Article 67 du RGPD : Échange d’informations

Texte original du RGPD

La Commission peut adopter des actes d’exécution de portée générale afin de définir les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle, et entre ces autorités et le comité, notamment le formulaire type visé à l’article 64.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

 Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 31

1. La Commission est assistée par un comité composé des représentants des États membres et présidé par le représentant de la Commission.

2. Le représentant de la Commission soumet au comité un projet des mesures à prendre. Le comité émet son avis sur ce projet, dans un délai que le président peut fixer en fonction de l’urgence de la question en cause.

L’avis est émis à la majorité prévue à l’article 148 paragraphe 2 du traité. Lors des votes au sein du comité, les voix des représentants des États membres sont affectées de la pondération définie à l’article précité. Le président ne prend pas part au vote.

La Commission arrête des mesures qui sont immédiatement applicables. Toutefois, si elles ne sont pas conformes à l’avis émis par le comité, ces mesures sont aussitôt communiquées par la Commission au Conseil. Dans ce cas:

– la Commission diffère l’application des mesures décidées par elle d’un délai de trois mois à compter de la date de la communication,

– le Conseil, statuant à la majorité qualifiée, peut prendre une décision différente dans le délai prévu au premier tiret.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 24

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Dans les conditions prévues aux articles 60 à 67 du règlement (UE) 2016/679 du 27 avril 2016, la Commission nationale de l’informatique et des libertés met en œuvre des procédures de coopération et d’assistance mutuelle avec les autorités de contrôle des autres Etats membres de l’Union européenne et réalise avec ces autorités des opérations conjointes.

La commission, le président, le bureau, la formation restreinte et les agents de la commission mettent en œuvre, chacun pour ce qui le concerne, les procédures mentionnées au premier alinéa du présent article.

La commission peut charger le bureau :

1° D’exercer ses prérogatives en tant qu’autorité concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, et en particulier d’émettre une objection pertinente et motivée au projet de décision d’une autre autorité de contrôle ;

2° Lorsque la commission adopte un projet de décision en tant qu’autorité chef de file ou autorité concernée, de mettre en œuvre les procédures de coopération, de contrôle de la cohérence et de règlement des litiges prévues par le règlement (UE) 2016/679 du 27 avril 2016 et d’arrêter la décision au nom de la commission.

Analyse des 3 textes qui précèdent 

Sous la directive 95/46/CE, l’article 31 instituait un comité pour assister la Commission, principalement sur les mesures relatives à l’exécution de la directive dans des cas spécifiques tels que les transferts internationaux. La procédure dite de “comitologie” permettait à la Commission d’arrêter des mesures d’application, mais avec une procédure impliquant fortement les États membres, notamment en cas de désaccord (intervention du Conseil).​

• Le champ d’application portait surtout sur les pouvoirs réglementaires de la Commission en matière d’exécution générale. Il n’était pas question d’organiser l’échange électronique des informations ni de créer des formulaires types pour la coopération entre autorités de contrôle.

L’article 67 du RGPD marque une avancée en organisant explicitement l’échange d’informations par voie électronique entre les autorités de contrôle nationales et avec le Comité européen de la protection des données. Le texte donne compétence à la Commission pour adopter des actes d’exécution afin de fixer l’ensemble des modalités pratiques (outils électroniques, formulaires types, normes de sécurité), adoptés selon la nouvelle procédure d’examen du RGPD, plus centralisée, limitant l’intervention des États membres via le Conseil en désaccord.​

• Cette évolution renforce la rapidité, l’interopérabilité et l’harmonisation de la coopération entre régulateurs européens et introduit l’idée d’un “système d’information européen intégré”, absent de la directive antérieure.

L’article 24 de la Loi Informatique et Libertés modifiée transpose et complète directement la disposition du RGPD :

• Il prévoit la mise en œuvre concrète, par la CNIL, des procédures de coopération et d’assistance entre régulateurs européens, en conformité avec les articles 60 à 67 du RGPD.
• Le texte précise la répartition des tâches entre la commission, son président, le bureau et la formation restreinte, pour garantir l’efficacité et l’articulation avec les mécanismes européens de coopération.
• La CNIL est notamment compétente pour exercer l’ensemble des prérogatives prévues par le RGPD (objections, projet de décision en tant qu’autorité chef de file, etc.), tout en étant soumise aux méthodes électroniques d’échange développées au niveau européen.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence concernant cette disposition. 

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).