search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 55
Article suivantarrow_forward

Compétence

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 55 expand_more Cacher les articles et mots clés liés à l’article 55 expand_less

Mots clés liés à l'article 55

Afficher les considérants du Règlement liés à l'article 55 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 55 keyboard_arrow_up

(122) Chaque autorité de contrôle devrait être compétente sur le territoire de l'État membre dont elle relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement. Cela devrait couvrir, notamment, le traitement dans le cadre d'activités menées par un établissement du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève, le traitement de données à caractère personnel effectué par des autorités publiques ou des organismes privés agissant dans l'intérêt public, le traitement affectant des personnes concernées sur le territoire de l'État membre dont elle relève, ou encore le traitement effectué par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève. Cela devrait comprendre notamment le traitement des réclamations introduites par les personnes concernées, la conduite d'enquêtes sur l'application du présent règlement et la sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à caractère personnel.

Afficher les considérants de la Directive 95/46 liés à l'article 55 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 55 keyboard_arrow_up

(62) considérant que l'institution, dans les États membres, d'autorités de contrôle exerçant en toute indépendance leurs fonctions est un élément essentiel de la protection des personnes à l'égard du traitement des données à caractère personnel.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Belgique

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par le CEPD)

Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.

Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.

L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.

Lien

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 - wp250rev.01 (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (ci-après le «RGPD») introduit l’exigence que toute violation de données à caractère personnel (ci-après la «violation») soit notifiée à l’autorité de contrôle nationale compétente (ou en cas de violation transfrontalière, à l’autorité chef de file) et, dans certains cas, communiquée aux personnes dont les données à caractère personnel ont été affectées par ladite violation.

L’obligation de notifier les violations existe déjà à l’heure actuelle pour certaines organisations, telles que les fournisseurs de services de communications électroniques accessibles au public [comme prévu par la directive 2009/136/CE et le règlement (CE) nº 611/2013]. Certains États membres disposent par ailleurs déjà de leur propre obligation de notification des violations. Il peut s’agir de l’obligation de notifier les violations impliquant certaines catégories de responsables du traitement autres que les fournisseurs de services de communications électroniques accessibles au public (par exemple, en Allemagne et en Italie), ou de l’obligation de notifier toutes les violations portant sur des données à caractère personnel (par exemple, aux Pays-Bas). D’autres États membres peuvent disposer de codes de bonne pratique pertinents (par exemple, en Irlande). Cependant, si un certain nombre d’autorités européennes chargées de la protection des données encouragent actuellement les responsables du traitement à notifier les violations, la directive 95/46/CE sur la protection des données, que le RGPD remplace, ne contient pas d’obligation spécifique à cet égard. Une telle exigence sera donc nouvelle pour de nombreuses organisations. Le RGPD rend en effet cette notification obligatoire pour tous les responsables du traitement à moins qu’une violation soit peu susceptible d’engendrer un risque pour les droits et libertés des individus. Les sous-traitants ont également un rôle important à jouer et doivent notifier toute violation au responsable du traitement.

Le groupe de travail «Article 29» (G29) considère que cette nouvelle exigence de notification présente plusieurs avantages. Lors de la notification à l’autorité de contrôle, les responsables du traitement peuvent notamment obtenir des conseils afin de savoir s’il convient d’informer les personnes concernées. En effet, l’autorité de contrôle peut ordonner au responsable du traitement d’informer lesdites personnes de la violation7. D’un autre côté, la communication d’une violation aux personnes concernées permet au responsable du traitement de leur fournir des informations sur les risques résultant de la violation et sur les mesures qu’elles peuvent prendre afin de se protéger des conséquences potentielles. Tout plan de réaction à une violation devrait viser à protéger les individus et leurs données à caractère personnel. Aussi la notification des violations devrait-elle être vue comme un outil permettant de renforcer la conformité en matière de protection des données à caractère personnel. Parallèlement, il convient de noter que la non-communication d’une violation aux personnes concernées ou à l’autorité de contrôle pourrait entraîner une sanction pour le responsable du traitement en vertu de l’article 83.

