European Data Protection Supervisor
Le Contrôleur Européen de la Protection des Données

Notre rôle en tant que contrôleur

Notre rôle en tant que contrôleur

/file/supervisorminijpg_frsupervisor_mini.jpg

Our role as a Supervisor

Le Contrôleur européen de la protection des données (CEPD) est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne (les institutions de l’UE).

L’une de nos tâches principales consiste à superviser les institutions de l’UE afin de les aider à être exemplaires; les autorités publiques doivent adopter un comportement irréprochable lorsqu’elles traitent des informations personnelles.

Pour ce faire, nous surveillons les activités qui impliquent une utilisation (un traitement) de données ou d’informations à caractère personnel. Ces données à caractère personnel peuvent être les vôtres ou celles de toute personne travaillant pour ou avec l’UE, notamment les visiteurs, les contractants ou les bénéficiaires de subventions.

Les institutions de l’UE traitent des informations à caractère personnel à de nombreuses fins. Leurs activités principales portent sur les questions pertinentes pour la société européenne: de la sécurité alimentaire à la prévention des maladies en passant par la stabilité financière. Nous supervisons également les institutions de l’UE actives dans les domaines de la police et de la justice, à savoir Europol, l’organe de l’UE qui coopère activement avec les autorités répressives afin de lutter contre la criminalité et le terrorisme à l’échelle internationale, Eurojust, l’organe de l’UE qui appuie et renforce la coordination et la coopération entre les autorités judiciaires compétentes des États membres sur des questions ayant trait aux formes graves de criminalité organisée, et le Parquet européen, l’organe de l’UE compétent pour rechercher, poursuivre et renvoyer en jugement les auteurs d’infractions pénales portant atteinte aux intérêts financiers de l’UE.

En outre, employant plus de 40 000 personnes, les institutions de l’UE doivent mettre en place les procédures nécessaires à leur gestion efficace et à leur bon fonctionnement. Ces procédures comprennent l’évaluation et la promotion du personnel, le contrôle de l’accès aux bâtiments, les horaires de travail des agents ou encore les politiques visant à prévenir le harcèlement sexuel et psychologique.

Conformément au principe de responsabilité, le respect de la réglementation relative à la protection des données relève principalement de la responsabilité des institutions de l’UE.

Afin de les aider, nous fournissons des orientations sur la façon de se conformer à cette réglementation et veillons à ce qu’elle soit appliquée correctement. Notre approche consiste à faire confiance et à vérifier.

En pratique, il s’agit notamment de publier des lignes directrices, d’enquêter sur les réclamations, de répondre aux consultations des institutions de l’UE et de mener des audits sur la protection des données.

Les règles en matière de protection des données applicables aux institutions de l’UE sont fixées dans le règlement (UE) 2018/1725 (le «règlement»). Il est en grande partie identique au RGPD qui s’applique aux sociétés privées et à la plupart des administrations publiques des États membres. Des règles spécifiques sont prévues dans les règlements fondateurs des organes de l’UE actifs dans les domaines de la police et de la justice (Europol, Eurojust, le Parquet européen).

Le rôle et les responsabilités du CEPD dans le cadre de sa mission de contrôle sont également présentés dans les règlements correspondants. Nous effectuons notre travail de contrôle de la même manière que les autorités nationales chargées de la protection des données dans les pays de l’UE.

Les règles en matière de protection des données ne sont pas nouvelles pour les institutions de l’UE. Avant le règlement actuel, il y avait le règlement (CE) nº 45/2001, qui était calqué sur le modèle de la directive 95/46/CE et qui a précédé le RGPD. Depuis le début de son activité en 2004, le CEPD contrôle que les institutions de l’UE se conforment aux règles relatives à la protection des données.

 Comment nous acquittons-nous de notre mission de contrôle?

  • Les institutions de l’UE nous consultent pour obtenir des conseils par l’intermédiaire de leurs délégués à la protection des données (DPD). Dans certains cas, ces consultations sont obligatoires (par exemple, une consultation préalable lorsque les institutions de l’UE ne sont pas sûres des garanties mises en évidence dans le cadre d’une analyse d’impact relative à la protection des données ou lorsqu’elles élaborent des règles internes limitant les droits des personnes concernées), tandis que dans d’autres, elles sont facultatives.
  • Nous les conseillons oralement ou par écrit, sur demande ou de notre propre initiative:
  • onous prodiguons nos conseils par écrit sous la forme d’Avis de contrôle préalable et consultations préalables, de Consultations administratives, Autres avis, de lettres ou de documents;
  • onous donnons des conseils généraux sur des thèmes qui présentent un intérêt pour toutes les institutions de l’UE dans des lignes directrices;
  • onous fournissons des conseils oralement par l’intermédiaire de notre ligne téléphonique destinée aux DPD (réservée aux institutions de l’UE);
  • onous proposons également des ressources et des documents utiles pour aider les DPD en général, par exemple la jurisprudence et des orientations, dans une section particulière de ce site web nommée le DPO Corner (le coin du DPD).
  • Nous sensibilisons les institutions de l’UE à la protection des données et leur offrons des formations.
  • Nous réalisons des audits sur la protection des données pour vérifier le respect de la législation dans la pratique.
  • Nous traitons les réclamations de particuliers concernant le traitement de leurs données à caractère personnel par les institutions de l’UE.
  • Nous menons des enquêtes, à la suite d’informations reçues de la part de tiers ou de notre propre initiative.
  • Nous recevons des notifications de violation de données et nous en assurons le suivi.
  • Nous menons des enquêtes à intervalles réguliers afin de recueillir des statistiques qui servent à comparer les institutions de l’UE entre elles et à l’aune de critères de référence.
  • Lorsque nos états des lieux généraux ou ciblés mettent en évidence des lacunes, nous pouvons rendre visite aux institutions concernées pour encourager un meilleur respect de la législation.

 

Exécution

Lorsque les institutions de l’UE ne respectent pas les règles en matière de protection des données, le CEPD peut utiliser les pouvoirs d’exécution prévus par le règlement, notamment:

  • adresser un avertissement ou une admonestation à l’institution de l’UE qui traite vos informations à caractère personnel de manière illégale ou inéquitable;
  • enjoindre à l’institution européenne de donner suite à vos demandes tendant à faire valoir vos droits (par exemple, accès aux données vous concernant);
  • interdire temporairement ou définitivement un traitement de données spécifique;
  • infliger une amende administrative aux institutions de l’UE;
  • saisir la Cour de justice de l’Union européenne.

 

Réclamations

Si vous estimez que vos droits ont été violés par une institution de l’UE traitant vos informations à caractère personnel, vous pouvez présenter une réclamation au CEPD qui l’examinera.

Nous vous recommandons de contacter en premier lieu l’institution de l’UE concernée afin de résoudre le litige. Dans de nombreux cas, vous pourrez résoudre votre problème à ce niveau.

Veuillez noter que le CEPD n’est pas compétent pour traiter les réclamations qui concernent le traitement d’informations à caractère personnel par les autorités nationales ou des organisations privées.

Dans ce cas, vous devez contacter l’autorité chargée de la protection des données dans ce pays.

Notification de violation de données personnelles

À compter du 12 décembre 2018, en vertu du règlement (UE) 1725/2018, toutes les institutions et tous les organes européens sont tenus de signaler au CEPD certains types de violations de données à caractère personnel. Chaque institution de l'UE doit le faire dans les 72 heures qui suivent la découverte de la violation, lorsque cela est possible. Si la violation risque de porter gravement atteinte aux droits et libertés des personnes, l'institution de l'UE doit également informer les personnes concernées sans retard inutile.

Plus d'information