arrow_back Retour à tous les articles

Article 58
Pouvoirs

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 58 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 58 keyboard_arrow_up

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l'ensemble de l'Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d'enquête, le pouvoir d'adopter des mesures correctrices et d’infliger des sanctions, ainsi que le pouvoir d'autoriser et d'émettre des avis consultatifs, notamment en cas de réclamation introduite par des personnes physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit d'un État membre, le pouvoir de porter les violations du présent règlement à l'attention des autorités judiciaires et d'ester en justice. Ces pouvoirs devraient également inclure celui d'imposer une limitation temporaire ou définitive au traitement, y compris une interdiction. Les États membres peuvent préciser d'autres missions liées à la protection des données à caractère personnel en application du présent règlement. Les pouvoirs des autorités de contrôle devraient être exercés conformément aux garanties procédurales appropriées prévues par le droit de l'Union et le droit des État membres, d'une manière impartiale et équitable et dans un délai raisonnable. Toute mesure devrait notamment être appropriée, nécessaire et proportionnée en vue de garantir le respect du présent règlement, compte tenu des circonstances de l'espèce, respecter le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte et éviter les coûts superflus ainsi que les désagréments excessifs pour les personnes concernées. Les pouvoirs d'enquête en ce qui concerne l'accès aux installations devraient être exercés conformément aux exigences spécifiques du droit procédural des États membres, telle que l'obligation d'obtenir une autorisation judiciaire préalable. Toute mesure juridiquement contraignante prise par l'autorité de contrôle devrait être présentée par écrit, être claire et dénuée d'ambiguïté, indiquer quelle autorité de contrôle a pris la mesure et à quelle date, porter la signature du chef ou d'un membre de l'autorité de contrôle qu'il a autorisé, exposer les motifs qui sous-tendent la mesure et mentionner le droit à un recours effectif. Cela ne devrait pas exclure des exigences supplémentaires prévues par le droit procédural des États membres. Si une décision juridiquement contraignante est adoptée, elle peut donner lieu à un contrôle juridictionnel dans l'État membre dont relève l'autorité de contrôle qui l'a adoptée.

Afficher les considérants de la Directive 95/46 liés à l'article 58 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 58 keyboard_arrow_up

(63) considérant que ces autorités doivent être dotées des moyens nécessaires à l'exécution de leurs tâches, qu'il s'agisse des pouvoirs d'investigation et d'intervention, en particulier lorsque les autorités sont saisies de réclamations, ou du pouvoir d'ester en justice; qu'elles doivent contribuer à la transparence du traitement de données effectué dans l'État membre dont elles relèvent;

Guidelines

Ici viendront les guidelines

Groupe 29

Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679 (3 october 2017)

(Endorsed by the EDPB)

The EU has completed a comprehensive reform of data protection regulation in Europe. The reform rests on several pillars (key components): coherent rules, simplified procedures, coordinated actions, user involvement, more effective information and stronger enforcement powers.

Data controllers and data processors have increased responsibilities to ensure that personal data of the individuals is protected effectively. Supervisory authorities have powers to ensure that the principles of the General Data Protection Regulation (hereafter ‘the Regulation’) as well as the rights of the individuals concerned are upheld according to the wording and the spirit of the Regulation.

Consistent enforcement of the data protection rules is central to a harmonized data protection regime. Administrative fines are a central element in the new enforcement regime introduced by the Regulation, being a powerful part of the enforcement toolbox of the supervisory authorities together with the other measures provided by article 58.

This document is intended for use by the supervisory authorities to ensure better application and enforcement of the Regulation and expresses their common understanding of the provisions of article 83 of the Regulation as well as its interplay with articles 58 and 70 and their corresponding recitals.

In particular, according to article 70, (1) (e), the European Data Protection Board (hereafter ‘EDPB’) is empowered to issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation and article 70, (1), (k) specifies the provision for guidelines concerning the setting of administrative fines.

These guidelines are not exhaustive, neither will they provide explanations about the differences between administrative, civil or criminal law systems when imposing administrative sanctions in general.

In order to achieve a consistent approach to the imposition of the administrative fines, which adequately reflects all of the principles in these guidelines, the EDPB has agreed on a common understanding of the assessment criteria in article 83 (2) of the Regulation and therefore the EDPB and individual supervisory authorities agree on using this Guideline as a common approach.

Read the Guidelines

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015)

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Le GDPR

Le Règlement vise, afin d'assurer la cohérence de son contrôle et de son application dans l'ensemble de l'Union, à ce que les autorités de contrôle aient, dans chaque État membre, les mêmes pouvoirs effectifs.