Les responsables du traitement et les sous-traitants sont ainsi encouragés à prévoir à l’avance et à mettre en place des processus leur permettant de détecter et d’endiguer rapidement toute violation, d’évaluer les risques pour les personnes concernées et de déterminer ensuite s’il est nécessaire d’informer l’autorité de contrôle compétente et de communiquer, si nécessaire, la violation aux personnes concernées. La notification à l’autorité de contrôle devrait faire partie intégrante de ce plan de réaction aux incidents.

Le RGPD contient des dispositions concernant les cas où une violation doit être notifiée, les personnes et entités auxquelles il convient de la notifier ainsi que les informations que devrait comprendre cette notification. Les informations requises pour une telle notification peuvent certes être communiquées de façon échelonnée, mais les responsables du traitement devraient réagir à toute violation dans des délais appropriés.

Dans son avis 03/2014 sur la notification des violations de données à caractère personnel9, le G29 a fourni des orientations aux responsables du traitement afin de les aider à décider s’il convient d’informer les personnes concernées en cas de violation. L’avis portait sur l’obligation imposée aux fournisseurs de communications électroniques au titre de la directive 2002/58/CE, fournissait des exemples tirés de nombreux secteurs, dans le contexte du RGPD, encore à l’état de projet à l’époque, et présentait une série de bonnes pratiques à l’intention de tous les responsables du traitement.

Les présentes lignes directrices expliquent les obligations établies par le RGPD en matière de notification et de communication des violations ainsi que certaines des mesures que les responsables du traitement et les sous-traitants peuvent adopter en vue de respecter ces nouvelles obligations. Elles fournissent également des exemples de différents types de violations et des entités et personnes à informer dans différents cas de figure.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative à l’autorité chef de file - 4/2016 (19 décembre 2016)

1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.

Lien

Retour au sommaire
arrow_back Article précédentArticle 55Article suivant arrow_forward

Sommaire

Union Européenne

France

Union Européenne

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

C-645/19 (15 Juin 2021) - Facebook Ireland e.a.

1)      L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.

2)      L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.

3)      L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée.

4)      L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.

5)      L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

Conclusions de l'Avocat général

Arrêt rendu

C-245/20 (24 mars 2022) - X, Z c. Autoriteit Persoonsgegevens

L’article 55, paragraphe 3, du RGPD, doit être interprété en ce sens que le fait pour une juridiction de mettre à la disposition temporaire de journalistes des pièces issues d’une procédure juridictionnelle, contenant des données à caractère personnel, afin de leur permettre de mieux rendre compte du déroulement de cette procédure relève de l’exercice, par cette juridiction, de sa « fonction juridictionnelle », au sens de cette disposition.

Conclusions de l'Avocat général

Arrêt rendu

C-33/22 (16 janvier 2024) - Österreichische Datenschutzbehörde

1)      L’article 16, paragraphe 2, première phrase, TFUE et l’article 2, paragraphe 2, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétés en ce sens que : une activité ne saurait être considérée comme située en dehors du champ d’application du droit de l’Union et comme échappant dès lors à l’application de ce règlement pour la seule raison qu’elle est exercée par une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif.

2)      L’article 2, paragraphe 2, sous a), du règlement 2016/679, lu à la lumière du considérant 16 de ce règlement, doit être interprété en ce sens que : ne sauraient être considérées, en tant que telles, comme des activités relatives à la sécurité nationale situées en dehors du champ d’application du droit de l’Union, au sens de cette disposition, les activités d’une commission d’enquête mise en place par le parlement d’un État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ayant pour objet d’enquêter sur les activités d’une autorité policière de protection de l’État en raison d’un soupçon d’influence politique sur cette autorité.

3)      L’article 77, paragraphe 1, et l’article 55, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que : lorsqu’un État membre a fait le choix, conformément à l’article 51, paragraphe 1, de ce règlement, d’instituer une seule autorité de contrôle, sans toutefois lui attribuer la compétence pour surveiller l’application dudit règlement par une commission d’enquête mise en place par le parlement de cet État membre dans l’exercice de son pouvoir de contrôle du pouvoir exécutif, ces dispositions confèrent directement à cette autorité la compétence pour connaître des réclamations relatives à des traitements de données à caractère personnel effectués par ladite commission d’enquête.

