En vertu du RGPD, le contrôle de l’application du règlement relève de la responsabilité des autorités nationales de protection des données (APD). Chaque pays de l’Espace économique européen (EEE) dispose de sa propre autorité indépendante de protection des données, qui supervise l’application du RGPD, y compris le traitement des plaintes. Pour les traitements de données effectués dans plus d’un pays de l’EEE, le RGPD prévoit un système de coopération entre les APD compétentes, au sein duquel elles collaborent afin de parvenir à un consensus. Trouvez une vue d’ensemble des APD.
Le RGPD confère certains droits aux particuliers, y compris le droit d’introduire une plainte auprès de l’autorité compétente lorsqu’ils craignent qu’il y a eu une violation de leurs droits en matière de protection des données.
Tâches et pouvoirs des autorités de protection des données (APD)
Tâches des APD
Chaque APD de l’EEE a la responsabilité de surveiller et de faire respecter l’application du RGPD, et de promouvoir la sensibilisation du public et la compréhension des risques, des règles, des garanties et des droits liés au traitement des données à caractère personnel. Les APD ont également pour mission de conseiller le parlement national, le gouvernement et d’autres institutions et organes ainsi que de fournir des informations à toute personne sur l’exercice de ses droits. Les APD favorisent également la sensibilisation des responsables du traitement des données et des sous-traitants aux obligations qui leur incombent en vertu du RGPD. Les APD traitent les plaintes des particuliers, mènent des enquêtes sur la bonne application du RGPD et coopèrent avec d’autres APD sur l’application du RGPD. Les autorités sont également responsables de:
- l’adoption et l’autorisation de clauses contractuelles types;
- l’approbation des règles d’entreprise contraignantes;
- l’approbation des codes de conduite;
- l’encouragement de la mise en place de mécanismes de certification en matière de protection des données;
- la contribution aux activités du Comité européen de la protection des données (CEPD);
- toute autre tâche liée à la protection des données à caractère personnel.
En savoir plus
Pouvoirs des APD
En vertu du RGPD, les autorités nationales de protection des données ont vu leurs pouvoirs de contrôle accrus de manière significative. L’article 58 du RGPD définit les pouvoirs de chacune de ces autorités nationales, en les divisant distinctement en trois grands groupes:
- les pouvoirs d’enquête;
- les pouvoirs correcteurs;
- les pouvoirs consultatifs.
Pouvoirs d’enquête
Les APD exercent leurs pouvoirs d’enquête afin de déterminer s’il y a une violation du RGPD, de sa portée et de sa nature exactes. Entre autres, les APD peuvent:
- ordonner aux organisations de fournir toute information relative à l’enquête;
- mener des enquêtes sous la forme d’audits de protection des données et informer les organisations d’une violation présumée du RGPD.
- obtenir l’accès à toutes les données à caractère personnel détenues par une organisation et à toutes les informations nécessaires à l’accomplissement de ses tâches, y compris l’accès à tous les locaux du responsable du traitement, notamment à toute installation et à tout moyen de traitement, conformément au droit procédural national et de l’UE
- procéder à un examen des certifications délivrées en vertu de l’article 42, paragraphe 7, du RGPD
Pouvoirs correcteurs
Lorsqu’une infraction aux dispositions du RGPD est établie à la suite de l’enquête, ou qu’il est considéré qu’une opération de traitement comporte un risque ou ne répond pas à des exigences spécifiques, les APD ont le droit d’exercer un ou plusieurs de leurs pouvoirs correcteurs, par exemple:
- Avertissement ou interdiction de traitement: en cas de risques existants, les APD pourraient émettre des avertissements aux organisations, afin d’empêcher leurs opérations de traitement d’enfreindre les dispositions du RGPD. Les APD peuvent également ordonner une limitation temporaire ou définitive, en ce compris l’interdiction des activités de traitement de l’organisation, ainsi que lui ordonner de communiquer les violations de données qui se sont produites aux personnes concernées.
