European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Notre rôle en tant que contrôleur

Notre rôle en tant que contrôleur

/file/supervisorminijpg_frsupervisor_mini.jpg

Our role as a Supervisor
Le Contrôleur européen de la protection des données (CEPD) est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne (les institutions de l’UE).

L’une de nos tâches principales est de surveiller les institutions de l’UE afin de les aider à être exemplaires ; les autorités publiques doivent adopter un comportement irréprochable lorsqu’elles traitent des informations personnelles.

Pour ce faire, nous surveillons les activités qui impliquent une utilisation (un traitement) de données ou d’informations à caractère personnel. Ces données à caractère personnel peuvent être les vôtres ou celles de toute personne travaillant pour ou avec l’UE, notamment les visiteurs, les contractants ou les bénéficiaires de subventions.

Comme toute organisation employant plus de 40 000 personnes, les institutions de l’UE doivent mettre en place les procédures nécessaires à leur gestion efficace et à leur bon fonctionnement. Ces procédures peuvent porter sur l’évaluation et la promotion du personnel, le contrôle de l’accès aux bâtiments, les horaires de travail des membres du personnel ou encore les politiques visant à prévenir le harcèlement sexuel et psychologique.  

Outre les aspects liés à l’emploi, les institutions de l’UE traitent également des informations personnelles à d’autres fins. Leurs activités principales portent sur les questions pertinentes pour la société européenne, de la sécurité alimentaire à la prévention des maladies en passant par la stabilité financière.

Nous assurerons également la supervision d’Europol, l’organe de l’UE qui coopère activement avec les autorités répressives pour lutter contre la criminalité internationale et le terrorisme.

Conformément au principe de responsabilité, le respect de la réglementation relative à la protection des données relève principalement de la responsabilité des institutions de l’UE.

Afin de les aider, nous fournissons des orientations sur la façon de se conformer à cette réglementation et veillons à ce qu’elle soit appliquée correctement. Notre approche est de faire confiance et de vérifier.

Dans la pratique, cela comprend la publication de lignes directrices, la réalisation d’enquêtes à la suite de réclamations et la vérification des traitements à risque.

Les règles actuelles en matière de protection des données applicables aux institutions de l’UE sont fixées dans le règlement (CE) nº 45/2001 (ci-après le «règlement»). Le rôle et les responsabilités du CEPD dans le cadre de sa mission de contrôle sont également présentés dans le règlement.

Le règlement est très similaire aux règles adoptées par les États membres en matière de protection des données; nous effectuons notre mission de contrôle de la même façon que les autorités nationales de protection des données ou les autorités de contrôle des États membres de l’UE.

Ce règlement est sur le point d’être modifié. En janvier 2017, la Commission européenne a publié une proposition de nouveau règlement afin de mettre les règles applicables aux institutions de l’UE en conformité avec celles applicables aux États membres en vertu du règlement général sur la protection des données (RGPD).

Nous nous préparons pour que les institutions de l’UE, y compris le CEPD, soient prêtes lorsque les nouvelles règles entreront en vigueur le 25 mai 2018.

En prévision des changements probables et de l’approche du RGPD, nous avons déjà commencé à tenir compte de ces aspects dans notre mission de contrôle, en portant par exemple une attention accrue au principe de responsabilité.

 

En quoi notre mission de contrôle consiste-t-elle?

  • Les institutions de l’UE nous consultent par l’intermédiaire des délégués à la protection des données (DPD) pour obtenir un avis lorsqu’elles élaborent des mesures ou des règles internes impliquant le traitement de données à caractère personnel.

  • Nous leur offrons un avis écrit ou oral sur demande ou de notre propre initiative.
    • Nous rendons des avis écrits sous la forme d’avis, de commentaires, de décisions, de lettres, de documents ou d’orientations.
    • Nous offrons des avis oraux par l’intermédiaire de notre ligne téléphonique destinée aux DPD (réservée aux institutions de l’UE).
    • Nous offrons également des ressources et des documents utiles pour aider les DPD en général, par exemple la jurisprudence, dans une section spécifique de ce site appelée 'DPO Corner'.
  • Nous sensibilisons les institutions de l’UE à la protection des données et leur offrons une formation.
  • Nous réalisons des inspections sur place pour vérifier le respect de la législation dans la pratique.
  • Nous traitons les réclamations de particuliers concernant le traitement de leurs données à caractère personnel par les institutions de l’UE.
  • Avant de débuter un traitement à risque, les institutions de l’UE doivent nous en informer afin que nous puissions effectuer un contrôle préalable et donner des conseils pour améliorer le traitement ou l’arrêter, si nécessaire.
  • Nous menons des enquêtes à intervalles réguliers afin de collecter des données statistiques qui servent à comparer les institutions entre elles et à l’aune de critères de référence.
  • Lorsque nos états des lieux généraux ou ciblés mettent en évidence des lacunes, nous pouvons rendre visite aux institutions concernées pour encourager un meilleur respect de la législation.
  • Nous menons des enquêtes, que ce soit à la suite d’informations reçues de la part de tiers ou de notre propre initiative.

 

Exécution

Lorsque les institutions de l’UE ne respectent pas les règles en matière de protection des données, le CEPD peut utiliser les pouvoirs d’exécution qui sont les siens en vertu du règlement. Il peut notamment :

  • adresser un avertissement ou une admonestation à l’institution européenne qui traite vos informations à caractère personnel de manière illégale ou déloyale ;
  • ordonner à l’institution de satisfaire les demandes d’exercice de vos droits (par exemple accès aux données vous concernant) ;
  • interdire temporairement ou définitivement un traitement de données spécifique ;
  • porter une affaire devant la Cour de justice de l’Union européenne.

 

Réclamations

Si vous estimez que vos droits ont été violés par une institution de l’UE traitant vos informations à caractère personnel, vous pouvez présenter une réclamation au CEPD qui l’examinera.

Nous vous recommandons de contacter en premier lieu l’institution de l’UE concernée afin de trouver une solution.

Veuillez noter que le CEPD n’est pas compétent pour traiter les réclamations qui concernent le traitement d’informations à caractère personnel par les autorités nationales ou des organisations privées.

Dans ce cas, vous devez contacter l’autorité chargée de la protection des données dans le pays concerné.