L’article 58 prévoit dès lors de manière assez précise trois types de pouvoirs dont les États membres doivent, par voie législative, doter leur autorité nationale de contrôle :

-des pouvoirs d’enquête (§1er) : notamment ordonner la communication d’information -en ce compris les données traitées- dont elle a besoin pour exercer ses missions (a), mener des enquêtes sous forme d’audits (b), examiner les certifications octroyées au responsable du traitement ou sous-traitant conformément à l’article 42, § 7 (c), notifier au responsable ou au sous-traitant une violation alléguée du présent Règlement (d) ; accéder à toutes les données et les informations nécessaires (e) ; accéder à tous les locaux, installation et moyen de traitement du responsable ou du sous-traitant dans le respect du droit de l’Union et du droit procédural national (f).

-des pouvoirs de prendre des mesures correctrices (§2) : avertir le responsable ou sous-traitant du fait que leurs traitements envisagés sont susceptibles de violer les dispositions du Règlement (a), les rappeler à l’ordre en cas de violation avérée (b), leur ordonner de satisfaire aux demandes d’exercice des droits des personnes concernées (c), leur ordonner la mise en conformité de leur traitement de manière spécifique et dans un délai déterminé (d), ordonner la communication d’une violation de données à une personne concernée (e) ; limiter temporairement ou définitivement le traitement, incluant une interdiction de traiter (f) ; ordonner la rectification, la limitation ou l'effacement de données et la notification de ces mesures aux destinataires auxquels les données ont été divulguées (g) ; retirer ou ordonner à l’organisme de certification de retirer une certification délivrée ou lui faire interdiction de délivrer des certifications si les conditions de la certification ne sont pas ou plus réunies, au sens des articles 42 et 43 (h) ;infliger des amendes administratives en application de l’article 83 (i)  ; ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale (j).

-des pouvoirs d’autorisation et de conseil (§3) : notamment, conseiller le responsable dans le cadre de la consultation préalable prévue à l’article 36 (a) ; émettre, de sa propre initiative ou sur demande, des avis à l'attention des pouvoirs législatifs ou exécutifs de l’État membre ou d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel (b), autoriser un traitement effectué dans le cadre d’une mission d’intérêts publics visé à l’article 36, § 5 (c) ; émettre un avis sur un projet de code de conduite et les approuver (d) ; agréer des organismes de certification (e), octroyer des certifications ou approuver des critères de certification (f), adopter des clauses types de protection des données au sens des articles 28, § 8 et 4§, § 2, d (g) ;autoriser des clauses contractuelles(h), autoriser des accords administratifs (i) ou approuver des règles d’entreprise contraignantes conformément à l’article 47 (j).

Selon le paragraphe 4, l’exercice des pouvoirs reconnus aux autorités de contrôle doit être encadré par des garanties appropriées, telles qu’un recours effectif et une procédure régulière, prévues par le droit de l'Union et la législation des États membres conformément à la charte des droits fondamentaux de l'Union européenne (cfr les développements dans le considérant 129).

Chaque État membre doit prévoir, par voie législative, que son autorité de contrôle a le pouvoir de saisir de toute violation du Règlement l'autorité judiciaire et le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire respecter ses dispositions (§ 5).

Enfin, les États membres ont la faculté de doter leur autorité de contrôle de pouvoirs additionnels, pour autant que ceux-ci ne gênent pas le bon fonctionnement des dispositions du Chapitre VII relatif à la coopération et cohérence (§ 6).

La Directive

L’article 28 de la Directive prévoyait deux types de pouvoirs attribués aux autorités de contrôle : un pouvoir de consultation au profit des autorités nationales élaborant des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel (§2) ; des pouvoirs effectifs de contrôle se déclinant en pouvoirs d’investigation, pouvoirs effectifs d’intervention et pouvoirs d’ester en justice (§3).

Une large marge de manœuvre était toutefois laissée aux États membres de sorte que finalement, les pouvoirs des autorités de contrôle nationales pouvaient largement diverger d’un État membre à l’autre.

Belgique

La Commission de protection de la vie privée n’était en règle dotée que de pouvoirs d’avis et de recommandations et devait obligatoirement saisir une autorité judiciaire pour obtenir d’éventuelles sanctions.

France

La CNIL est dotée de larges pouvoirs décisionnels lui permettant d’adresser des avertissements au responsable du traitement, allant jusqu’à celui de mettre en demeure le responsable de faire cesser un manquement constaté et de prononcer des sanctions pécuniaires (cfr l’article 45 de la loi Informatique et Libertés).