- Ordre de conformité: afin d’assurer le respect du RGPD ou de traiter les cas où certains critères ou exigences ne sont pas remplis, les APD ont le pouvoir d’ordonner aux organisations de se conformer aux demandes des particuliers d’exercer leurs droits en vertu du RGPD. Le cas échéant, les organisations pourraient être invitées à mettre leurs opérations de traitement en conformité avec les dispositions du RGPD d’une manière spécifiée et dans un délai déterminé.
- Suspension des flux de données ou retrait de la certification: en outre, les APD pourraient également exercer leur pouvoir de suspendre tout flux de données vers des destinataires dans des pays tiers ou vers des organisations internationales. En outre, elles pourraient retirer la certification ou ordonner à l’organisme de certification de retirer une certification délivrée conformément aux articles 42 et 43 du RGPD. Dans les cas où les exigences de certification ne sont pas satisfaites ou ne sont plus remplies, ordonner à l’organisme de certification de ne pas délivrer de certification.
- Réprimandes: dans le cas d’infractions constatées, les APD peuvent réprimander les organisations.
- Amendes administratives: les APD peuvent également infliger des amendes administratives définies conformément à l’article 83 du RGPD, en plus ou en lieu et place des autres mesures énumérées ci-dessus. Le régime de sanctions administratives exige une évaluation au cas par cas des circonstances de chaque infraction individuelle. L’évaluation devrait tenir compte de facteurs tels que la nature, la gravité et la durée de l’infraction, sa nature intentionnelle ou négligente, les mesures d’atténuation des dommages qui auraient pu être mises en œuvre, les mesures techniques et organisationnelles (c’est-à-dire de sécurité) mises en œuvre, et la manière dont l’APD a pris connaissance de la question.
Le niveau maximal de la sanction potentielle dépendra du type de violation :
- il peut aller jusqu’à un maximum de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total au cours de l’exercice précédent (par exemple, pour une violation du principe de la «vie privée dès la conception et par défaut», le non-respect de l’obligation de conclure un contrat de traitement des données, ou l’absence d’analyse d’impact sur la protection des données ou de nomination d’un délégué à la protection des données) en vertu de l’article 83, paragraphe 4, du RGPD; ou
- il peut aller jusqu’à un maximum de 20 millions ou 4 % du chiffre d’affaires annuel total mondial au cours de l’exercice précédent (par exemple, pour une violation des principes de base relatifs au traitement, pour le traitement illicite de données à caractère personnel sans base juridique ou pour des violations des droits des personnes concernées) en vertu de l’article 83.5 du RGPD.
Vous trouverez plus de détails sur les amendes administratives associées aux violations de divers articles du RGPD dans l’article 83 du RGPD et dans les lignes directrices de l’EDPB sur le calcul des amendes administratives en vertu du RGPD.
Pouvoirs consultatifs
Chaque APD a un certain rôle d’autorisation et de conseil dans le cadre du RGPD, à travers lequel elle peut fournir un soutien aux organisations, ou autoriser des activités de traitement spécifiques. Voici quelques exemples:
- Consultation préalable: conseiller les responsables du traitement conformément à la procédure de consultation préalable prévue à l’article 36 du RGPD.
- Avis sur les activités législatives: émettre, de leur propre initiative ou sur demande, des avis à leur parlement national, à leur gouvernement ou, conformément au droit national, à d’autres institutions et organes ainsi qu’au public sur toute question liée à la protection des données à caractère personnel.
- Codes de conduite et certification: approuver les projets de codes de conduite, accréditer les organismes de certification ou délivrer des certifications et approuver les critères de certification.
L’exercice des pouvoirs susmentionnés des APD est soumis à des garanties appropriées, y compris un recours juridictionnel effectif et une procédure régulière, conformément au droit de l’Union et au droit national, conformément à la charte des droits fondamentaux de l’Union européenne. Chaque APD a le pouvoir de porter les infractions au RGPD à l’attention des autorités judiciaires et, le cas échéant, de commencer ou d’engager d’autres procédures judiciaires, afin de faire respecter les dispositions du RGPD. Des pouvoirs supplémentaires peuvent être conférés aux APD par leur droit national.
En savoir plus
Coopération et guichet unique
Le RGPD s’applique dans l’ensemble de l’EEE, appliquant un seul ensemble de règles de protection des données pour tous les pays. Cette approche soutient les entreprises internationales, mais aussi les PME dans leurs efforts de développement et de croissance par l’offre de leurs services dans plus d’un pays de l’EEE.
Afin de réduire la charge administrative liée au traitement des données à caractère personnel dans deux ou plusieurs pays de l’EEE, le RGPD prévoit un système de coopération entre les APD — le mécanisme dit du «guichet unique» (one-stop-shop en anglais), afin de parvenir à un consensus entre les nombreuses APD.
Lorsqu’une organisation traite des données dans deux ou plusieurs pays de l’EEE, l’autorité compétente traitant une plainte ou une violation de données, par exemple, est celle du pays dans lequel le responsable du traitement a son établissement principal. Cela facilite la tâche des responsables du traitement des données, car ils n’ont pas à se conformer aux différentes lois de chaque pays dans lequel ils opèrent. De plus, ils n’ont qu’à interagir avec une seule APD. En fonction de votre type d’entreprise et des produits et services que vous proposez, le traitement transfrontalier peut également s’appliquer à votre PME. De nombreuses petites entreprises, telles que les boutiques en ligne, les sites web de commerce électronique, ainsi que les applications mobiles et informatiques offrent des services dans plusieurs pays.
Si votre PME traite les données de particuliers dans différents pays de l’EEE, vous êtes tenu de déterminer quelle est l’APD compétente ou l’autorité chef de file. Il s’agit généralement de l’APD située dans le pays de l’EEE où se trouve le siège de votre organisation et où sont prises des décisions concernant les finalités et les moyens du traitement des données à caractère personnel.
Dans la pratique
- Les détaillants en ligne, par exemple, vendant des vêtements via leurs boutiques en ligne à des clients de plusieurs pays de l’EEE, peuvent traiter, et traitent souvent, des données personnelles. Dans un tel cas transfrontalier, l’autorité compétente doit être celle du pays de l’établissement principal du détaillant en ligne (« établissement principal»).
Une fois que vous avez déterminé quelle APD est la chef de file, vous n’avez besoin de communiquer qu’avec elle. L’APD chef de file coopère et participe aux discussions avec d’autres APD de l’EEE concernées.
Lorsqu’une plainte comportant un élément transfrontalier doit être traitée dans le cadre d’une coopération avec une autre APD, les mesures de coopération suivantes sont prises:
- Si une autre APD a reçu la plainte, elle a l’obligation d’informer l’APD chef de file de l’affaire;
- L’APD concernée peut participer à l’élaboration d’une décision sur la plainte;
- Lors de l’élaboration d’une décision, l’APD chef de file doit tenir compte de l’avis de l’APD concernée.
Détermination de l’autorité chef de file en matière de protection des données
Concepts clés
Traitement transfrontalier des données à caractère personnel
Selon le RGPD, l’identification d’une autorité chef de file en matière de protection des données n’est pertinente que pour les organisations effectuant un traitement transfrontalier de données à caractère personnel.
Le RGPD définit le «traitement transfrontalier» comme étant:
- le traitement de données à caractère personnel qui a lieu dans plus d’un pays de l’EEE, où le responsable du traitement ou le sous-traitant est établi dans plus d’un pays de l’EEE; ou
- le traitement de données à caractère personnel qui a lieu dans un seul établissement d’une organisation dans l’EEE mais qui affecte ou est susceptible d’affecter substantiellement des personnes dans plus d’un pays de l’EEE.
Dans la pratique
- Cela signifie que lorsqu’une organisation a des établissements en Allemagne et en Croatie, par exemple, et que le traitement des données à caractère personnel a lieu dans le cadre de ses activités, il s’agit d’un traitement transfrontalier.
- Alternativement, l’organisation ne peut avoir qu’un établissement en Allemagne. Toutefois, si son activité de traitement affecte sensiblement — ou est susceptible d’affecter considérablement — des personnes en Allemagne et en Croatie, cela constituera également un traitement transfrontalier.
Compréhension du concept « affecter sensiblement »
Le fait qu’une organisation traite une quantité — même importante — de données à caractère personnel dans plusieurs pays de l’EEE ne signifie pas nécessairement que le traitement a ou est susceptible d’avoir un effet substantiel. Le traitement avec peu ou pas d’effet ne constitue pas un traitement transfrontalier, quel que soit le nombre de personnes qu’il affecte.
Les APD interpréteront au cas par cas si les personnes sont « affectées sensiblement ». Ils prendront en compte le contexte du traitement, le type de données, la finalité du traitement et des facteurs tels que la question de savoir si le traitement:
- provoque, ou est susceptible de causer, des dommages, des pertes ou de la détresse à des personnes;
- a, ou est susceptible d’avoir, un effet réel en termes de limitation des droits des individus ou de refus d’une opportunité;
- affecte ou est susceptible d’affecter la santé, le bien-être ou la tranquillité d’esprit des individus;
- affecte ou est susceptible d’affecter le statut ou la situation financière ou économique d’une personne;
- expose les individus à de la discrimination ou à un traitement inéquitable;
- implique l’analyse de catégories particulières de données personnelles ou d’autres données intrusives, en particulier les données personnelles des enfants;
- amène ou est susceptible d’amener les individus à changer leur comportement de manière significative;
- a des conséquences improbables, imprévues ou indésirables pour les individus;
- crée de l’embarras ou d’autres conséquences négatives, y compris des dommages à la réputation; ou implique le traitement d’un large éventail de données personnelles.
Autorité chef de file en matière de protection des données
En termes simples, une «autorité de protection des données chef de file» ou une autorité principale de protection des données est l’autorité chargée au premier chef de traiter une activité de traitement transfrontière des données, par exemple lorsqu’une personne présente une plainte concernant le traitement de ses données à caractère personnel. L’APD chef de file coordonnera toute enquête et collaborera avec les APD «concernées». L’identification de l’APD principale dépend de la détermination de l’emplacement de l’«établissement principal» ou de l’«établissement unique» du responsable du traitement dans l’UE.
Si une organisation est établie dans un seul pays de l’EEE, elle dispose d’un seul établissement dans l’EEE et l’APD de ce pays sera l’APD chef de file.
Si une organisation est établie dans plus d’un pays de l’EEE, il est nécessaire de déterminer son établissement principal, de sorte que l’APD chef de file puisse être identifiée.
En savoir plus
Établissement principal
Afin de déterminer où se trouve l’établissement principal, il est d’abord nécessaire d’identifier l’emplacement de l’administration centrale de l’organisation dans l’EEE («lieu de l’administration centrale; siège»), le cas échéant. C’est le lieu où sont prises les décisions concernant les finalités et les moyens du traitement des données à caractère personnel.
Dans les cas où des décisions relatives à différentes activités de traitement transfrontalier sont prises au sein de l’administration centrale, il y aura une APD chef de file unique dans l’EEE pour les différentes activités de traitement des données effectuées par la société multinationale. Toutefois, il peut y avoir des cas où un établissement autre que le lieu de l’administration centrale prend des décisions autonomes concernant les finalités et les moyens d’une activité de traitement spécifique. Dans ces situations, il sera essentiel que les entreprises identifient précisément où sont prises les décisions relatives à la finalité et aux moyens de traitement. L’identification correcte de l’établissement principal est dans l’intérêt des responsables du traitement des données et des sous-traitants, car elle fournit des précisions quant à l’APD avec laquelle ils doivent traiter en ce qui concerne leurs différentes obligations de conformité en vertu du RGPD.
En savoir plus
Dans la pratique
- Un détaillant de vêtements a son siège (c’est-à-dire son «lieu d’administration centrale») à Sofia, en Bulgarie. Elle dispose d’établissements dans divers autres pays de l’EEE, qui sont en contact avec des particuliers. Tous les établissements utilisent le même logiciel pour traiter les données personnelles des clients à des fins de marketing. Toutes les décisions concernant les finalités et les moyens du traitement des données personnelles des clients à des fins de marketing sont prises au siège de Sofia. Cela signifie que l’APD principale de l’entreprise pour cette activité de traitement transfrontalier est l’APD bulgare.
Organisations non établies dans l’EEE
Si votre organisation n’est pas établie dans l’EEE, mais est soumise au RGPD, car elle relève du champ d’application territorial du RGPD, elle pourrait devoir désigner un représentant dans l’un des pays de l’EEE.
Toutefois, si une organisation n’a pas d’établissement dans l’EEE, la simple présence d’un représentant dans l’un des pays de l’EEE ne déclenche pas le système du «guichet unique». Cela signifie que les organisations sans établissement dans l’EEE doivent traiter avec les APD locales dans tous les pays de l’EEE dans lesquels elles exercent leurs activités, par l’intermédiaire de leur représentant local.
En savoir plus
Rôle du comité européen de la protection des données
Le CEPD (ou EDPB en anglais) est un organisme européen indépendant doté de la personnalité juridique qui contribue à l’application cohérente des règles en matière de protection des données dans l’ensemble de l’EEE, et encourage la coopération entre les autorités de l’EEE chargées de la protection des données. Le CEPD est composé des chefs des APD et du Contrôleur européen de la protection des données (EDPS en anglais) ou de leurs représentants.
Au sein du CEPD, les APD collaborent pour:
- fournir des orientations générales (y compris des lignes directrices, des avis, des recommandations et des bonnes pratiques) sur le droit à la protection des données, en particulier le RGPD;
- conseiller la Commission européenne sur toute question liée à la protection des données à caractère personnel et aux nouvelles propositions de législation dans l’UE;
- adopter des décisions et des avis cohérents dans les affaires transfrontalières de protection des données.
Au lieu de répondre à des demandes individuelles spécifiques, le CEPD émet des orientations générales.
Le CEPD a adopté plusieurs documents d’orientation qui sont directement pertinents pour les entreprises, y compris les PME. Ces lignes directrices clarifient différentes notions du RGPD, telles que les principes de base du traitement, la protection des données dès la conception et par défaut, les transferts internationaux de données et les droits des personnes concernées. Vous trouverez ici un aperçu de ces documents.
Mécanisme de contrôle de la cohérence
Le mécanisme de contrôle de la cohérence peut avoir une incidence directe sur les PME. En premier lieu, le mécanisme de cohérence peut être déclenché lorsque l’APD chef de file et les APD concernées ne parviennent pas à un consensus sur une affaire transfrontalière spécifique. Dans de tels cas, l’affaire sera renvoyée au CEPD, qui adoptera une décision contraignante pour régler le litige.
En outre, le CEPD émet des avis de cohérence sur certains projets de décisions élaborés par les APD de l’EEE, qui ont des effets transfrontaliers (par exemple sur un nouvel ensemble de contrats types ou sur des codes de conduite).
Le CEPD peut également émettre des avis de cohérence sur toute question d’application générale du RGPD, ou sur toute question ayant un effet dans plus d’un pays de l’EEE. Ce travail vise à faire en sorte que le RGPD soit compris et appliqué de manière cohérente dans les différents pays de l’EEE.