Conclusions de l'Avocat général 

Arrêt rendu 

Retour au sommaire

France

Jurisprudence française

CE Fr., n°430810 (19 juin 2020)

1. Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

2. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.

Arrêt rendu

CE Fr., n°449209 (28 janvier 2022)

1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.

b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.

c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.

d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.

e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.

Arrêt rendu

CE Fr., n°452668 (8 avril 2022)

Par la question – réponse n° 12 mise en ligne le 18 mars 2021 sur le site internet de la CNIL, cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n° 78-17 du 6 janvier 1978, quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation.

1) Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question-réponse n° 12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.

2) a) Les opérations d’affiliation sur lesquelles porte la question – réponse n° 12 impliquent l’utilisation de traceurs de connexion afin de déterminer si l’internaute qui a accompli un acte d’achat sur un site marchand s’est connecté sur ce site à partir d’un lien figurant sur celui de l’opérateur affilié. Ces traceurs ont pour seule finalité de permettre la rémunération de l’affilié par l’éditeur du site marchand, le cas échéant par l’intermédiaire d’une plateforme d’affiliation. Ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l’article 82 de la loi du 6 janvier 1978, dès lors qu’aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d’affiliation n’est nécessaire pour qu’un internaute se connecte à un site marchand à partir d’un site édité par un tiers et y effectue un achat.

Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l’affilié par l’éditeur du site marchand ne répond pas à une demande de l’utilisateur.

Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d’un site ou d’un partenariat ne saurait conduire à les ranger dans l’une ou l’autre des exceptions prévues par l’article 82 de la loi du 6 janvier 1978.

Enfin, ces traceurs n’ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l’audience des sites internet.

Par suite, la CNIL n’a pas méconnu l’article 82 de la loi du 6 janvier 1978 en exigeant que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l’utilisation des traceurs en cause.

b) Il ressort des termes de la question-réponse n° 12 que les éléments donnés par cette réponse portent uniquement sur les traceurs de connexion utilisés exclusivement à des fins de facturation des opérations d’affiliation.

Elle ne s’applique ainsi pas aux traceurs de connexion mis en œuvre pour les besoins de services de remboursement, dits de « cashback », ou de récompense, dits de « reward », par lesquels un internaute, après s’être inscrit pour ce type de services auprès de l’éditeur d’un site partenaire, bénéficie d’un remboursement partiel ou d’un avantage, comme des bons de réduction ou des tarifs préférentiels, ou attache une conséquence à son achat, lorsqu’il effectue un acte d’achat sur un site marchand auquel il s’est connecté à partir d’un lien figurant sur ce site partenaire, quand bien même ces mêmes traceurs peuvent également servir à la facturation d’opérations assimilables à l’affiliation entre ces éditeurs.

Les éléments de réponse contestés n’ont donc pas pour objet, et n’auraient pu avoir légalement pour effet, d’exiger que le dépôt et l’utilisation de tels traceurs soient précédés du recueil du consentement de l’internaute, dans la mesure où ils sont alors strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Arrêt rendu

Retour au sommaire
arrow_back Article précédentArticle 55Article suivant arrow_forward

Le GDPR

L’article 55 commence par rappeler la règle contenue à l’article 28, paragraphes 1 et 3, de la Directive selon laquelle chaque autorité est compétente, sur le territoire de l'État membre dont elle relève, pour accomplir les missions et exercer les pouvoirs dont elle est investie.

Dans sa première mouture, l’article 55 de la proposition de Règlement prévoyait également une nouvelle compétence, celle d'autorité chef de file lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres, afin d’assurer une application uniforme («guichet unique»).

Cette compétence nouvelle de l’autorité de contrôle chef de file fait désormais l’objet d’une disposition spécifique à l’article 56 et sera dès lors commentée dans le cadre de cette disposition. On précise d’ores et déjà que l’article 55 rend inapplicable l’article 56 lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) (c’est-à-dire lorsque le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis)  ou e) (c’est-à-dire lorsque le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement). Dans ce cas, l'autorité de contrôle de l'État membre concerné reste compétente.

Enfin, aux termes du troisième paragraphe de l’article 55, lorsqu'elles agissent dans le cadre de leur fonction juridictionnelle, les juridictions sont dispensées de se soumettre à la surveillance de l’autorité de contrôle, mais pas d’appliquer les règles matérielles relatives à la protection de données.

La Directive

La question de la compétence de l’autorité nationale de contrôle était déjà définie par l’article 28, paragraphes 1 et 3, de la Directive, aux termes duquel chaque autorité de contrôle exerce l’ensemble des pouvoirs qui lui ont été conférés sur le territoire de l’État membre dont elle relève, afin d’assurer sur ce territoire le respect des règles en matière de protection des données.

En vertu de cette disposition, chaque autorité nationale fait donc une application territoriale de ses pouvoirs conformément au droit procédural de l’État membre dont elle relève et cela indépendamment du droit national applicable.

Difficultés probables

On ne voit pas a priori de difficultés particulières d’implémentation.

arrow_back Article précédentArticle 55Article suivant arrow_forward
arrow_back Article précédentArticle 55Article suivant arrow_forward
Règlement
1e 2e

Art. 55

1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève.

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) ou e), l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 56 n'est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.
Proposition 1 close

1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au présent règlement.

2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement.

3. L’autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle.
Proposition 2 close

1. Chaque autorité de contrôle est compétente, sur le territoire de l'État membre dont elle relève, pour accomplir les missions et exercer les pouvoirs dont elle est investie conformément au présent règlement. (...)

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) ou e), l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 51 bis n'est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle. (…).
Directive close

Art. 28

(…).

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

(…).
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 8

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l'évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l'élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l'Etat agissant dans l'exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l'article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l'article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d'avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l'article 40 du code de procédure pénale, lorsqu'elle acquiert connaissance d'un crime ou d'un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l'article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l'article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d'obtenir des copies de tous documents ou supports d'information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il est tenu compte d'une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l'objet d'une consultation préalable conformément à l'article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l'article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l'évolution des technologies de l'information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l'exercice des droits et libertés mentionnés à l'article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l'Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l'Assemblée nationale et du Sénat ainsi qu'à la demande d'un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l'arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques et numériques ;

c) A la demande d'autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l'Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l'occasion d'un litige relatif à l'application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l'Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

II. - Pour l'accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l'exécution de sa mission.
Ancienne loi
en France close

Pas de disposition correspondante
Belgique
Ancienne loi

Loi du 03.12.17 portant création de l'Autorité de protection des données 

Art. 4

§ 1er. L'Autorité de protection des données est responsable du contrôle du respect des principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel.
  Sans préjudice des compétences des Gouvernements de communauté et de région, des Parlements de communauté et de région, du Collège réuni et de l'Assemblée réunie visés à l'article 60 de la loi spéciale du 12 janvier 1989 relative aux Institutions bruxelloises, l'Autorité de protection des données exerce cette mission, indépendamment du droit national applicable au traitement concerné, sur l'ensemble du territoire du Royaume.
  § 2. Le contrôle organisé par la présente loi ne porte pas sur les traitements effectués par les cours et tribunaux ainsi que le ministère public dans l'exercice de leur fonction juridictionnelle.
  Le Roi peut désigner d'autres autorités pour autant qu'elles traitent des données à caractère personnel dans l'exercice de leur fonction juridictionnelle.
  A l'égard des services de police au sens de l'article 2,2°, de la loi du 7 décembre 1998 organisant un service de police intégré, structuré à deux niveaux, les compétences, missions et pouvoirs d'autorité de contrôle tels que prévus par le Règlement 2016/679 sont exercés par l'Organe de contrôle de l'information policière visé à l'article 44/6, § 1er, de la loi du 5 août 1992 sur la fonction de police.
  § 3. Toute décision juridiquement contraignante de l'Autorité de protection des données est datée, signée et motivée, et fait référence aux recours qui peuvent être introduits contre la décision.
Ancienne loi
en Belgique close

Pas de disposition correspondante
arrow_back Article précédentArticle 55Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK