Article 52 du RGPD : Indépendance

Texte original du RGPD

1. Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.

2. Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.

3. Le ou les membres de chaque autorité de contrôle s’abstiennent de tout acte incompatible avec leurs fonctions et, pendant la durée de leur mandat, n’exercent aucune activité professionnelle incompatible, rémunérée ou non.

4. Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité.

5. Chaque État membre veille à ce que chaque autorité de contrôle choisisse et dispose de ses propres agents, qui sont placés sous les ordres exclusifs du ou des membres de l’autorité de contrôle concernée.

6. Chaque État membre veille à ce que chaque autorité de contrôle soit soumise à un contrôle financier qui ne menace pas son indépendance et qu’elle dispose d’un budget annuel public propre, qui peut faire partie du budget global national ou d’une entité fédérée.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 28

(…).

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 8

 Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l’article 40 du code de procédure pénale, lorsqu’elle acquiert connaissance d’un crime ou d’un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l’Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l’Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l’Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

– Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

Analyse des 3 textes qui précèdent 

L’article 52 du RGPD détaille les garanties concrètes assurant l’indépendance institutionnelle, fonctionnelle et opérationnelle des autorités de contrôle. Sont prévues l’absence totale d’instructions extérieures, l’interdiction d’activités incompatibles pour les membres, la dotation en ressources humaines, techniques et budgétaires adaptées, et enfin un contrôle financier non intrusif. Ce dispositif reprend et précise la jurisprudence européenne afin de protéger l’impartialité des autorité de contrôle nationales, tout en garantissant leur effectivité et leur réactivité face aux enjeux du RGPD.​

La directive 95/46/CE posait déjà le principe que les autorités nationales doivent exercer leurs missions « en toute indépendance », mais sans décrire les modalités ou garanties concrètes associées. Cette ambiguïté a mené à une jurisprudence clarifiant que l’indépendance requiert une absence de tutelle politique, administrative ou financière, comme la CJUE l’a affirmé dans l’affaire Allemagne c. Commission (C‑518/07).​

La loi Informatique et Libertés (modifiée en 2018) attribue à la CNIL le statut d’autorité administrative indépendante, la dote de missions larges (contrôle des traitements, avis, recommandations, certification, sanctions, etc.) et la protège de toute forme d’instruction (article 21 LIL). La loi prévoit explicitement l’autonomie technique, budgétaire et fonctionnelle de la CNIL, pour garantir sa neutralité et renforcer sa crédibilité vis-à-vis des responsables de traitements et du public.​

Portée comparée

• Le RGPD dépasse le simple rappel du principe d’indépendance pour le traduire en garanties concrètes, directement inspirées des apports jurisprudentiels et adaptées aux exigences contemporaines de régulation en matière de données.
• La directive posait ce principe sans mécanisme précis, ce qui a obligé les États membres à interpréter et ajuster leur législation nationale selon les décisions européennes.
• La loi Informatique et Libertés en fait une obligation légale structurée, visible tant dans la composition, le fonctionnement et l’action de la CNIL, que dans ses rapports avec les pouvoirs publics et le secteur privé.

Ce renforcement du statut d’indépendance représente l’un des piliers de la confiance dans la régulation des traitements de données, et garantit un arbitrage impartial, expert et effectif des questions de protection des données personnelles au niveau national et européen.

Jurisprudences 

Françaises 

CE Fr., n°290593 (2 juillet 2007)

Le Conseil d’État confirme que seule la CNIL, réunie en formation plénière, peut émettre un avis sur les projets de texte créant ou modifiant un traitement public de données. Cela garantit son autonomie décisionnelle et empêche toute influence du gouvernement dans ses avis. Cette autonomie correspond à l’exigence d’indépendance posée à l’article 52 § 2 du RGPD : absence d’instruction ou d’ingérence extérieure dans l’exercice de ses missions.

CE Fr., n°319545 (5 décembre 2011)

La décision reconnaît que le refus par la CNIL d’exercer ses pouvoirs d’enquête est susceptible d’un recours juridictionnel, mais qu’elle conserve un pouvoir discrétionnaire dans l’appréciation des plaintes. Cet équilibre illustre le considérant 118 du RGPD, selon lequel les autorités indépendantes peuvent être soumises à un contrôle juridictionnel sans que celui-ci compromette leur autonomie.

CE Fr., n°398442 (19 juin 2017)

Le juge administratif rappelle qu’un plaignant ne peut contester la sévérité d’une sanction prononcée par la CNIL, mais qu’il peut obtenir des informations sur la suite donnée à sa plainte. Ici, la CNIL agit librement dans l’exercice de son pouvoir de sanction et d’information, démontrant une autonomie d’action conforme à l’article 52 § 1 du RGPD

CE Fr., n°452668 (8 avril 2022)

Le Conseil d’État reconnaît qu’une position publique de la CNIL (FAQ sur les traceurs) peut produire des effets juridiques notables et être déférée au juge, tout en validant la liberté de l’autorité de publier des interprétations réglementaires. Cette décision illustre la nature d’autorité de régulation indépendante, dotée d’un pouvoir doctrinal et consultatif, que garantit l’article 52 §§ 2‑5 du RGPD

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).