mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

arrow_backArticle précédent
Article 60
Article suivantarrow_forward

Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées

Textes
officiels Guidelines Jurisprudence Analyse du
droit européen
Afficher les articles et mots clés liés à l’article 60 expand_more Cacher les articles et mots clés liés à l’article 60 expand_less

Mots clés liés à l'article 60

Afficher les considérants du Règlement liés à l'article 60 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 60 keyboard_arrow_up

(133) Les autorités de contrôle devraient s'entraider dans l'accomplissement de leurs missions et se prêter mutuellement assistance afin de faire appliquer le présent règlement et de contrôler son application de manière cohérente dans le marché intérieur. Une autorité de contrôle qui fait appel à l'assistance mutuelle peut adopter une mesure provisoire si elle ne reçoit pas de réponse à sa demande d’assistance mutuelle dans un délai d'un mois à compter de la réception de la demande d'assistance mutuelle par l’autre autorité de contrôle.

(134) Chaque autorité de contrôle devrait, s’il y a lieu, participer à des opérations conjointes avec d’autorités de contrôle. L'autorité de contrôle requise devrait être tenue de répondre à la demande dans un délai déterminé.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 60.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Guidelines on the application of Article 60 GDPR - 2/2022 (14 mars 2022) (anglais)

With the introduction of the GDPR, the concept of the one-stop shop was established as one of the main innovations. In cross-border processing cases, the supervisory authority in the Member State of the controller's or processor's main establishment is the authority leading the enforcement of the GDPR for the respective cross-border processing activities, in cooperation with all the authorities which may face the effects of the processing activities at stake: be it through the establishments of the controller or processor on their territory or through complaints from their residents against these processing activities. Indeed, data subjects should be able to easily pursue their data protection rights and should be able to complain to a supervisory authority at their place of habitual residence. This supervisory authority also remains the contact point for the complainant in the further course of the complaint-handling process. In order to meet all these requirements, Article 60 GDPR regulates the cooperation procedure between the lead supervisory authority and the other supervisory authorities concerned. These guidelines handle the interactions of the supervisory authorities with each other, with the EDPB and with third parties under Article 60 GDPR. The aim is to analyse the cooperation procedure and to give guidance on the concrete application of the provisions.

General considerations

A common understanding of the terms and basic concepts is a prerequisite for the cooperation procedure to run as smoothly as possible. Firstly, the guideline states that:

- the cooperation procedure applies in principle to all cross-border processing cases,

- the lead supervisory authority is primarily responsible for handling such cases, without being empowered to ultimately decide on its own, and that

- the cooperation procedure does not impact the independence of the supervisory authorities, which retain their own discretionary powers within the framework of cooperation. It is recalled that the effects of national procedural regulations must not lead to limiting or hampering the cooperation under the GDPR.

Structure and Content of the guidelines

These guidelines are based on the requirements of Article 60 and clarify paragraph by paragraph the conditions arising from the regulation itself and its practical implementation. In the context of Article 60(1) GDPR, it is established that the principles to be observed throughout the whole cooperation procedure are mutual obligations. It is stressed that while the achievement of consensus among the SAs is not an obligation, the endeavour to reach an agreed consensual decision is an overarching objective to be achieved through a mutual and consistent exchange of all relevant information. This exchange of information is obligatory for all CSAs, including the LSA. The meaning of "relevant" in this context is further clarified through examples. In terms of timeliness, the paper recommends sharing the relevant information proactively and as quickly as possible. Lastly, the possibility to use informal means of communication to reach consensus is recalled. The following section on Article 60(2) GDPR addresses the situation of the LSA requesting CSA(s) to provide mutual assistance pursuant to Article 61 GDPR and conducting joint operations pursuant to Article 62 GDPR and provides guidance on the specifications of these instruments in the context of an ongoing cooperation procedure.

The paper addresses the process of the submission of the draft decision under Article 60(3) GDPR. It highlights that the LSA has to act proactively and as quickly as possible and that the CSAs should be able to contribute to the overall procedure, also before the creation of the draft decision (e.g. exchange of information). In addition, the LSA is required to submit a draft decision to the CSAs in all cases of cross border processing.

