Article 53 du RGPD : Conditions générales applicables aux membres de l’autorité de contrôle

Texte original du RGPD

1. Les États membres prévoient que chacun des membres de leurs autorités de contrôle est nommé selon une procédure transparente par:

– leur parlement;

– leur gouvernement;

– leur chef d’État; ou

– un organisme indépendant chargé de procéder à la nomination en vertu du le droit de l’État membre

2. Chaque membre a les qualifications, l’expérience et les compétences nécessaires, notamment dans le domaine de la protection des données à caractère personnel, pour l’exercice de ses fonctions et de ses pouvoirs.

3. Les fonctions d’un membre prennent fin à l’échéance de son mandat, en cas de démission ou de mise à la retraite d’office, conformément au droit de l’État membre concerné.

4. Un membre ne peut être démis de ses fonctions que s’il a commis une faute grave ou s’il ne remplit plus les conditions nécessaires à l’exercice de ses fonctions.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 28

(…)

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après la cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 9

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est composée de dix-huit membres :

1° Deux députés et deux sénateurs, désignés respectivement par l’Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste ;

2° Deux membres du Conseil économique, social et environnemental, élus par cette assemblée ;

3° Deux membres ou anciens membres du Conseil d’Etat, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale du Conseil d’Etat ;

4° Deux membres ou anciens membres de la Cour de cassation, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale de la Cour de cassation ;

5° Deux membres ou anciens membres de la Cour des comptes, d’un grade au moins égal à celui de conseiller maître, élus par l’assemblée générale de la Cour des comptes ;

6° Trois personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, nommées par décret ;

7° Deux personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, désignées respectivement par le président de l’Assemblée nationale et par le président du Sénat ;

8° Le président de la Commission d’accès aux documents administratifs, ou son représentant.

Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son représentant.

Les deux membres désignés ou élus par une même autorité en application des 1° à 5° sont une femme et un homme. Les trois membres mentionnés au 6° comprennent au moins une femme et un homme.

Les deux membres mentionnés au 7° sont une femme et un homme. Pour l’application de cette règle, le membre succédant à une femme est un homme et celui succédant à un homme, une femme. Toutefois, le nouveau membre désigné est de même sexe que celui qu’il remplace, soit en cas de cessation du mandat avant son terme normal, soit en cas de renouvellement du mandat de l’autre membre mentionné au 7°.

Selon des modalités fixées par décret en Conseil d’Etat, le collège est, à l’exception de son président, renouvelé par moitié tous les deux ans et six mois.

Le président est nommé par décret du Président de la République parmi les membres pour la durée de son mandat. La commission élit en son sein deux vice-présidents, dont un vice-président délégué. Le président et les vice-présidents composent le bureau.

Le président exerce ses fonctions à temps plein. Sa fonction est incompatible avec toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

La durée du mandat de président est de cinq ans.

Le président de la commission reçoit un traitement égal à celui afférent à la seconde des deux catégories supérieures des emplois de l’Etat classés hors échelle.

En cas de besoin, le vice-président délégué exerce les attributions du président.

Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l’autorité du président.

La formation restreinte de la commission est composée d’un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau ne sont pas éligibles à la formation restreinte.

En cas de partage égal des voix, celle du président est prépondérante.

II. – Le mandat des membres de la commission est de cinq ans ; il est renouvelable une fois, sous réserve des dixième et onzième alinéas du I.

 Article 10

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les agents de la commission sont nommés par le président.
Ceux des agents qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées aux articles 19 et 25 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi.

Analyse des 3 textes qui précèdent 

L’article 53 du RGPD fixe les conditions générales du statut des membres des autorités de contrôle, en particulier leur nomination par une procédure transparente (parlement, gouvernement, chef d’État, ou organisme indépendant), leurs qualifications et compétences requises dans la protection des données, ainsi que leur mandat aux impératifs d’indépendance et de stabilité. Les membres ne peuvent être démis que pour manquement grave ou incapacité à remplir leurs fonctions, assurant ainsi leur impartialité et continuité dans le temps.​

En comparaison, l’article 28, paragraphe 7 de la directive 95/46/CE imposait principalement une obligation de secret professionnel aux membres et agents des autorités de contrôle, y compris après la cessation de leurs fonctions, sans détailler les autres aspects du statut des membres.

La Loi Informatique et Libertés transpose précisément ces règles dans sa disposition d’article 9, en définissant la composition pluraliste de la CNIL, les modalités de nomination, la durée et le renouvellement des mandats, ainsi que le respect du secret professionnel par ses membres et agents dans l’exercice de leurs missions, assurant une indépendance effective et renforcée.

Ainsi, le RGPD élargit significativement le cadre fixé par la directive 95/46/CE, en clarifiant les critères d’intégrité, de qualification et de maintien dans les fonctions des membres, contribuant à garantir une autorité de contrôle robuste, experte et libre de pressions externes dans l’exercice de ses pouvoirs essentiels à la protection des données personnelles.

Jurisprudences 

Françaises 

CE Fr., n°353193 (12 mars 2014)

Cette décision concerne la formation restreinte de la CNIL lorsqu’elle exerce son pouvoir de sanction. Le Conseil d’État considère que cette formation prend des décisions dans un cadre assimilable à un procès pénal au sens de l’article 6-1 de la Convention européenne des droits de l’homme.

Elle illustre l’exigence de garanties procédurales fortes pour les membres de l’autorité, garantissant leur indépendance et impartialité, conditions clés inscrites dans l’article 53. Cette décision confirme que les membres doivent exercer leurs fonctions dans un cadre juridique strict protégeant leur intégrité et légitimité. 

CE Fr., n°362781 (16 février 2015)

Ce jugement porte sur la légitimité d’un recours fondé sur la méconnaissance du règlement intérieur de la CNIL, dont l’article 13 de la loi Informatique et Libertés prévoit qu’il doit fixer les règles d’organisation et de fonctionnement de la Commission.

L’affaire souligne ainsi l’importance d’un cadre réglementaire clair et transparent pour la désignation, l’organisation et les attributions des membres de l’autorité, principes au cœur de l’article 53 RGPD sur la nomination transparente, les qualifications et la durée des mandats des membres.

Il met en lumière la nécessité de règles internes pour assurer le bon fonctionnement et l’indépendance de l’institution

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).