Difficultés probables

Les pouvoirs dont sont dotées les autorités nationales de contrôle sont considérables -y compris en termes de sanctions- et modifieront sans doute profondément le rapport entre celles-ci et les responsables du traitement ou sous-traitants, particulièrement là où les autorités étaient organisées auparavant comme de simples organes d’avis et de conciliation. Elles acquièrent ainsi des pouvoirs de coercition semblables à ceux d’autorités administratives telles les autorités de concurrence, dont on connaît la crainte qu’elles suscitent auprès des entreprises. Elles s’instituent donc pour l’avenir en véritables « gendarmes » de la protection des données.

Cette extension de pouvoirs devra nécessairement impliquer un renforcement drastique des moyens humains et financiers des autorités existantes si on veut éviter que ceux-ci restent lettre morte. Cela suscitera assurément dans certains États membres des réticences, mais permettra sans doute à la protection d’être prise bien plus au sérieux qu’actuellement. En tout état de cause, le statut de ces autorités risque de changer profondément et de leur donner une importance institutionnelle qu’elles n’avaient pas auparavant.

A noter que les États membres garderont une marge de manœuvre quant à l’application des amendes aux autorités et organismes publics (cfr le commentaire de l’article 83).

France

La Commission de protection de la vie privée n’était en règle dotée que de pouvoirs d’avis et de recommandations et devait obligatoirement saisir une autorité judiciaire pour obtenir d’éventuelles sanctions.

Règlement
1e 2e

Art. 58

1. Chaque autorité de contrôle dispose de tous les pouvoirs d'enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l'accomplissement de ses missions;

b) mener des enquêtes sous la forme d'audits sur la protection des données;

c) procéder à un examen des certifications délivrées en application de l'article 42, paragraphe 7;

d) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;

e) obtenir du responsable du traitement et du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'accomplissement de ses missions;

f) obtenir l'accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l'Union ou au droit procédural des États membres.

2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:

a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l'ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;

c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits en application du présent règlement;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;

e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;

f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;

g) ordonner la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19;

h) retirer une certification ou ordonner à l'organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l'organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;

i) imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;

j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

3. Chaque autorité de contrôle dispose de tous les pouvoirs d'autorisation et de tous les pouvoirs consultatifs suivants:

a) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 36;

b) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément au droit de l'État membre, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

c) autoriser le traitement visé à l'article 36, paragraphe 5, si le droit de l'État membre exige une telle autorisation préalable;

d) rendre un avis sur les projets de codes de conduite et les approuver en application de l'article 40, paragraphe 5;

e) agréer des organismes de certification en application de l'article 43;

f) délivrer des certifications et approuver des critères de certification conformément à l'article 42, paragraphe 5;

g) adopter les clauses types de protection des données visées à l'article 28, paragraphe 8, et à l'article 46, paragraphe 2, point d);

h) autoriser les clauses contractuelles visées à l'article 46, paragraphe 3, point a);

i) autoriser les arrangements administratifs visés à l'article 46, paragraphe 3, point b);

j) approuver les règles d'entreprise contraignantes en application de l'article 47.

4. L'exercice des pouvoirs conférés à l'autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l'Union et le droit des États membres conformément à la Charte.

5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement.

6. Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L'exercice de ces pouvoirs n'entrave pas le bon fonctionnement du chapitre VII.

 

Proposition 1 close

1. Chaque autorité de contrôle a le pouvoir:

a) d'informer le responsable du traitement ou le sous-traitant d'une violation alléguée des dispositions régissant le traitement des données à caractère personnel et, le cas échéant, d’ordonner au responsable du traitement ou au sous-traitant de remédier à cette violation par des mesures déterminées, afin d'améliorer la protection de la personne concernée;

b) d'ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits prévus par le présent règlement présentées par la personne concernée;

c) d'ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant, de lui communiquer toute information utile pour l'exercice de ses fonctions

d) de veiller au respect des autorisations et consultations préalables prévues à l’article 34;

e) d'adresser un avertissement ou une admonestation au responsable du traitement ou au sous-traitant;

f) d'ordonner la rectification, l'effacement ou la destruction de toutes les données lorsqu'elles ont été traitées en violation des dispositions du présent règlement et la notification de ces mesures aux tiers auxquels les données ont été divulguées;

g) d'interdire temporairement ou définitivement un traitement;

h) de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

i) d'émettre des avis sur toute question relative à la protection des données à caractère personnel;

j) d'informer le parlement national, le gouvernement ou d'autres institutions politiques, ainsi que le public, de toute question relative à la protection des données à caractère personnel.

2. Chaque autorité de contrôle dispose du pouvoir d'investigation lui permettant d'obtenir du responsable du traitement ou du sous-traitant:

 a) l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses fonctions;

b) l'accès à tous les locaux, et notamment à toute installation ou à tout moyen de traitement, s'il existe un motif raisonnable de supposer qu’il s'y exerce une activité contraire au présent règlement. Les pouvoirs visés au point b) sont exercés conformément au droit de l'Union et au droit des États membres.

3. Chaque autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et d'ester en justice, notamment conformément à l'article 74, paragraphe 4, et à l'article 75, paragraphe 2.

4. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions administratives, notamment celles énoncées à l’article 79, paragraphes 4, 5 et 6.

Proposition 2 close

1. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs d'enquête suivants:

a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement, de lui communiquer toute information dont elle a besoin pour l'exercice de ses missions;

a bis) mener des enquêtes sous la forme d'audits sur la protection des données;

a ter) procéder à un examen des certifications octroyées conformément à l'article 39, paragraphe 4;

b) (...)

c) (...)

d) informer le responsable du traitement ou le sous-traitant d'une violation alléguée du présent règlement;

d bis) obtenir du responsable du traitement ou du sous-traitant l'accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l'exercice de ses missions;

d ter) obtenir l'accès à tous les locaux du responsable du traitement ou du sous-traitant, notamment à toute installation ou à tout moyen de traitement, dans le respect du droit de l'Union ou du droit procédural national.

1 bis. (…).

1 ter. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs suivants en matière d'adoption de mesures correctrices:

a) avertir un responsable du traitement ou un sous-traitant du fait que les traitements envisagés sont susceptibles de violer les dispositions du présent règlement;

b) rappeler à l'ordre le responsable du traitement ou le sous-traitant lorsque les traitements ont entraîné une violation des dispositions du présent règlement;

c) (…);

c bis) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes d'exercice des droits présentées par la personne concernée en application du présent règlement;

d) ordonner au responsable du traitement ou au sous-traitant de mettre les traitements en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé; en particulier en ordonnant la rectification, la limitation ou l'effacement de données en application des articles 16, 17 et 17 bis et la notification de ces mesures aux destinataires auxquels les données ont été divulguées conformément à l'article 17, paragraphe 2 bis, et à l'article 17 ter;

e) limiter temporairement ou définitivement un traitement (...);

f) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale;

g) infliger une amende administrative en application des articles 79 et 79 bis, en complément ou à la place des mesures visées au présent paragraphe, en fonction des particularités de chaque cas individuel.

1 quater. Chaque État membre prévoit, par voie législative, que son autorité de contrôle dispose au moins des pouvoirs d'autorisation et des pouvoirs consultatifs suivants:

a) conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l'article 34;

a bis) émettre, de sa propre initiative ou sur demande, des avis à l'attention du parlement national, du gouvernement de l'État membre ou, conformément à la législation nationale, d'autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;

a ter) autoriser le traitement visé à l'article 34, paragraphe 7 bis, si la législation de l'État membre exige une telle autorisation préalable;

a quater) émettre un avis sur les projets de codes de conduite prévus à l'article 38, paragraphe 2 et les approuver;

a quinquies) agréer des organismes de certification conformément à l'article 39 bis;

a sexies) octroyer des certifications et approuver des critères de certification conformément à l'article 39, paragraphe 2 bis;

b) adopter les clauses types de protection des données visées à l'article 42, paragraphe 2, point c);

c) autoriser les clauses contractuelles visées à l'article 42, paragraphe 2 bis, point a);

c bis) autoriser les accords administratifs visés à l'article 42, paragraphe 2 bis, point d); d) approuver les règles d'entreprise contraignantes conformément à l'article 43.

2. L'exercice des pouvoirs conférés à l'autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours effectif et à une procédure régulière, prévues par le droit de l'Union et la législation des États membres conformément à la charte des droits fondamentaux de l'Union européenne.

3. Chaque État membre prévoit, par voie législative, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à la connaissance de l'autorité judiciaire et (...), le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire respecter les dispositions du présent règlement.

4. (...)

5. (...)

