European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

A

A

ACAC

L'Accord commercial anti-contrefaçon (ACAC) est un accord commercial multilatéral proposé pour l'établissement de normes internationales sur l'application de la propriété intellectuelle par l'ensemble des pays participants. Ses partisans le décrivent comme une «réponse à l'acroissement du commerce mondial de produits contrefaits et d'œuvres protégées piratées." Le champ d'application de l'ACAC est large, comprenant les marchandises de contrefaçon, les médicaments génériques et "la piraterie sur Internet".

En février 2010, le CEPD a publié un avis sur les négociations visant à l'adoption du nouvel accord dans lequel il met en garde contre son éventuelle incompatibilité avec le régime européen de protection des données à caractère personnel.

Adéquation (décision d')

Une «décision d’adéquation» est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD, qui établit qu’un pays tiers (c’est-à-dire un pays non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données à caractère personnel. Une telle décision tient compte de la législation interne du pays, de ses autorités de contrôle et des engagements internationaux qu’il a souscrits.

Elle a pour effet de permettre le transfert, sans exigences supplémentaires, de données à caractère personnel depuis les États membres de l’UE et les pays membres de l’Espace économique européen vers le pays tiers concerné. La Commission européenne publie une liste de ses décisions d’adéquation sur son site internet.

À ce jour, la Commission a adopté sept décisions de ce type, constatant que la Suisse, le Canada, l'Argentine, Guernesey, l’Île de Man et les principes de la "sphère de sécurité" publiés par le ministère du commerce des États‑Unis d'Amérique, assurent un niveau de protection adéquat des données à caractère personnel, et que le niveau de protection des données à caractère personnel contenues dans les dossiers des passagers aériens (données PNR) transférés au Bureau des douanes et de la protection des frontières des États-Unis d’Amérique est adéquat.

Les décisions relatives à la pertinence de la protection sont adoptées selon la "procédure de comité", qui comprend les étapes suivantes:

  • la Commission présente une proposition;
  • le groupe de travail "Article 29" rend un avis;
  • le comité de l'article 31 rend un avis adopté à la majorité qualifiée des États membres;
  • le Parlement européen et le Conseil peuvent, à tout moment, demander à la Commission de maintenir, modifier ou retirer la décision d'adéquation au motif qu'elle excède les compétences d'exécution prévues par la Directive; et
  • le collège des membres de la Commission adopte la décision.

Décision d'adéquation de la Commission

Analyse d’impact relative à la protection des données (AIPD)

Le responsable du traitement des données effectue une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel lorsqu’un type de traitement est susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes physiques. Cette évaluation doit être effectuée avant le traitement et, en particulier si l’on utilise les nouvelles technologies, elle doit tenir compte de la nature, de la portée, du contexte et des finalités de ce traitement. Une seule évaluation peut porter sur un ensemble d’opérations de traitement semblables présentant des risques élevés similaires, comme indiqué à l’article 39 du règlement 2018/1725.

Pour plus d’informations, cliquez ici et consultez les lignes directrices du CEPD relatives à l’AIPD.

Article 93 Procédure de comité

L’article 93 du RGPD demande à ce que la Commission soit assistée par un comité dans l’adoption de mesures d’exécution.
Il s’agit d’un comité au sens du règlement (UE) nº 182/2011. Il est composé de représentants des États membres et présidé par la Commission. À titre d’exemple, le comité participe à la procédure d’adoption des décisions d’adéquation.

Autorité chargée de la protection des données

Une autorité chargée de la protection des données (APD) est un organisme indépendant qui est chargé de:

  • surveiller les traitements de données à caractère personnel dans sa juridiction (pays, région ou organisation internationale);
  • fournir un avis aux organismes compétents en ce qui concerne les mesures législatives et administratives relatives au traitement des données à caractère personnel;
  • instruire les plaintes formées par les citoyens en ce qui concerne la protection de leurs droits liés à la protection des données.

Conformément à l’article 51 du RGPD, chaque État membre institue sur son territoire au moins une autorité chargée de la protection des données, qui dispose de pouvoirs d’investigation (y compris l’accès aux données, la collecte des informations, etc.), de pouvoirs en matière d’adoption de mesures correctrices (tels que ceux d’ordonner l’effacement de données, d’imposer une amende ou d’interdire un traitement, etc.), ainsi que du pouvoir d’autoriser et d’émettre des avis consultatifs (tels que l’émission d’avis, le pouvoir d’accréditer des organismes de certification, etc.). Le Contrôleur européen de la protection des données (CEPD) est établi en tant qu’autorité indépendante chargée de la protection des données au niveau de l’UE par l’article 52 du règlement (UE) 2018/1725.

Des autorités nationales chargées de la protection des données ont été établies dans tous les pays européens, ainsi que dans de nombreux autres pays du monde.

Liste des autorités chargées de la protection des données

Autorités de contrôle communes

Les autorités de contrôle communes/organes de contrôle communs (ACC/OCC) étaient un modèle pour l’organisation du contrôle de la protection des données dans plusieurs bases de données informatiques à grande échelle exploitées au niveau européen, ainsi que pour certaines agences chargées de l’application des lois. Elles étaient essentiellement composées de représentants des autorités nationales chargées de la protection des données.

Des ACC/OCC existaient, par exemple, pour Europol et le système d’information Schengen en vertu de la convention de Schengen. Toutefois, la plupart de ces ACC/OCC ont été supprimés. Seuls subsistent l’ACC des douanes, chargée de certaines parties du système d’information des douanes (SID), et l’organe de contrôle commun d’Eurojust jusqu’à ce que le nouveau règlement (UE) 2018/1727 relatif à Eurojust entre en application.

Désormais, c’est habituellement le CEPD qui supervise l’unité centrale de ces systèmes informatiques à grande échelle, l’utilisation qui en est faite par les autorités des États membres étant quant à elle supervisée par les autorités nationales chargées de la protection des données. Les deux niveaux coopèrent généralement au sein des groupes de coordination du contrôle (GCC). Les secrétariats de ces groupes sont généralement assurés par le CEPD.

Autorité de contrôle commune des douanes

L’autorité de contrôle commune, instituée par la décision du Conseil sur l’emploi de l’informatique dans le domaine des douanes , est chargée de superviser une partie du système d’information des douanes créé en vertu de ladite décision. L’autorité inspecte la base de données centrale du SID, fournit des conseils et peut examiner des questions relatives aux demandes d’accès des personnes concernées.

En savoir plus sur le système d’information des douanes

Avis

L'avis est un outil important du CEPD, utilisé dans son rôle tant de supervision que de conseil sur les propositions de législation de l'UE.

Lors d'un contrôle préalable, le CEPD fait savoir s'il estime que le traitement en cause respecte ou non le Règlement (UE) 2018/1725 et il adresse des recommandations à l'institution ou à l'organe concerné. Ces avis sont publiés sur le site web du CEPD (section supervision).

Les avis sur les propositions de législation de l'UE fournissent une analyse complète de la proposition sous l'angle de la protection des données. Ces avis peuvent faire l'objet de discussions au Parlement européen et au Conseil et sont publiés dans la série C du Journal officiel de l'Union européenne, ainsi que sur le site web du CEPD (section consultation). Le CEPD adopte des avis sur les propositions de législation de l'UE ainsi que sur les instruments connexes (communications, accords internationaux, outils de comitologie).