European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Notre rôle en tant que contrôleur

Notre rôle en tant que contrôleur

/file/supervisorminijpg_frsupervisor_mini.jpg

Our role as a Supervisor
Le Contrôleur européen de la protection des données (CEPD) est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne (les institutions de l’UE).

L’une de nos tâches principales consiste à superviser les institutions de l’UE afin de les aider à être exemplaires; les autorités publiques doivent adopter un comportement irréprochable lorsqu’elles traitent des informations personnelles.

Pour ce faire, nous surveillons les activités qui impliquent une utilisation (un traitement) de données ou d’informations à caractère personnel. Ces données à caractère personnel peuvent être les vôtres ou celles de toute personne travaillant pour ou avec l’UE, notamment les visiteurs, les contractants ou les bénéficiaires de subventions.

Les institutions de l’UE traitent des informations à caractère personnel à de nombreuses fins. Leurs activités principales portent sur les questions pertinentes pour la société européenne: de la sécurité alimentaire à la prévention des maladies en passant par la stabilité financière. Nous assurons également la supervision d’Europol, l’organe de l’UE qui coopère activement avec les autorités répressives pour lutter contre la criminalité internationale et le terrorisme.

En outre, en tant qu’organisation employant plus de 40 000 personnes, les institutions de l’UE doivent mettre en place les procédures nécessaires à leur gestion efficace et à leur bon fonctionnement. Ces procédures comprennent l’évaluation et la promotion du personnel, le contrôle de l’accès aux bâtiments, les horaires de travail des agents ou encore les politiques visant à prévenir le harcèlement sexuel et psychologique.  

Conformément au principe de responsabilité, le respect de la réglementation relative à la protection des données relève principalement de la responsabilité des institutions de l’UE.

Afin de les aider, nous fournissons des orientations sur la façon de se conformer à cette réglementation et veillons à ce qu’elle soit appliquée correctement. Notre approche consiste à faire confiance et à vérifier.

En pratique, il s’agit notamment de publier des lignes directrices, d’enquêter sur les réclamations, de répondre aux consultations des institutions de l’UE et de mener des audits sur la protection des données.

Les règles en matière de protection des données applicables aux institutions de l’UE sont fixées dans le règlement (UE) nº 2018/1725 (ci-après le «règlement»). Il est en grande partie identique au règlement général sur la protection des données (RGPD) qui s’applique aux sociétés privées et à la plupart des administrations publiques des États membres. Le rôle et les responsabilités du CEPD dans le cadre de sa mission de contrôle sont également présentés dans le règlement. Nous effectuons notre travail de contrôle de la même manière que les autorités nationales chargées de la protection des données dans les pays de l’UE.

Les règles en matière de protection des données ne sont pas nouvelles pour les institutions de l’UE. Avant le règlement actuel, il existait le règlement (CE) 45/2001, calqué sur le modèle de la directive 95/46/CE qui a précédé le RGPD. Depuis le début de son activité en 2004, le CEPD contrôle le respect par les institutions de l’UE des règles relatives à la protection des données.

 Comment nous acquittons-nous de notre mission de contrôle?

  • Les institutions de l’UE nous consultent pour obtenir des conseils par l’intermédiaire de leurs délégués à la protection des données (DPD). Dans certains cas, ces consultations sont obligatoires (par exemple, une consultation préalable lorsque les institutions de l’UE souhaitent faire la clarté sur les garanties préconisées dans le cadre d’une analyse d’impact relative à la protection des données ou lorsqu’elles élaborent des règles internes limitant les droits des personnes concernées), tandis que dans d’autres, elles sont facultatives;
  • Nous leur donnons des recommandations écrites ou orales sur demande ou de notre propre initiative:
  • Nous sensibilisons les institutions de l’UE à la protection des données et leur offrons une formation;
  • Nous réalisons des audits sur la protection des données pour vérifier le respect de la législation dans la pratique.
  • Nous traitons les réclamations de particuliers concernant le traitement de leurs données à caractère personnel par les institutions de l’UE;
  • Nous menons des enquêtes, que ce soit à la suite d’informations reçues de la part de tiers ou de notre propre initiative.
  • Nous recevons des notifications de violation des données et nous procédons au suivi de ces signalements.
  • Nous menons des enquêtes à intervalles réguliers afin de collecter des données statistiques qui servent à comparer les institutions de l’UE entre elles et à l’aune de critères de référence;
  • Lorsque nos états des lieux généraux ou ciblés mettent en évidence des lacunes, nous pouvons rendre visite aux institutions concernées pour encourager un meilleur respect de la législation.

Exécution

Lorsque les institutions de l’UE ne respectent pas les règles en matière de protection des données, le CEPD peut utiliser les pouvoirs d’exécution prévus par le règlement, notamment:

  • adresser un avertissement ou une admonestation à l’institution de l’UE qui traite vos informations à caractère personnel de manière illégale ou inéquitable;
  • enjoindre à l’institution européenne de donner suite à vos demandes tendant à faire valoir vos droits (par exemple, accès aux données vous concernant);
  • interdire temporairement ou définitivement un traitement de données spécifique;
  • infliger une amende administrative aux institutions de l’UE;
  • saisir la Cour de justice de l’Union européenne.

Réclamations

Si vous estimez que vos droits ont été violés par une institution de l’UE traitant vos informations à caractère personnel, vous pouvez présenter une réclamation au CEPD qui l’examinera.

Nous vous recommandons de contacter en premier lieu l’institution de l’UE concernée afin de résoudre le litige. Dans de nombreux cas, vous pourrez résoudre votre problème à ce niveau.

Veuillez noter que le CEPD n’est pas compétent pour traiter les réclamations qui concernent le traitement d’informations à caractère personnel par les autorités nationales ou des organisations privées.

Dans ce cas, vous devez contacter l’autorité chargée de la protection des données dans ce pays.

Notification de violation de données personnelles

À compter du 12 décembre 2018, en vertu du règlement (UE) 1725/2018, toutes les institutions et tous les organes européens sont tenus de signaler au CEPD certains types de violations de données à caractère personnel. Chaque institution de l'UE doit le faire dans les 72 heures qui suivent la découverte de la violation, lorsque cela est possible. Si la violation risque de porter gravement atteinte aux droits et libertés des personnes, l'institution de l'UE doit également informer les personnes concernées sans retard inutile.

Plus d'information