Quelle autorité de contrôle supervisera votre organisation sous le RGPD?

Avec les 28 États membres de l'Union européenne (27 après le Brexit), il semble facile de déterminer quelle autorité de contrôle sera compétente pour superviser les activités de votre organisation lorsqu'elle agit en tant que responsable. Ce serait l'autorité dans votre pays d'établissement, n'est-ce pas ? Bon, c'est un peu plus complexe que ça. Dans cet article, nous allons expliquer comment le scénario de contrôle sera configuré le 25 mai prochain, date d'entrée en vigueur du règlement général sur la protection des données.

À première vue, il y a deux organismes européens qui peuvent sembler compétents. Le premier est le Contrôleur européen de la protection des données. Cependant, il est et restera le superviseur des activités de traitement des données institutionnelles européennes. Donc, à moins que votre organisation soit liée à ces institutions et agences, il est improbable que le Contrôleur aura compétence sur votre cas, bien qu’elle ait quelques fonctions de collaboration et de coopération.

La deuxième institution est le Comité européen de la protection des données (Article 68), successeur du groupe de travail de l'Article 29. Ce dernier devait promouvoir l'application uniforme de la « vieille » directive 95/46 sur la vie privée. Le 25 mai, le Comité remplacera le groupe de travail, dans le but d'appliquer le RGPD de manière cohérente à travers l'UE. Le Comité devrait être assisté par un secrétariat assuré par le Contrôleur européen de la protection des données. En outre, le secrétariat fournira un soutien analytique au Comité.

Les États membres conserveront leurs autorités de contrôle existantes. Selon le RGPD, celles-ci peuvent agir en tant qu'autorité de contrôle chef de file ou ACF. Selon le paragraphe 1 de l’article 56, l'autorité de contrôle de l'établissement principal ou unique du responsable du traitement est compétente pour agir en tant qu'ACF concernant le traitement transfrontalier effectué par ce responsable. L’ACF est le seul interlocuteur du responsable du traitement en ce qui concerne son activité de traitement de données transfrontalier (article 56, paragraphe 6). L'exception à cette règle concerne les organisations dont la base de traitement est incluse à l'article 6, points c) et e), du RGPD, c'est-à-dire lorsque le traitement est nécessaire à l'accomplissement d'une obligation légale ou à l'exécution d'une mission d'intérêt public. Dans ce cas, l’ACF est celui de l'État membre qui détermine cette obligation ou mission (paragraphe 2 de l'article 55). Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle (article 55, paragraphe 3).

Si une réclamation concerne uniquement une activité de traitement dans un État membre différent de celui dans lequel se trouve l'établissement principal du responsable du traitement, l'autorité de contrôle du premier État membre est compétente (article 56, paragraphe 2). Ensuite, l'autorité de contrôle en informera l’ACF et celle-ci décidera si elle traitera ou non le cas (article 3 de l'article 56). En cas de conflit entre les autorités de contrôle, y compris l’ACF, le Comité adoptera la décision finale (article 65).

Le groupe de travail de l'Article 29 a publié un guide qui vous aidera à déterminer quelle autorité de contrôle sera compétente pour superviser vos activités de traitement. En outre, il est important de noter que le forum shopping (ou élection de juridiction) est interdit et que l'autorité de contrôle a la possibilité d'établir sa compétence sur la base de critères objectifs.


Laurens Mommers
COO PrivacyPerfect