Article 54 du RGPD : Règles relatives à l’établissement de l’autorité de contrôle

Texte original du RGPD

1. Chaque État membre prévoit, par la loi, tous les éléments suivants:

a) la création de chaque autorité de contrôle;

b) les qualifications et les conditions d’éligibilité requises pour être nommé membre de chaque autorité de contrôle;

c) les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle;

d) la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le … [date de l’entrée en vigueur du présent règlement], dont une partie peut être d’une durée plus courte lorsque cela est nécessaire pour protéger l’indépendance de l’autorité de contrôle au moyen d’une procédure de nominations échelonnées;

e) le caractère renouvelable ou non du mandat du ou des membres de chaque autorité de contrôle et, si c’est le cas, le nombre de mandats;

f) les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d’activités, d’emplois et d’avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l’emploi.

2. Le ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l’Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l’exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s’applique en particulier au signalement par des personnes physiques de violations du présent règlement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 28

1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment:

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 9

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- La Commission nationale de l’informatique et des libertés est composée de dix-huit membres :

1° Deux députés et deux sénateurs, désignés respectivement par l’Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste ;

2° Deux membres du Conseil économique, social et environnemental, élus par cette assemblée ;

3° Deux membres ou anciens membres du Conseil d’Etat, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale du Conseil d’Etat ;

4° Deux membres ou anciens membres de la Cour de cassation, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale de la Cour de cassation ;

5° Deux membres ou anciens membres de la Cour des comptes, d’un grade au moins égal à celui de conseiller maître, élus par l’assemblée générale de la Cour des comptes ;

6° Trois personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, nommées par décret ;

7° Deux personnalités qualifiées pour leur connaissance du numérique et des questions touchant aux libertés individuelles, désignées respectivement par le président de l’Assemblée nationale et par le président du Sénat ;

8° Le président de la Commission d’accès aux documents administratifs, ou son représentant.

Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son représentant.

Les deux membres désignés ou élus par une même autorité en application des 1° à 5° sont une femme et un homme. Les trois membres mentionnés au 6° comprennent au moins une femme et un homme.

Les deux membres mentionnés au 7° sont une femme et un homme. Pour l’application de cette règle, le membre succédant à une femme est un homme et celui succédant à un homme, une femme. Toutefois, le nouveau membre désigné est de même sexe que celui qu’il remplace, soit en cas de cessation du mandat avant son terme normal, soit en cas de renouvellement du mandat de l’autre membre mentionné au 7°.

Selon des modalités fixées par décret en Conseil d’Etat, le collège est, à l’exception de son président, renouvelé par moitié tous les deux ans et six mois.

Le président est nommé par décret du Président de la République parmi les membres pour la durée de son mandat. La commission élit en son sein deux vice-présidents, dont un vice-président délégué. Le président et les vice-présidents composent le bureau.

Le président exerce ses fonctions à temps plein. Sa fonction est incompatible avec toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.

La durée du mandat de président est de cinq ans.

Le président de la commission reçoit un traitement égal à celui afférent à la seconde des deux catégories supérieures des emplois de l’Etat classés hors échelle.

En cas de besoin, le vice-président délégué exerce les attributions du président.

Le secrétaire général est chargé du fonctionnement et de la coordination des services sous l’autorité du président.

La formation restreinte de la commission est composée d’un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau ne sont pas éligibles à la formation restreinte.

En cas de partage égal des voix, celle du président est prépondérante.

II. – Le mandat des membres de la commission est de cinq ans ; il est renouvelable une fois, sous réserve des dixième et onzième alinéas du I.

Article 10

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les agents de la commission sont nommés par le président.
Ceux des agents qui peuvent être appelés à participer à la mise en œuvre des missions de vérification mentionnées aux articles 19 et 25 doivent y être habilités par la commission ; cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi.

Article 11

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les agents de la commission sont astreints au secret pour les faits, actes ou renseignements dont ils ont pu avoir connaissance en raison de leurs fonctions, sous peine des sanctions prévues à l’article 413-10 du code pénal et, sous réserve de ce qui est nécessaire à l’établissement du rapport annuel, à l’article 226-13 du même code.

Article 12

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le règlement intérieur de la commission précise notamment les règles relatives aux délibérations, à l’instruction des dossiers et à leur présentation devant la commission, ainsi que les modalités de mise en œuvre de la procédure de labellisation prévue au 3° du I de l’article 8.

Article 13

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Sous réserve des compétences du bureau et de la formation restreinte, la commission se réunit en formation plénière.

L’ordre du jour de la commission réunie en formation plénière est rendu public.

En cas de partage égal des voix, la voix du président est prépondérante.

La commission peut charger le président ou le vice-président délégué d’exercer celles de ses attributions mentionnées :

1° Aux f et g du 2° du I de l’article 8 ;

2° Au d du 2° du I de l’article 8 ;

3° Au d du 4° du I de l’article 8 ;

4° Aux articles 52, 108 et 118 ;

5° A l’article 66 ;

6° Au 4 de l’article 34 du règlement (UE) 2016/679 du 27 avril 2016, pour les décisions donnant acte du respect des conditions mentionnées au 3 du même article 34 ;

7° Aux a et h du 3 de l’article 58 du même règlement.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les conditions et limites dans lesquelles le président de la commission et le vice-président délégué peuvent déléguer leur signature.

Article 14

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

La Commission nationale de l’informatique et des libertés et la Commission d’accès aux documents administratifs se réunissent dans un collège unique, sur l’initiative conjointe de leurs présidents, lorsqu’un sujet d’intérêt commun le justifie.

Article 15

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le bureau peut être chargé par la commission d’exercer les attributions de celle-ci mentionnées au dernier alinéa de l’article 10.

Article 16

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

La formation restreinte prend les mesures et prononce les sanctions à l’encontre des responsables de traitements ou des sous-traitants qui ne respectent pas les obligations découlant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi dans les conditions prévues à la section 3 du présent chapitre.

Ses membres délibèrent hors de la présence des agents de la commission, à l’exception de ceux chargés de la tenue de la séance.

Les membres de la formation restreinte ne peuvent participer à l’exercice des attributions de la commission mentionnées aux d, f et g du 2° du I de l’article 8 et à l’article 19 de la présente loi.

Article 17

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission. Des commissaires adjoints peuvent être désignés dans les mêmes conditions.

Le commissaire du Gouvernement assiste à toutes les délibérations de la commission réunie en formation plénière ainsi qu’à celles des réunions de son bureau qui ont pour objet l’exercice des attributions déléguées en application de l’article 15. Il peut assister aux séances de la formation restreinte, sans être présent au délibéré. Il est rendu destinataire de l’ensemble des avis et décisions de la commission et de la formation restreinte.

Sauf en matière de mesures ou de sanctions relevant de la section 3 du présent chapitre, il peut provoquer une seconde délibération de la commission, qui doit intervenir dans les dix jours suivant la délibération initiale.

Article 18

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les membres du Gouvernement, autorités publiques, dirigeants d’entreprises publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la Commission nationale de l’informatique et des libertés ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.

Sauf dans les cas où elles sont astreintes au secret professionnel, les personnes interrogées dans le cadre des vérifications faites par la commission en application du g du 2° du I de l’article 8 sont tenues de fournir les renseignements demandés par celle-ci pour l’exercice de ses missions.

Analyse des 3 textes qui précèdent 

L’article 54 du RGPD confie aux États membres la responsabilité de définir par voie législative les règles précises concernant la mise en place des autorités de contrôle. Ces règles doivent porter sur la création des autorités, les conditions d’éligibilité et de nomination des membres, la durée minimale des mandats (au moins quatre ans, avec possibilités de mandats renouvelables), ainsi que les obligations et interdictions liées aux fonctions exercées, notamment après la fin du mandat. L’article impose également que les membres et agents des autorités soient soumis au secret professionnel, y compris après la fin de leurs fonctions, pour garantir la confidentialité des informations qu’ils manipulent, notamment en matière de signalement des violations du RGPD.​

En comparaison, la directive 95/46/CE se montrait plus sommaire à ce sujet, limitant sa prescription à l’obligation du secret professionnel pour les membres et agents des autorités de contrôle (article 28, paragraphe 7), sans détailler d’autres aspects organisationnels ou statutaires.