The sections on Article 60(4)-(6) GDPR outline the different scenarios that follow the submission of a draft decision by the lead supervisory authority and thus provide a consistent approach to the procedure between the submission of a (revised) draft decision and either the triggering of the binding effect in the absence of relevant and reasoned objections or the submission to the dispute resolution procedure. The guidelines also recognise the possibility for the LSA to adapt and resubmit the draft decision submitted under Article 60(4) GDPR prior to the expiry of the four-week period, provided that new factors or considerations justify such adaptation and that their importance is fairly balanced against the expediency of the cooperation procedure. In addition, it is specified that there may be multiple revised decisions but only in cases where it is likely to reach a consensus due to substantive convergence between the LSA and other CSA(s). This is followed by the analysis of the different scenarios after the (revised) draft decision has become binding on the lead supervisory authority and the supervisory authorities concerned. It is clarified which supervisory authority has to adopt the final national decision pursuant to Article 60(7)-(9) GDPR on the basis of the draft decision that has become binding and which supervisory authority has to notify the controller/processor or the complainant. In this context, the distinction between notifying and informing is also addressed.

Furthermore, the guidelines address the important distinction between situations that constitute a dismissal/rejection of a complaint, with the consequence that the complaint-receiving SA adopts the final decision, and situations in which the lead supervisory authority acts on the complaint in relation to the controller, with the consequence that the lead supervisory authority adopts the final decision. In this context, it is highlighted that terms of EU law not making express reference to member state law must normally be given an autonomous and uniform interpretation. The following section outlines the duties of the controller or processor to ensure that processing activities in all its establishments are in compliance with the final decision (Article 60(10) GDPR). The last section addresses the specific requirements of the application of Article 66 GDPR (Urgency Procedure) in the course of an ongoing cooperation procedure (Article 60 (11) GDPR). A quick reference guide annexed to the guidelines is intended to give practitioners in the supervisory authorities a quick overview of the procedure and to illustrate the complex procedure.

Link

Lignes directrices relatives à l’objection pertinente et motivée au titre du règlement (UE) 2016/679 - 9/2020 (9 mars 2021)

Dans le cadre du mécanisme de coopération prévu par le RGPD, les autorités de contrôle sont tenues d’échanger «toute information utile» et de coopérer «en s’efforçant de parvenir à un consensus» . Ce devoir de coopération vaut pour chaque étape de la procédure, dès la prise en charge d’une l’affaire et pendant tout le processus décisionnel. La conclusion d’un accord sur l’issue de l’affaire constitue donc l’objectif ultime de l’ensemble de la procédure établie par l’article 60 du RGPD. Lorsque les autorités de contrôle ne parviennent pas à un consensus, le comité européen de la protection des données (EDPB) (ci-après le «comité») a, en vertu de l’article 65 du RGPD, le pouvoir d’adopter des décisions contraignantes. Toutefois, l’échange d’informations et la concertation entre l’autorité de contrôle chef de file et les autorités de contrôle concernées permettent souvent d’aboutir à un accord aux premiers stades de l’affaire.

En vertu de l’article 60, paragraphes 3 et 4, du RGPD, l’autorité de contrôle chef de file est tenue de soumettre un projet de décision aux autorités de contrôle concernées, qui peuvent ensuite formuler une objection pertinente et motivée dans un délai donné (quatre semaines). Lorsqu’elle reçoit une objection pertinente et motivée, l’autorité de contrôle chef de file a deux possibilités. Si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que l’objection n’est pas pertinente ou motivée, elle soumet la question au comité dans le cadre du mécanisme de contrôle de la cohérence. Si, au contraire, l’autorité de contrôle chef de file suit l’objection et soumet un projet de décision révisé, les autorités de contrôle concernées peuvent formuler une objection pertinente et motivée à l’égard du projet de décision révisé dans un délai de deux semaines.

Lorsque l’autorité de contrôle chef de file ne donne pas suite à l’objection ou rejette cette objection au motif qu’elle n’est pas pertinente ou motivée et, partant, saisit le comité de la question, conformément à l’article 65, paragraphe 1, point a), du RGPD, il appartient alors au comité d’adopter une décision contraignante visant à établir si l’objection est «pertinente et motivée» et, dans l’affirmative, de le faire au sujet de toutes les questions sur lesquelles porte l’objection.

Par conséquent, l’un des principaux éléments dénotant l’absence de consensus entre l’autorité de contrôle chef de file et les autorités de contrôle concernées est la notion d’«objection pertinente et motivée». Le présent document vise à fournir des orientations concernant cette notion et à établir une interprétation commune de la notion «pertinente et motivée», y compris les éléments qui devraient être pris en considération pour déterminer si une objection «démontre clairement l’importance des risques que présente le projet de décision» (article 4, point 24, du RGPD).

Au sens de l’article 4, paragraphe 24, du RGPD, on entend par «objection pertinente et motivée» une «objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union».

Cette notion constitue le niveau minimal d’exigences à respecter lorsque les autorités de contrôle concernées entendent formuler une objection à l’égard d’un projet de décision (révisé) qui doit être adopté par l’autorité de contrôle chef de file conformément à l’article 60 du RGPD. Le fait de ne pas bien saisir «ce qui constitue une objection pertinente et motivée» peut créer des malentendus et des applications incohérentes de la part des autorités de surveillance. Le législateur de l’Union a donc proposé que l’EDPB publie des lignes directrices portant sur cette notion (partie finale du considérant 124 du RGPD).

Afin de respecter le niveau minimal d’exigences fixé à l’article 4, point 24, du RGPD, une communication par une autorité de contrôle concernée devrait, en principe, mentionner explicitement tous les éléments de la définition en ce qui concerne chaque objection spécifique. Par conséquent, l’objection vise, tout d’abord, à indiquer en quoi et pour quelle raison, d’après l’autorité de contrôle concernée, le projet de décision ne règle pas de manière appropriée la situation de violation du RGPD, et/ou ne prévoit pas de mesures appropriées à l’égard du responsable du traitement ou du sous-traitant au vu des risques que ce projet de décision, s’il n’est pas modifié, entraînerait pour les droits et libertés des personnes concernées et pour le libre flux des données à caractère personnel au sein de l’Union, le cas échéant. Dans son objection, l’autorité de contrôle concernée doit indiquer chaque partie du projet de décision qui est considérée comme insuffisante, erronée ou dépourvue de certains éléments nécessaires, soit en mentionnant des articles ou des paragraphes précis, soit par d’autres indications claires, et en démontrant en quoi ces éléments doivent être considérés comme «pertinents», comme expliqué ci-dessous. Les propositions de modification contenues dans l’objection doivent avoir pour objectif de résoudre ces erreurs éventuelles.

En effet, la mesure dans laquelle l’objection est détaillée ainsi que la précision de l’analyse qui y est incluse peuvent être altérées par la mesure dans laquelle le contenu du projet de décision est détaillé et par le degré de participation de l’autorité de contrôle concernée au processus menant au projet de décision publié par l’autorité de contrôle chef de file. Par conséquent, le critère d'«objection pertinente et motivée» présuppose que l’autorité de contrôle chef de file s’acquitte de son devoir d’échanger toute information utile, permettant ainsi à une ou plusieurs autorités de contrôle concernées d’avoir une connaissance approfondie de l’affaire et, partant, de formuler une objection solide et correctement motivée. À cette fin, il convient également de garder à l’esprit que toute mesure juridiquement contraignante prise par l’autorité de contrôle doit «exposer les motifs qui sous-tendent la mesure» (voir considérant 129 du RGPD). Le degré dans lequel l’autorité de contrôle concernée est associée au processus menant au projet de décision par l’autorité de contrôle chef de file, s’il conduit à une connaissance insuffisante de tous les aspects de l’affaire, peut donc être considéré comme un élément permettant de déterminer, avec plus de souplesse, la mesure dans laquelle l’objection pertinente et motivée est détaillée.

L’EDPB tient tout d’abord à souligner que toutes les autorités de contrôle qui participent au processus (autorité de contrôle chef de file et autorités de contrôle concernées) devraient s’efforcer en priorité de remédier à toute lacune présente dans le processus d’obtention d’un consensus de manière à ce qu’il débouche sur un projet de décision par consensus. Tout en admettant que le fait d’émettre une objection n’est pas le moyen le plus indiqué pour remédier à un niveau de coopération insuffisant lors des étapes précédentes liées à la procédure de guichet unique, l’EDPB reconnaît néanmoins qu’il s’agit d’une option qui s’offre aux autorités de contrôle concernées. Il s’agirait d’un dernier recours pour remédier également aux lacunes (alléguées) de l’autorité de contrôle chef de file concernant la participation des autorités de contrôle concernées dans le cadre du processus qui aurait dû conduire à un projet de décision par consensus, notamment en ce qui concerne le raisonnement juridique et la portée des enquêtes réalisées par l’autorité de contrôle chef de file sur l’affaire en cause.

En vertu du RGPD, l’autorité de contrôle concernée est tenue de justifier sa position concernant le projet de décision de l’autorité de contrôle chef de file en formulant une objection «pertinente» et «motivée». Il est primordial de garder à l’esprit que les deux conditions requises, à savoir que l’objection doit être «motivée» et «pertinente», doivent être réputées cumulatives, c’est-à-dire qu’elles doivent toutes deux être remplies . Par conséquent, en vertu de l’article 60, paragraphe 4, l’autorité de contrôle chef de file est tenue de soumettre la question au mécanisme de contrôle de la cohérence de l’EDPB lorsqu’elle estime que l’objection ne remplit pas au moins une des deux conditions.

L’EDPB recommande vivement aux autorités de contrôle de formuler leurs objections et d’échanger des informations par l’intermédiaire du système d’information et de communication mis en place pour l’échange d’informations entre autorités de contrôle. Elles doivent être clairement signalées comme telles en utilisant les fonctions et outils spécifiques prévus à cet effet.

Lien

Retour au sommaire

Groupe 29

Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)

(Approuvées par l'EDPB)

Lien

Retour au sommaire
arrow_back Article précédentArticle 60Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Jurisprudence de la CJUE

C-230/14 (1 octobre 2015) - Weltimmo

1)      L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.

Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.

En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.

2)      Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.

3)      La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).

Conclusions de l'Avocat général

Arrêt rendu

Retour au sommaire
arrow_back Article précédentArticle 60Article suivant arrow_forward

Le GDPR

Le Règlement tente d’apporter des solutions à l’absence de coordination entre les différentes autorités nationales potentiellement compétentes sous l’empire de la Directive via le mécanisme du guichet unique instituée par l’article 56. L’autorité dite « chef de file » est l’unique autorité compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes. La compétence de l’autorité de contrôle « chef de file » est précisée à l’article 56 du Règlement, auquel nous renvoyons.

L’article 60 du Règlement fait obligation à l’autorité chef de file de coopérer avec les autres autorités de contrôle concernées en vue de parvenir à un consensus en cas de débat potentiel sur la désignation de ou des autorités de contrôle compétentes, notamment, en échangeant toute information utile (§1er). Cet échange d’informations doit s’opérer par des moyens électroniques, au moyen d'un formulaire type (§10)).

L’autorité chef de file peut demander à tout moment aux autres « autorités de contrôle concernées » de se prêter une assistance mutuelle en application de l'article 61. Selon l’article 4 (22) du Règlement, une autorité de contrôle peut être concernée par le traitement dans trois hypothèses :

« a) parce que le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre de cette autorité de contrôle;

b) parce que des personnes concernées résidant dans cet État membre sont sensiblement affectées par le traitement ou susceptibles de l'être;

ou c) parce que la réclamation sous-jacente a été introduite auprès de cette autorité de contrôle »;

En outre, l’autorité chef de file peut également mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre (art. 60, § 2).

Pour mémoire, dans le cadre du commentaire de l’article 56, nous avions vu que lorsqu’une autorité nationale autre que l’autorité chef de file est cependant compétente par application du 2ème paragraphe de l’article 56 pour traiter une réclamation introduite auprès d’elle, il lui appartient d’en informer l’autorité chef de file. L’autorité chef de file dispose alors d’un délai de 3 semaines pour décider si elle traitera elle-même le dossier ou si l’autorité devrait le traiter au niveau local.

Dans l’hypothèse où l’autorité chef de file décide de se saisir du dossier, le 3e paragraphe de l’article 60 est d’application. Cette disposition oblige l’autorité chef de file à communiquer « sans tarder » les informations utiles sur la question aux autres autorités de contrôle concernées. Elle doit également soumettre sans délai un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tenir dûment compte de leurs points de vue.

Les autres autorités de contrôle ont la faculté de formuler des objections au projet de décision dans un délai de quatre semaines (§4). À défaut de réaction endéans les délais prévus par la disposition, celles-ci sont réputées approuver le projet de décision et sont liées par celui-ci (§ 6).

Si l’autorité chef de file décide de ne pas donner suite à une objection « pertinente et motivée » formulée par une autre autorité de contrôle concernée, la question doit être soumise au mécanisme de contrôle de la cohérence visé à l’article 63(§ 4). L’objection pertinente et motivée est définie à l’article 4 (24) du Règlement comme « une objection quant à savoir s'il y a ou non violation du présent Règlement ou, selon le cas, si l'action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant est conforme au Règlement. L'objection doit établir clairement l'importance des risques que présente le projet de décision pour ce qui est des libertés et droits fondamentaux des personnes concernées et, le cas échéant, la libre circulation des données à caractère personnel ».

Dans ce cas, le Comité européen pour la protection des données doit rendre une décision contraignante sur tous les aspects de ladite objection et doit en particulier examiner s’il existe une violation du Règlement (cfr. art. 65 (1) a).

Lorsque l’autorité chef de file décide de donner suite à ladite objection, cette dernière doit adresser un projet de décision révisé aux autres autorités de contrôle en vue d'obtenir leur avis. Celles-ci disposent alors d’un délai de deux semaines pour donner leur avis. Dans ce cas, la procédure prévue au troisième paragraphe est applicable (art. 60, § 5).

Au terme de cette procédure, l’autorité chef de file adopte la décision et la communique à l’établissement principal du responsable du traitement ou du sous-traitant et en informe les autres autorités de contrôle concernées, ainsi que le comité européen de la protection des données, en veillant à ajouter pour ce dernier un résumé des faits et motifs pertinents. Il appartient ensuite à l’autorité de contrôle auprès de laquelle une réclamation a été introduite d’informer l’auteur de la réclamation (§ 7).

Dans l’hypothèse où la réclamation est refusée ou rejetée, l'autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la communique à la personne à l'origine de la réclamation et en informe le responsable du traitement (§ 8).

En cas de décision mixte, c’est-à-dire lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter des parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte pour chaque partie de l’affaire doit être prise. Dans ce cas, la répartition des compétences est la suivante :

- l'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement et la communique à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe la personne à l'origine de la réclamation

- tandis que l'autorité de contrôle de la personne à l'origine de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la communique à cette personne et en informe le responsable du traitement ou le sous-traitant (§ 9).

Il appartient ensuite au responsable du traitement ou au sous-traitant de prendre les mesures nécessaires pour assurer le respect de la décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union (§ 10). Afin de s’assurer du respect de la décision, le  responsable ou au sous-traitant doivent communiquer les mesures prises à l'autorité de contrôle chef de file, qui doit ensuite répercuter l’information aux autres autorités de contrôle concernées.

Si une autorité de contrôle estime qu’il est urgent d’intervenir, en raison de circonstances exceptionnelles, pour protéger les intérêts des personnes concernées, cette dernière peut enclencher la procédure d'urgence visée à l’article 66 (art. 60, § 11). Cette disposition l’autorise elle à adopter sans délai des mesures provisoires visant à produire des effets juridiques limités au territoire de l'État membre dont elle relève.

La Directive

La Directive prévoit uniquement que les autorités doivent coopérer entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile. Toutefois, aucune disposition de la Directive ne règle les modalités de coopération entre plusieurs autorités de contrôle nationales.

Cette absence d’obligation de coordination à charge des autorités de contrôle nationales dans la Directive a engendré de nombreux problèmes pour les sociétés opérant à un niveau transnational, confrontées à l’application de différentes législations nationales.

Difficultés probables

La procédure mise en place paraît fort complexe et va entraîner un travail considérable pour les autorités concernées qui souvent, vont devoir traiter le même dossier. L’intervention concomitante de deux autorités distinctes selon la nature de la décision (rejet ou admission) risque de plus d’entraîner la confusion tant dans le chef du plaignant que des responsables/sous-traitants concernés qui risquent de ne plus savoir quel est leur interlocuteur.

arrow_back Article précédentArticle 60Article suivant arrow_forward
arrow_back Article précédentArticle 60Article suivant arrow_forward
Règlement
1e 2e

Art. 60

1. L'autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s'efforçant de parvenir à un consensus. L'autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2. L'autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l'article 61 et peut mener des opérations conjointes en application de l'article 62, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3. L'autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leur point de vue.

4. Lorsqu'une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l'égard du projet de décision, l'autorité de contrôle chef de file, si elle ne suit pas l'objection pertinente et motivée ou si elle est d'avis que celle-ci n'est pas pertinente et motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 63.

5. Lorsque l'autorité de contrôle chef de file entend suivre l'objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d'obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6. Lorsqu'aucune des autres autorités de contrôle concernées n'a formulé d'objection à l'égard du projet de décision soumis par l'autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l'autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7. L'autorité de contrôle chef de file adopte la décision, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L'autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l'auteur de la réclamation.

8. Par dérogation au paragraphe 7, lorsqu'une réclamation est refusée ou rejetée, l'autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l'auteur de la réclamation et en informe le responsable du traitement.

9. Lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter certaines parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe l'auteur de la réclamation, tandis que l'autorité de contrôle de l'auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous-traitant.

10. Après avoir été informé de la décision de l'autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l'autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu'il est urgent d'intervenir pour protéger les intérêts des personnes concernées, la procédure d'urgence visée à l'article 66 s'applique.

12. L'autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d'un formulaire type, les informations requises en vertu du présent article.
Proposition 1 close

Pas de disposition correspondante
Proposition 2 close

1. L'autorité de contrôle chef de file (...) coopère avec les autres autorités de contrôle concernées conformément au présent article en vue de parvenir à un consensus (...). L'autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

1 bis. L'autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter une assistance mutuelle en application de l'article 55 et peut mener des opérations conjointes en application de l'article 56, en particulier pour effectuer des enquêtes ou contrôler l'application d'une mesures concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

2. L'autorité de contrôle chef de file communique sans tarder les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans délai un projet de décision aux autres autorités de contrôle concernées en vue d'obtenir leur avis et tient dûment compte de leurs points de vue.

3. Lorsqu'une des autres autorités de contrôle concernées formule, dans les quatre semaines suivant la consultation conformément au paragraphe 2, une objection pertinente et motivée en ce qui concerne le projet de décision, l'autorité de contrôle chef de file, si elle ne donne pas suite à l'objection ou si elle est d'avis que celle-ci n'est pas pertinente et motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l'article 57.

3 bis. Lorsque l'autorité de contrôle chef de file entend donner suite à l'objection formulée, elle soumet aux autres autorités de contrôle concernées un projet révisé de décision en vue d'obtenir leur avis. Ce projet révisé de décision est soumis à la procédure visée au paragraphe 3 dans un délai de deux semaines.

4. Lorsqu'aucune des autres autorités de contrôle concernées n'a formulé d'objection au projet de décision soumis par l'autorité de contrôle chef de file dans le délai visé aux paragraphes 3 et 3 bis, l'autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

4 bis. L'autorité de contrôle chef de file adopte la décision, la communique à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité européen de la protection des données de la décision en question, y compris par un résumé des faits et motifs pertinents. L'autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision la personne à l'origine de la réclamation.

4 ter. Par dérogation au paragraphe 4 bis, lorsqu'une réclamation est refusée ou rejetée, l'autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la communique à la personne à l'origine de la réclamation et en informe le responsable du traitement.

4 ter ter. Lorsque l'autorité de contrôle chef de file et les autorités de contrôle concernées sont d'accord pour refuser ou rejeter des parties d'une réclamation et donner suite à d'autres parties de cette réclamation, une décision distincte est adoptée pour chacune de ces parties de l'affaire. L'autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement et la communique à l'établissement principal ou à l'établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève et en informe la personne à l'origine de la réclamation, tandis que l'autorité de contrôle de la personne à l'origine de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la communique à cette personne et en informe le responsable du traitement ou le sous-traitant.

4 quater. Après avoir été informé de la décision de l'autorité de contrôle chef de file en application des paragraphes 4 bis et 4 ter ter, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de la décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l'Union. Le responsable du traitement ou le sous-traitant communique les mesures prises pour assurer le respect de la décision à l'autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

4 quinquies. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu'il est urgent d'intervenir pour protéger les intérêts des personnes concernées, la procédure d'urgence visée à l'article 61 est applicable.

5. L'autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent mutuellement par des moyens électroniques, au moyen d'un formulaire type, les informations requises en vertu du présent article (...).
Directive close

Art. 28

6.

(…)

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.
France
Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 24

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l'informatique et des libertés met en œuvre des procédures de coopération et d'assistance mutuelle avec les autorités de contrôle des autres Etats membres de l'Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D'exercer ses prérogatives en tant qu'autorité concernée, au sens de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d'émettre une objection pertinente et motivée au projet de décision d'une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu'autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d'arrêter la décision au nom de la commission.

Art. 27

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque la commission agit en tant qu'autorité de contrôle chef de file au sens de l'article 56 du règlement (UE) 2016/679 du 27 avril 2016 s'agissant d'un traitement transfrontalier au sein de l'Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l'article 22 ainsi que l'ensemble des informations utiles de la procédure ayant permis d'établir le rapport, avant l'éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d'assister, par tout moyen de retransmission approprié, à l'audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d'un procès-verbal dressé à la suite de l'audition.

Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l'article 60 du règlement (UE) 2016/679 du 27 avril 2016. A ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d'écarter l'une des objections, le comité européen de la protection des données conformément à l'article 65 du même règlement.

Les conditions d'application du présent article sont définies par décret en Conseil d'Etat, après avis de la Commission nationale de l'informatique et des libertés.

Art. 28

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque la commission agit en tant qu'autorité de contrôle concernée, au sens de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.

Lorsque ces mesures sont d'objet équivalent à celles définies aux I et II de l'article 20 de la présente loi, le président décide, le cas échéant, d'émettre une objection pertinente et motivée, selon les modalités prévues à l'article 60 du même règlement.

Lorsque ces mesures sont d'objet équivalent à celles définies au III de l'article 20 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu'il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités.
Ancienne loi
en France close

Art. 49

Modifié par la loi n°2018-493 du 20 juin 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, la Commission nationale de l'informatique et des libertés met en œuvre des procédures de coopération et d'assistance mutuelle avec les autorités de contrôle des autres Etats membres de l'Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.
Belgique
Ancienne loi

Aucune disposition spécifique
Ancienne loi
en Belgique close

Pas de disposition correspondante
arrow_back Article précédentArticle 60Article suivant arrow_forward
Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK