Réclamation
Conformément à l'article 63(1) du Règlement (UE) 2018/1725, "toute personne concernée a le droit d’introduire une réclamation auprès du Contrôleur européen de la protection des données si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement."
L'article 68 du même règlement prévoit aussi que "Toute personne employée par une institution ou un organe de l’Union peut présenter une réclamation au Contrôleur européen de la protection des données pour une violation alléguée des dispositions du présent règlement, y compris sans passer par les voies officielles."
Toute personne qui estime qu'une institution ou un organe communautaire enfreint ses droits dans le cadre d'un traitement de données à caractère personnel peut présenter une réclamation au CEPD. Une personne employée par une institution ou un organe communautaire peut également saisir le CEPD même si elle n'est pas directement concernée par la violation alléguée.
Il est recommandé aux personnes qui souhaitent présenter une réclamation de ne s'adresser au CEPD qu'après avoir contacté le responsable du traitement et/ou le délégué à la protection des données de l'institution ou de l'organe concerné. Les réclamations peuvent néanmoins être présentées directement au CEPD si cela est jugé nécessaire.
Les réclamations adressées au CEPD doivent être présentées par écrit, sur papier ou par voie électronique, en utilisant en principe le formulaire de dépôt de réclamation disponible sur le site Internet du CEPD. Ce formulaire peut être complété et envoyé par voie électronique. Il peut également être envoyé par fax ou par courrier, accompagné de toutes les informations pertinentes ainsi que de tous les justificatifs.
Si la réclamation est jugée recevable et s'il l'estime approprié, le CEPD mène une enquête. Si aucune solution satisfaisante n'intervient au cours de l'enquête, le CEPD s'efforce de trouver un règlement à l'amiable qui satisfasse la personne ayant présenté la réclamation. Dans le cas où la tentative de conciliation échoue, le CEPD peut alors ordonner la rectification, la limitation du traitement, l'effacement ou la destruction des données, voire interdire un traitement donné.
Le CEPD n'est pas compétent pour traiter des questions concernant les autorités nationales ou les organismes privés situés dans les pays de l'UE; il n'est pas non plus habilité à ordonner une indemnisation de la personne concernée par la violation des règles relatives à la protection des données.
Afin d'assurer un traitement cohérent des réclamations invoquant la protection des données et d'éviter les doubles emplois, le Médiateur européen et le CEPD ont signé un mémorandum d'accord (pdf). Celui-ci prévoit notamment qu'un dossier qui a déjà fait l'objet d'un traitement ne devrait pas être rouvert par l'autre institution, à moins que de nouvelles preuves significatives soient soumises.
Registre
Règlement (CE) n° 45/2001
Le règlement (CE) n° 45/2001 (pdf) a régi la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires.
Il a mis en œuvre l'article 286 du traité instituant la Communauté européenne, qui dispose que les règles en matière de protection des données sont applicables aux institutions et organes communautaires et prévoit l'institution d'un organe indépendant de contrôle.
Les règles sur la protection des données qu'il a contenus s'inspirent des règles communautaires analogues qui se sont appliqués aux États membres, en particulier la directive 95/46/CE relative à la protection des données et la directive 2002/58/CE "vie privée et communications électroniques". Le règlement a regroupé dans un instrument juridique unique les droits dont bénéficient les personnes concernées et les obligations qui incombent aux personnes chargées du traitement.
Le règlement a institué également le Contrôleur européen de la protection des données en tant qu'autorité de contrôle indépendante chargée de surveiller les traitements des données à caractère personnel effectués par les institutions et organes communautaires.
Le règlement (CE) n° 45/2001 a été abrogée par le règlement (EU) 2018/1725, qui est entré en vigeur le 11. Décembre 2018.
Règlement (UE) 2018/1725
Le règlement (UE) 2018/1725 prévoit des obligations de protection des données pour les institutions et organes de l’UE lorsqu’ils traitent des données à caractère personnel et élaborent de nouvelles politiques.
Ce règlement abroge le règlement (CE) 45/2001 et, conformément au RGPD, il adopte une approche fondée sur des principes.
Le nouvel instrument juridique garantit que les institutions et organes de l’UE fournissent des informations transparentes et facilement accessibles sur la manière dont les données à caractère personnel sont utilisées et qu’ils prévoient des mécanismes clairs permettant aux personnes d’exercer leurs droits; il confirme également une nouvelle fois, précise et renforce le rôle des délégués à la protection des données au sein de chaque institution de l’UE ainsi que le rôle du CEPD.
Règles d'entreprise contraignantes
Les règles d'entreprise contraignantes sont un instrument juridique auquel une société multinationale peut recourir afin de garantir un niveau adéquat de protection des données à caractère personnel lors de leur transfert, au sein du groupe, au départ d'un pays situé dans l'UE ou dans l'Espace économique européen (EEE) vers un pays tiers.
Le recours à ces règles nécessite, en principe, l'approbation de l'autorité chargée de la protection des données du pays de l'UE ou de l'EEE au départ duquel les données doivent être transférées.
Le groupe de travail "Article 29" a adopté un certain nombre de documents destinés à aider les entreprises qui souhaitent utiliser cet instrument:
- WP 107: "Document de travail relatif à une procédure de coopération en vue de l’émission d’avis communs sur le caractère adéquat de la protection offerte par les "règles d’entreprise contraignantes"" (pdf);
- WP 108: "Document de travail établissant une liste de contrôle type pour les demandes d’approbation des règles d’entreprise contraignantes" (pdf);
- WP 133: "Recommandation 1/2007 relative au formulaire de demande d’approbation des règles d’entreprise contraignantes applicables au transfert des données à caractère personnel";
- WP 153: "Document de travail établissant un tableau présentant les éléments et principes des règles d’entreprise contraignantes" (pdf);
- WP 154: "Document de travail établissant un cadre pour la structure des règles d’entreprise contraignantes" (pdf);
- WP 155: "Document de travail sur les questions fréquemment posées (FAQ) concernant les règles d’entreprise contraignantes" (pdf).
Respect de la vie privée
Le droit au respect de la vie privée est la possibilité pour un individu d'être laissé tranquille, hors de la vue du public, et en ayant le contrôle des informations qui le concernent.
On peut distinguer le droit d'une personne d'être protégée contre les intrusions dans son espace physique ("vie privée spatiale", par exemple la protection du domicile privé) et son droit de contrôler la collecte et l'échange d'informations qui la concernent ("maîtrise par l'individu des informations le concernant").
Les notions de respect de la vie privée et de protection des données ont donc des éléments communs, mais ne peuvent pas pour autant être confondues.
Le droit au respect de la vie privée est consacré par la Déclaration universelle des droits de l'homme (article 12), ainsi que par la Convention européenne des droits de l'homme (article 8).
Responsabilisation
La responsabilisation (accountability) est le principe visant à assurer que les responsables de traitement soient plus généralement en position d'assurer et de démontrer la conformité avec les principes de protection des données dans la pratique. La responsabilisation requiert que les responsables de traitement mettent en place des mécanismes internes ainsi que des systèmes de contrôle qui garantissent la conformité et fournissent des justifications - tels que les rapports d'audit - pour démontrer la conformité aux intervenants externes, y compris les autorités de contrôle.
Responsable du traitement
Conformément au règlement (UE) 2018/1725, ainsi qu’au RGPD, le «responsable du traitement» désigne la partie qui détermine les finalités et les moyens du traitement de données à caractère personnel. Le traitement proprement dit peut être confié à une autre partie, appelée «sous-traitant de données». Le responsable du traitement est chargé de veiller à la licéité du traitement, à la protection des données et au respect des droits de la personne concernée. Il est aussi l'entité chargée de recevoir toute demande formulée par une personne concernée qui souhaite exercer ses droits.
RFID - Identification par radiofréquence
Le sigle RFID (pour Radio Frequency IDentification - identification par radiofréquence) désigne une méthode d'identification automatique permettant à des machines de mémoriser et récupérer des données à distance, en utilisant des marqueurs appelés "étiquettes" ou "transpondeurs".
L'étiquette peut être collée ou incorporée à un produit, un animal ou une personne à des fins d'identification ou de détection à distance, grâce à l'utilisation d'ondes radio.
Le CEPD a émis un avis (pdf) sur la question en décembre 2007. L'avis souligne que les systèmes RFID pourraient jouer un rôle essentiel dans le développement de la société de l'information européenne mais que des garanties cohérentes en matière de protection des données devraient être apportées afin de faciliter une large acceptation des technologies RFID.
Afin de démontrer qu’ils respectent le Règlement (UE) N° 2018/1725, les responsables du traitement devraient tenir des registres pour les activités de traitement relevant de leur responsabilité et les sous-traitants devraient tenir des registres pour les catégories d’activités de traitement relevant de leur responsabilité.
Pour autant que ce soit approprié compte tenu de la taille de l’institution ou de l’organe de l’Union, les institutions et organes de l’Union consignent leurs activités de traitement dans un registre central. Ils mettent ce registre à la disposition du public (Article 31 Règlement (UE) N° 2018/1725).