Directive close

Art. 28

Autorité de contrôle

3. Chaque autorité de contrôle dispose notamment:

- de pouvoirs d'investigation, tels que le pouvoir d'accéder aux données faisant l'objet d'un traitement et de recueillir toutes les informations nécessaires à l'accomplissement de sa mission de contrôle,

- de pouvoirs effectifs d'intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l'article 20, et d'assurer une publication appropriée de ces avis ou celui d'ordonner le verrouillage, l'effacement ou la destruction de données, ou d'interdire temporairement ou définitivement un traitement, ou celui d'adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d'autres institutions politiques,

- du pouvoir d'ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l'autorité judiciaire.

Les décisions de l'autorité de contrôle faisant grief peuvent faire l'objet d'un recours juridictionnel.

France

Art. 44

Modifié par la loi n°2018-493 du 20 juin 2018

I.-Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la République territorialement compétent en est préalablement informé.

II. - Le responsable de ces lieux, locaux, enceintes, installations ou établissements est informé de son droit d'opposition à la visite. Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d'Etat. Toutefois, lorsque l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s'opposer à la visite.

La visite s'effectue sous l'autorité et le contrôle du juge des libertés et de la détention qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées de procéder au contrôle.

L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l'objet, suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la cour d'appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite dont la finalité est l'exercice effectif des missions prévues au III.

III. - Pour l'exercice des missions relevant de la Commission nationale de l'informatique et des libertés en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, les membres et agents mentionnés au premier alinéa du I du présent article peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie. Ils peuvent recueillir, notamment sur place ou sur convocation, tout renseignement et toute justification utiles et nécessaires à l'accomplissement de leur mission. Ils peuvent accéder, dans des conditions préservant la confidentialité à l'égard des tiers, aux programmes informatiques et aux données ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical.

Le secret médical est opposable s'agissant des informations qui figurent dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de service de santé. La communication des données médicales individuelles incluses dans cette catégorie de traitement ne peut alors se faire que sous l'autorité et en présence d'un médecin.

En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Pour le contrôle de services de communication au public en ligne, les membres et agents mentionnés au premier alinéa du I peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d'emprunt. À peine de nullité, leurs actes ne peuvent constituer une incitation à commettre une infraction. L'utilisation d'une identité d'emprunt est sans incidence sur la régularité des constatations effectuées conformément au troisième alinéa du présent III. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, précise les conditions dans lesquelles ces membres et agents procèdent dans ces cas à leurs constatations.

Les membres et agents mentionnés au premier alinéa du I peuvent, à la demande du président de la commission, être assistés par des experts.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.

IV.-Pour les traitements intéressant la sûreté de l'Etat et qui sont dispensés de la publication de l'acte réglementaire qui les autorise en application du III de l'article 26, le décret en Conseil d'Etat qui prévoit cette dispense peut également prévoir que le traitement n'est pas soumis aux dispositions du présent article.

V. - Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions.

Art. 45

Modifié par la loi n°2018-493 du 20 juin 2018

I. - Le président de la Commission nationale de l'informatique et des libertés peut avertir un responsable de traitement ou son sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi.

II. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, si le manquement constaté est susceptible de faire l'objet d'une mise en conformité, prononcer à son égard une mise en demeure, dans le délai qu'il fixe :

1° De satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables ;

3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense, de communiquer à la personne concernée une violation de données à caractère personnel ;

4° De rectifier ou d'effacer des données à caractère personnel, ou de limiter le traitement de ces données.

Dans le cas prévu au 4° du présent II, le président peut, dans les mêmes conditions, mettre en demeure le responsable de traitement ou son sous-traitant de notifier aux destinataires des données les mesures qu'il a prises.

Le délai de mise en conformité peut être fixé à vingt-quatre heures en cas d'extrême urgence.

Le président prononce, le cas échéant, la clôture de la procédure de mise en demeure.

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la décision de clôture de la procédure de mise en demeure fait l'objet de la même publicité.

III. - Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

1° Un rappel à l'ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'Etat, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

3° A l'exception des traitements qui intéressent la sûreté de l'Etat ou la défense ou de ceux relevant du chapitre XIII de la présente loi lorsqu'ils sont mis en œuvre pour le compte de l'Etat, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d'une autorisation accordée en application du même règlement ou de la présente loi ;

4° Le retrait d'une certification ou l'injonction, à l'organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée ;

5° La suspension des flux de données adressées à un destinataire situé dans un pays tiers ou à une organisation internationale ;

6° La suspension partielle ou totale de la décision d'approbation des règles d'entreprise contraignantes ;

7° A l'exception des cas où le traitement est mis en œuvre par l'Etat, une amende administrative ne pouvant excéder 10 millions d'euros ou, s'agissant d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Dans les hypothèses mentionnées aux 5 et 6 de l'article 83 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, ces plafonds sont portés, respectivement, à 20 millions d'euros et 4 % dudit chiffre d'affaires. La formation restreinte prend en compte, dans la détermination du montant de l'amende, les critères précisés au même article 83.

Le projet de mesure est, le cas échéant, soumis aux autres autorités de contrôle concernées selon les modalités définies à l'article 60 du même règlement.

Décret d'application. 

CF  TITRE IV du décret pris pour l'application de la loi n°78-17 du 6 janvier 1978. 

Ancienne loi
en France
close

Art. 44

I.-Les membres de la Commission nationale de l'informatique et des libertés ainsi que les agents de ses services habilités dans les conditions définies au dernier alinéa de l'article 19 ont accès, de 6 heures à 21 heures, pour l'exercice de leurs missions, aux lieux, locaux, enceintes, installations ou établissements servant à la mise en oeuvre d'un traitement de données à caractère personnel et qui sont à usage professionnel, à l'exclusion des parties de ceux-ci affectées au domicile privé.

Le procureur de la République territorialement compétent en est préalablement informé.

II. - Le responsable de locaux professionnels privés est informé de son droit d'opposition à la visite. Lorsqu'il exerce ce droit, la visite ne peut se dérouler qu'après l'autorisation du juge des libertés et de la détention du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter, qui statue dans des conditions fixées par décret en Conseil d'Etat. Toutefois, lorsque l'urgence, la gravité des faits à l'origine du contrôle ou le risque de destruction ou de dissimulation de documents le justifie, la visite peut avoir lieu sans que le responsable des locaux en ait été informé, sur autorisation préalable du juge des libertés et de la détention. Dans ce cas, le responsable des lieux ne peut s'opposer à la visite.

La visite s'effectue sous l'autorité et le contrôle du juge des libertés et de la détention qui l'a autorisée, en présence de l'occupant des lieux ou de son représentant qui peut se faire assister d'un conseil de son choix ou, à défaut, en présence de deux témoins qui ne sont pas placés sous l'autorité des personnes chargées de procéder au contrôle.

L'ordonnance ayant autorisé la visite est exécutoire au seul vu de la minute. Elle mentionne que le juge ayant autorisé la visite peut être saisi à tout moment d'une demande de suspension ou d'arrêt de cette visite. Elle indique le délai et la voie de recours. Elle peut faire l'objet, suivant les règles prévues par le code de procédure civile, d'un appel devant le premier président de la cour d'appel. Celui-ci connaît également des recours contre le déroulement des opérations de visite.

III.-Les membres de la commission et les agents mentionnés au premier alinéa du I peuvent demander communication de tous documents nécessaires à l'accomplissement de leur mission, quel qu'en soit le support, et en prendre copie ; ils peuvent recueillir, sur place ou sur convocation, tout renseignement et toute justification utiles ; ils peuvent accéder aux programmes informatiques et aux données, ainsi qu'en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Ils peuvent, à la demande du président de la commission, être assistés par des experts désignés par l'autorité dont ceux-ci dépendent.

Seul un médecin peut requérir la communication de données médicales individuelles incluses dans un traitement nécessaire aux fins de la médecine préventive, de la recherche médicale, des diagnostics médicaux, de l'administration de soins ou de traitements, ou à la gestion de service de santé, et qui est mis en oeuvre par un membre d'une profession de santé.

En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d'un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d'un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ; ils peuvent retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

Il est dressé procès-verbal des vérifications et visites menées en application du présent article. Ce procès-verbal est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place ou sur convocation.

IV.-Pour les traitements intéressant la sûreté de l'Etat et qui sont dispensés de la publication de l'acte réglementaire qui les autorise en application du III de l'article 26, le décret en Conseil d'Etat qui prévoit cette dispense peut également prévoir que le traitement n'est pas soumis aux dispositions du présent article.

Art. 45

I. - La formation restreinte de la Commission nationale de l'informatique et des libertés peut prononcer, après une procédure contradictoire, un avertissement à l'égard du responsable d'un traitement qui ne respecte pas les obligations découlant de la présente loi. Cet avertissement a le caractère d'une sanction.

Le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu'il fixe. En cas d'urgence, ce délai peut être ramené à cinq jours.

Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.

Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :

1° Une sanction pécuniaire, dans les conditions prévues par l'article 47, à l'exception des cas où le traitement est mis en œuvre par l'Etat ;

2° Une injonction de cesser le traitement, lorsque celui-ci relève des dispositions de l'article 22, ou un retrait de l'autorisation accordée en application de l'article 25.

II. - Lorsque la mise en œuvre d'un traitement ou l'exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l'article 1er, la formation restreinte peut, après une procédure contradictoire, engager une procédure d'urgence, définie par décret en Conseil d'Etat, pour :

1° Décider l'interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés aux I et II de l'article 26 ou de ceux mentionnés à l'article 27 mis en œuvre par l'Etat ;

2° Prononcer un avertissement visé au premier alinéa du I ;

3° Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois, si le traitement n'est pas au nombre de ceux qui sont mentionnés aux I et II de l'article 26 ;

4° Informer le Premier ministre pour qu'il prenne, le cas échéant, les mesures permettant de faire cesser la violation constatée, si le traitement en cause est au nombre de ceux qui sont mentionnés aux mêmes I et II de l'article 26 ; le Premier ministre fait alors connaître à la formation restreinte les suites qu'il a données à cette information au plus tard quinze jours après l'avoir reçue.

III. - En cas d'atteinte grave et immédiate aux droits et libertés mentionnés à l'article 1er, le président de la commission peut demander, par la voie du référé, à la juridiction compétente d'ordonner, le cas échéant sous astreinte, toute mesure de sécurité nécessaire à la sauvegarde de ces droits et libertés.

Belgique

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 6 

L'autorité de protection des données a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l'attention des autorités judiciaires et, le cas échéant, d'ester en justice en vue de voir appliquer ces principes fondamentaux.

Art. 20§1 8°

§ 1er. Le secrétariat général a également pour tâches exécutives de:

  8° approuver les clauses contractuelles types et les règles d'entreprises contraignantes.

Art. 71

Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 70. Le recours ne suspend pas la mesure.

 Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les 30 jours de la notification de la décision par envoi recommandé avec avis de réception.

Art. 78

Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer à tout moment dans l'entreprise, le service, ou tout autre endroit pour procéder à un examen sur place afin d'y faire des constatations matérielles.

Sauf accord écrit de la personne concernée ou autorisation du juge d'instruction, l'inspecteur général et les inspecteurs ne peuvent, sans la présence d'un représentant de l'ordre professionnel, pénétrer dans les locaux d'un professionnel qui est soumis au secret professionnel et pour qui une règlementation légale est prévue concernant des examens sur place et l'accès à leurs locaux professionnels.

  Art. 79 

§ 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent pénétrer dans des espaces habités, moyennant l'accord de l'occupant ou, à défaut, une autorisation préalable du juge d'instruction.

  § 2. Pour obtenir cette autorisation, l'inspecteur général adresse une demande motivée au juge d'instruction du ressort de la personne contrôlée. Cette demande comporte au moins les données suivantes:

  1° l'identification des espaces habités qui font l'objet d'une visite;

  2° le nom de l'inspecteur qui dirige la visite des espaces habités;

  3° la législation qui fait l'objet du contrôle et pour laquelle les inspecteurs estiment nécessaire d'obtenir une autorisation de visite;

  4° les infractions présumées qui sont l'objet du contrôle;

  5° tous les documents et renseignements prouvant que l'emploi de ce moyen est nécessaire;

  6° la proportionnalité à l'égard de tout autre devoir d'enquête.

  § 3. Le juge d'instruction décide dans un délai de maximum quarante-huit heures après réception de la demande. Cette décision n'est susceptible d'aucun recours.

  § 4. Les visites des locaux habités sans l'accord de l'occupant sont effectuées entre cinq heures et vingt-et-une heures par au moins deux inspecteurs agissant conjointement.

Art. 81

§ 1er. Lorsque l'inspecteur général et les inspecteurs ont des raisons de penser qu'une infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel est commise, ils peuvent consulter tous les systèmes d'information et les données qu'ils contiennent, moyennant l'accord de la personne contrôlée ou, à défaut, une autorisation préalable du juge d'instruction.

  § 2. L'inspecteur général et les inspecteurs peuvent se faire produire sur place le système informatique et les données qu'ils contiennent dont ils ont besoin pour leurs examens et constatations, et en prendre ou en demander gratuitement des extraits, des duplicatas ou des copies, sous une forme lisible et intelligible qu'ils ont demandée.

  S'il n'est pas possible de prendre des copies sur place, l'inspecteur général et les inspecteurs peuvent saisir, contre récépissé contenant un inventaire, le système informatique et les données qu'ils contiennent, aux conditions visées à l'article 89.

  § 3. La personne contrôlée doit garantir un accès par voie électronique au système informatique et à ces données à l'inspecteur général et aux inspecteurs.

L'inspecteur général et les inspecteurs peuvent prendre ou demander gratuitement des extraits, des duplicatas ou des copies du système informatique et des données qu'ils contiennent, sous une forme lisible et intelligible qu'ils ont demandée.

Art. 90

Un recours auprès de la chambre contentieuse est ouvert aux parties concernées contre les mesures visées à l'article 89.

Le recours est intenté par demande motivée et signée, déposée au secrétariat de la chambre contentieuse à peine de déchéance dans les trente jours de la remise du procès-verbal par envoi recommandé avec avis de réception.

Article 100§1 

§ 1er. La chambre contentieuse a le pouvoir de:

  1° classer la plainte sans suite;

  2° ordonner le non-lieu;

  3° prononcer la suspension du prononcé;

  4° proposer une transaction;

  5° formuler des avertissements et des réprimandes;

  6° ordonner de se conformer aux demandes de la personne concernée d'exercer ces droits;

  7° ordonner que l'intéressé soit informé du problème de sécurité;

  8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;

  9° ordonner une mise en conformité du traitement;

  10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données;

  11° ordonner le retrait de l'agréation des organismes de certification;

  12° donner des astreintes;

  13° donner des amendes administratives;

  14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;

  15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;

  16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.

Art. 108

§ 1er. La chambre contentieuse informe les parties de sa décision et de la possibilité de recours dans un délai de trente jours, à compter de la notification à la Cour des marchés.

  Sauf les exceptions prévues par la loi ou sauf si la chambre contentieuse en décide autrement par décision spécialement motivée, la décision est exécutoire par provision, nonobstant recours.

  La décision d'effacement des données conformément à l'article 100, § 1er, 10°, n'est pas exécutoire par provision.

§ 2 Un recours peut être introduit contre les décisions de la chambre contentieuse en vertu des articles 71 et 90 devant la Cour des marchés qui traite l'affaire selon les formes du référé conformément aux articles 1035 à 1038, 1040 et 1041 du Code judiciaire.

Ancienne loi
en Belgique
close

Art.  31

§1er. Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi.


  § 2. La procédure est réglée par le règlement d'ordre intérieur. Celui-ci prévoit l'exercice d'un droit de défense.


  § 3. La Commission examine la recevabilité de la plainte. Si la plainte est recevable, la Commission accomplit toute mission de médiation qu'elle juge utile. En cas de conciliation des parties, fondée sur le respect de la vie privée, elle dresse un procès-verbal dans lequel la solution retenue est explicitée. En l'absence de conciliation, la Commission émet un avis sur la caractère fondé de la plainte. Son avis peut être accompagné de recommandations à l'intention du responsable du traitement.


  § 4. Les décisions, avis et recommandations de la Commission sont motivés.


  § 5. La Commission communique sa décision, son avis ou ses recommandations au plaignant, au responsable du traitement et à toutes les autres parties à la cause. 
  Une copie de la décision, de l'avis des recommandations est adressée au Ministre de la Justice.

Art. 32

§ 1er. Pour l'accomplissement de toutes ses missions, la Commission peut requérir le concours d'experts. Elle peut charger un ou plusieurs de ses membres éventuellement assistés d'experts, de procéder à un examen sur place.

  (Dans ce cas, les membres de la Commission ont la qualité d'officier de police judiciaire, auxiliaire du procureur du Roi.)

  Ils peuvent notamment exiger communication de tout document pouvant leur être utile dans leur enquête.

  Ils peuvent également pénétrer en tous lieux où ils ont un motif raisonnable de supposer que s'exerce une activité en rapport avec l'application de la présente loi.

  § 2. Sauf si la loi en dispose autrement, la Commission dénonce au procureur du Roi les infractions dont elle a connaissance.

  La Commission communique chaque année aux Chambres législatives un rapport sur ses activités.

  (A côté de l'information générale relative à l'application de la présente loi et aux activités de la Commission, ce rapport, qui a un caractère public, contient de l'information spécifique sur l'application des articles 3, §§ 3 et 6, 13, 17 et 18.)

  § 3. Sans préjudice de la compétence des cours et tribunaux ordinaires pour l'application des principes généraux en matière de protection de la vie privée, le Président de la Commission peut soumettre au tribunal de première instance tout litige concernant l'application de la présente loi et de ses mesures d'exécution.

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK