arrow_back Retour à tous les articles

Article 70
Missions du comité

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 70 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 70 keyboard_arrow_up

(139) Afin de favoriser l'application cohérente du présent règlement, le comité devrait être institué en tant qu'organe indépendant de l'Union. Pour pouvoir atteindre ses objectifs, le comité devrait être doté de la personnalité juridique. Il devrait être représenté par son président. Il devrait remplacer le groupe de protection des personnes à l'égard du traitement des données à caractère personnel institué par la directive 95/46/CE. Il devrait se composer du chef d'une autorité de contrôle de chaque État membre et du contrôleur européen de la protection des données ou de leurs représentants respectifs. La Commission devrait participer aux activités du comité sans droit de vote et le contrôleur européen de la protection des données devrait disposer de droits de vote spécifiques. Le comité devrait contribuer à l'application cohérente du présent règlement dans l'ensemble de l'Union, notamment en conseillant la Commission, en particulier en ce qui concerne le niveau de protection dans les pays tiers ou les organisations internationales, et en favorisant la coopération des autorités de contrôle dans l'ensemble de l'Union. Le comité devrait accomplir ses missions en toute indépendance.

Afficher les considérants de la Directive 95/46 liés à l'article 70 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 70 keyboard_arrow_up

(65) considérant que, au niveau communautaire, un groupe de travail sur la protection des personnes à l'égard du traitement des données à caractère personnel doit être instauré et qu'il doit exercer ses fonctions en toute indépendance; que, compte tenu de cette spécificité, il doit conseiller la Commission et contribuer notamment à l'application homogène des règles nationales adoptées en application de la présente directive;

 

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 30 de la Directive explicitait déjà les missions de conseil du Groupe Article 29 auprès de la Commission, ainsi que la manière dont le comité est appelé à contribuer à l'application homogène des règles de transposition nationale.

Parmi ces missions, on retrouve logiquement d’abord la faculté du comité de se saisir de toute question relative à la transposition de la Directive par les États membres, afin de veiller à leur homogénéité.

Ensuite, l’article 30 (2) investissait le Groupe Article 29 d’une mission d’avis à l’attention de la Commission sur le niveau de protection dans la Communauté et dans les pays tiers, ainsi que sur les codes de conduite élaborés au niveau communautaire.

Le Groupe Article 29 devait également conseiller la Commission sur tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel, ainsi que sur tout autre projet de mesures communautaires ayant une incidence sur ces droits et libertés.

En sus de ces missions, le Groupe devait alerter la Commission dès qu’il constatait des divergences entre les législations et les pratiques des États membres qui pourraient mettre à pas l’équivalence de la protection des données personnelles dans l’Union. 

Le Groupe disposait également d’une compétence générale d’adopter d’initiative des recommandations sur toute question relative à la protection des données personnelles dans l’Union, qui doive être communiqués à la Commission.

L’article 30 organisait aussi un dialogue entre le Groupe Article 29 et la Commission, qui devait rédiger un rapport sur les suites données par la Commission aux recommandations du Groupe Article 29. Ce rapport est communiqué au Parlement et publié.

Enfin, le Groupe Article 29 a l’obligation de préparer un rapport d’activités annuel sur l’état de la protection des données personnelles dans l’Union et dans les pays tiers. Ce rapport est communiqué à la Commission et au Parlement. Il fait également l’objet d’une publication.

Où va-t-on ?

À l’instar de l’article 30 de la Directive, l'article 66 du Règlement décrit les missions du comité européen de la protection des données. Par rapport à la Directive, les missions sont complétées afin de tenir compte de l'élargissement du domaine d'activités de ce comité, tant au sein qu'à l'extérieur de l'Union.

À l’instar du Groupe Article 29, le comité a principalement pour mission de promouvoir l'application cohérente du futur Règlement. À cet effet, ses missions sont les suivantes :

- surveiller et garantir l’application du Règlement dans le cadre du mécanisme de contrôle de la cohérence (a) ; le comité joue un rôle central dans ce mécanisme en rendant un avis sur certains projets de décision des autorités (cfr. art. 64) ou en tranchant certains différends entre autorités nationales via des décisions contraignantes (cfr. art. 65) ;

- conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification du Règlement (b), et sur le format et les procédures d’échanges d’informations entre les responsables, sous-traitants et autorités de contrôle pour les règles d’entreprise contraignantes (c).

Il incombe également au Comité d’émettre des lignes directrices, recommandations et meilleures pratiques :

- sur les procédures de suppression des liens, copies ou répliques de données à caractère personnel qui ont été rendues publiques par le responsable et que ce dernier est tenu de supprimer en vertu de l’article 17, § 2 du Règlement(d) ;

- afin de préciser les conditions et les critères des décisions automatisées basées sur le profilage au sens de l’article 22, § 2 (f) ; ou afin d’établir les violations de données et déterminer le délai injustifié au sens de l’article 31, ainsi que les circonstances dans lesquelles le responsable doit notifier une violation de données (g) ;

- sur les circonstances dans lesquelles une violation de données est susceptible d'exposer les personnes physiques à un risque élevé au sens de l’article 31 du Règlement (h) ;

- afin de préciser les critères et les exigences des transferts de données basés sur des règles d’entreprise contraignantes auxquelles ont adhéré le sous-traitant et/ou le responsable, ainsi que les autres exigences nécessaires pour garantir la protection des données personnelles des personnes concernées au sens de l’article 43 (i) ;

- afin de préciser les critères et les exigences des transferts de données basés sur des situations particulières au sens de l’article 44 du Règlement (j) ;

- afin de déterminer une procédure commune pour que les particuliers signalent les violations du Règlement (m)

Le Comité doit également examiner, d’initiative ou à la demande d’un de ses membres ou de la Commission, toute question en lien avec l’application du Règlement et émettre des recommandations et lignes directrices (e).

Le Comité doit émettre des lignes directrices pour les autorités de contrôle nationales sur les mesures visées à l’article 58 concernant les pouvoirs des autorités nationales, ainsi que sur la fixation des amendes administratives au sens de l’article 83 (k).

Le Comité a en outre pour mission de :

-encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification, de marques et de labels en matière de protection des données, conformément aux articles 40 et 42 (n) ;

- procéder à l’agrément des organismes de certification et à l'examen périodique de cet agrément conformément à l'article 43, et tenir un registre public des organismes agréés au sens de l’article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers, conformément à l’article 42, paragraphe 7 (o) ;

- préciser les exigences visées à l’article 43, § 3, aux fins de l’agrément des organismes de certification prévue à l’article 42 (p).

Le comité doit également donner un avis à la Commission sur  :

- les exigences de certification au sens de l’article e43, § 8 (q);

- sur les icônes standardisées pouvant servir à informer les personnes concernées au sens de l’article 12, § 7 (r);

- l’évaluation du caractère adéquat du niveau de protection d’un pays tiers ou d’une organisation internationale, en ce compris sur le fait de savoir si ledit pays ou ladite organisation assure toujours un niveau adéquat. Le comité fournit à cet effet toute la documentation nécessaire, en ce compris la correspondance avec le gouvernement du pays tiers concerné, du territoire ou du secteur de sous-traitance concerné (s) ;

Le comité doit aussi émettre un avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l’article 64 (t). Pour mémoire, en vertu du mécanisme de cohérence, certains projets de décision des autorités de contrôle doivent être soumis pour avis au comité (cfr. les articles 64, 65 et 66).

Il incombe également au comité de promouvoir :

- la coopération et l’échange bilatéral et multilatéral effectif d’informations et de pratiques entre autorités de contrôle (u);

- l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales (v) ;

- l’échange d’informations, de connaissances et de documentations entre autorités de contrôle et, le cas échéant, avec des autorités de contrôle de pays tiers ou d’organisations internationales (w) ;

Le comité doit également :

- rendre des avis sur les codes de conduite élaborés au niveau de l’Union (x). On se rappellera qu’en vertu de l’article 40, § 9, la Commission dispose du pouvoir d’étendre la validité d’un code de conduite approuvé à toute l’Union.

- tenir un registre électronique accessible au public des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence (y).

Une innovation qui mérite d’être soulignée porte sur faculté reconnue à la Commission de demander audit comité de formuler un avis dans un délai donné, en faisant état d’une situation d’urgence particulière (§ 2).

Enfin, les travaux du comité (avis, lignes directrices, recommandations et bonnes pratiques) doivent être communiqués à la Commission et au comité visé à l’article 93 et publiés (§ 3).

La version finale du Règlement investit le comité du pouvoir de consulter les parties concernées et de leur donner l’opportunité de faire valoir leur point de vue dans un délai raisonnable. Les résultats de cette consultation doivent être rendus publics, sans préjudice de l’article 76 (§ 4).

Difficultés probables

Les tâches dévolues au Comité sont à la fois essentielles et très nombreuses, notamment lorsqu’il intervient à la demande des autorités de contrôle nationales. Composé principalement de membres des autorités nationales, il faudra non seulement que ce Comité reçoive les moyens de fonctionner (cfr article 75), mais que les États Membres tiennent compte de ces tâches dans les moyens humains et financiers dont ils doteront leur autorité nationale. 

Règlement
1e 2e

Art. 70

1. Le comité veille à l'application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

a) de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

b) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, y compris sur tout projet de modification du présent règlement;

c) de conseiller la Commission, en ce qui concerne les règles d'entreprise contraignantes, sur la forme de l'échange d'informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s'y rapportent;

d) de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l'article 17, paragraphe 2;

e) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l'application cohérente du présent règlement;

f) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l'article 22, paragraphe 2;

g) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir les violations de données à caractère personnel, de déterminer les meilleurs délais visés à l'article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel;

h) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l'article 34, paragraphe 1;

i) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d'entreprise contraignantes appliquées par les responsables du traitement et sur des règles d'entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données à caractère personnel des personnes concernées visées à l'article 47;

j) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l'article 49, paragraphe 1;

k) d'élaborer, à l'intention des autorités de contrôle, des lignes directrices concernant l'application des mesures visées à l'article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l'article 83;

l) de faire le bilan de l'application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

m) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d'établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l'article 54, paragraphe 2;

n) d'encourager l'élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

o) de procéder à l'agrément des organismes de certification et à l'examen périodique de cet agrément en vertu de l'article 43 et de tenir un registre public des organismes agréés en vertu de l'article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l'article 42, paragraphe 7;

p) de définir les exigences visées à l'article 43, paragraphe 3, aux fins de l'agrément des organismes de certification prévu à l'article 42;

q) de rendre à la Commission un avis sur les exigences en matière de certification visées à l'article 43, paragraphe 8;

r) de rendre à la Commission un avis sur les icônes visées à l'article 12, paragraphe 7;

s) de rendre à la Commission un avis en ce qui concerne l'évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l'évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n'assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l'organisation internationale;

t) d'émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l'article 64, paragraphe 1, sur les questions soumises en vertu de l'article 64, paragraphe 2, et d'émettre des décisions contraignantes en vertu de l'article 65, y compris dans les cas visés à l'article 66 ;

u) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de bonnes pratiques entre les autorités de contrôle;

v) de promouvoir l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

w) de promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

x) d'émettre des avis sur les codes de conduite élaborés au niveau de l'Union en application de l'article 40, paragraphe 9; et

y) de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l'urgence de la question.

3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 93, et les publie.

4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l'article 76.

Proposition 1 close

1. Le comité européen de la protection des données veille à l’application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande de la Commission, a notamment pour mission:

a) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, notamment sur tout projet de modification du présent règlement;

b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques adressées aux autorités de contrôle, afin de favoriser l'application cohérente du présent règlement;

c) de faire le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées au point b) et de faire régulièrement rapport à la Commission sur ces mesures;

d) d'émettre des avis sur les projets de décision des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57;

e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle;

f) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

g) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données.

2. Lorsque la Commission consulte le comité européen de la protection des données, elle peut fixer un délai dans lequel il doit lui fournir les conseils demandés, selon l'urgence de la question.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 87, et il les publie.

4. La Commission informe le comité européen de la protection des données de la suite qu'elle a réservée aux avis, lignes directrices, recommandations et bonnes pratiques publiées par ledit comité.

Proposition 2 close

1. Le comité européen de la protection des données promeut l'application cohérente du présent règlement. À cet effet, le comité européen de la protection des données, de sa propre initiative ou à la demande de la Commission, a notamment pour mission:

aa) de surveiller et garantir l'application correcte du présent règlement dans les cas prévus à l'article 57, paragraphe 3, sans préjudice des missions des autorités de contrôle nationales;

a) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l'Union, notamment sur tout projet de modification du présent règlement;

b) d'examiner, de sa propre initiative, à la demande de l'un de ses membres ou à la demande de la Commission, toute question portant sur l'application du présent règlement, et de publier des lignes directrices, des recommandations et de bonnes pratiques, afin de favoriser l'application cohérente du présent règlement;

b bis) d'élaborer, à l'intention des autorités de contrôle, des lignes directrices concernant l'application des mesures visées à l'article 53, paragraphes 1, 1 ter et 1 quater, ainsi que la fixation des amendes administratives prévues aux articles 79 et 79 bis;

c) de faire le bilan de l'application pratique des lignes directrices, recommandations et bonnes pratiques visées aux points b) et b bis);

c bis) d'encourager l'élaboration de codes de conduite et la mise en place de mécanismes de certification et de marques et de labels en matière de protection des données, conformément aux articles 38 et 39;

c ter) de procéder à l'agrément des organismes de certification et à l'examen périodique de cet agrément conformément à l'article 39 bis et de tenir un registre public des organismes agréés conformément à l'article 39 bis, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers conformément à l'article 39, paragraphe 4;

c quinquies) de définir les exigences visées à l'article 39 bis, paragraphe 3, aux fins de l'agrément des organismes de certification prévu à l'article 39;

c sexies) de communiquer à la Commission un avis sur le niveau de protection des données à caractère personnel dans les pays tiers ou les organisations internationales, en particulier dans les cas visés à l'article 41;

d) d'émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence prévu à l'article 57, paragraphe 2, et sur les questions soumises conformément à l'article 57, paragraphe 4;

e) de promouvoir la coopération et l'échange bilatéral et multilatéral effectif d'informations et de pratiques entre les autorités de contrôle;

f) de promouvoir l'élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d'organisations internationales;

g) de promouvoir l'échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

h) (…);

i) de tenir un registre électronique accessible au public des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

2. Lorsque la Commission consulte le comité européen de la protection des données, elle peut mentionner un délai, selon l'urgence de la question.

3. Le comité européen de la protection des données transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l'article 87, et les publie.

Directive

Aucune disposition correspondante

France

Pas de disposition correpondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK