection des Données qui contribue à l’application cohérente au sein de l’Union des règles en matière de protection des données.
Point RGPD
« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union. »
Point jurisprudence
La Cour suprême finlandaise a rappelé « que mettre fin au mandat statutaire sans respecter les règles et garanties prévues par la loi applicable serait incompatible avec l’exigence d’indépendance » .
Korkein hallinto-oikeus, 10 septembre 2021, N°HFD:2021:125
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.