Concernant le droit français, la loi Informatique et Libertés, notamment par ses articles 9 à 18, organise précisément la composition et le fonctionnement de la CNIL, avec un mandat de cinq ans renouvelable une fois, un règlement intérieur définissant ses modalités de délibération et d’organisation, ainsi que des règles d’incompatibilités et de transparence sur les intérêts directs ou indirects. Les agents de la CNIL sont soumis au secret professionnel et doivent être habilités pour les missions de contrôle et vérification. Ces dispositions incarnent la transposition française des exigences du RGPD, combinant un cadre strict garantissant l’indépendance et l’efficacité de l’autorité de contrôle.​

En résumé, l’article 54 du RGPD offre un cadre commun robuste que chaque État adapte via sa propre législation, visant à garantir la mise en œuvre autonome, transparente et sécurisée des autorités de contrôle, pilier central de la protection des données au niveau national et européen.

Jurisprudences 

Européennes 

C-518/07 (9 mars 2010) – Commission v Germany

Dans cette affaire, la Cour reproche à l’Allemagne d’avoir placé les autorités de contrôle sous la tutelle des gouvernements régionaux (Länder), ce qui compromettait leur indépendance.

Cette décision souligne que chaque État membre doit établir ses autorités indépendantes par une procédure législative claire et précise, garantie essentielle reprise à l’article 54 RGPD qui impose que chaque État définisse par voie législative les conditions de création, nomination et fonctionnement des autorités de contrôle.

C-614/10 (16 octobre 2012) – Commission v Austria

La Cour sanctionne l’Autriche pour la subordination administrative excessive de sa Commission de protection des données au sein de la chancellerie fédérale, dont le chancelier disposait d’un droit d’information étendu.

Cette affaire confirme l’exigence d’une autonomie organisationnelle, financière et fonctionnelle des autorités de contrôle, directement reliée à l’article 54 sur les conditions d’établissement, nomination et indépendance, y compris les incompatibilités et les devoirs des membres.

C-230/14 (1 octobre 2015) – Weltimmo

Bien que centrée sur la compétence territoriale des autorités, cette décision insiste aussi sur la nécessité de règles nationales claires concernant les pouvoirs des autorités et la coordination entre elles.

Elle témoigne de la nécessité d’un cadre légal précis sur comment chaque autorité est établie et exerce ses fonctions – un point central de l’article 54, qui garantit la cohérence des conditions internes à chaque État membre pour que les autorités soient efficaces et indépendantes.

Françaises 

CE Fr., n°353193 (12 mars 2014)

Cette affaire concerne la formation restreinte de la CNIL lorsqu’elle exerce son pouvoir de sanction. Cette décision souligne que cette formation doit être considérée comme prenant des décisions ayant un caractère juridictionnel au sens de l’article 6, paragraphe 1, de la Convention européenne des droits de l’homme (CEDH).

Cette affaire illustre l’application pratique des conditions d’établissement des autorités de contrôle définies à l’article 54 du RGPD, en mettant en avant :

• La nécessité que les membres de l’autorité de contrôle exercent leurs fonctions dans un cadre garantissant leur indépendance et leur impartialité.
• L’importance que les garanties procédurales soient respectées lors de l’exercice des pouvoirs de sanction, pour assurer un contrôle juste et équitable.
• L’affirmation que la CNIL, en tant qu’autorité nationale, doit disposer d’une organisation interne claire avec des formations dédiées ayant des compétences spécifiques, conformément aux exigences législatives nationales transposant l’article 54.

Ainsi, cette décision insiste sur la qualité institutionnelle et la régulation interne des autorités nationales de contrôle, en cohérence avec la charge prévue par l’article 54 du RGPD qui demande aux États membres de prévoir, par voie législative, les modalités précises d’établissement et de fonctionnement des autorités de contrôle, notamment en matière de nomination, de durée des mandats, de compétences et de règles déontologiques des membres. 

Recommandations 

G29 

Lignes directrices concernant l’autorité de contrôle chef de file – wp244rev.01 (5 avril 2017)