📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 36 du RGPD : Consultation préalable

Sommaire

Comprendre l’article 36

L’article 36 du RGPD prévoit que le responsable de traitement doit consulter l’autorité de contrôle (comme la CNIL) avant de mettre en œuvre un traitement, si l’analyse d’impact préalable (AIPD) révèle un risque élevé qui ne peut être atténué.

Cette consultation doit permettre à l’autorité de formuler un avis sur la conformité du traitement envisagé. La demande adressée par le responsable de traitement doit contenir plusieurs éléments clés :

  • La répartition des rôles entre les différents acteurs : responsable de traitement, co-responsables ou sous-traitants.
  • Les finalités du traitement et les moyens envisagés pour le mettre en œuvre.
  • Les mesures et garanties prévues pour réduire les risques identifiés.
  • Les coordonnées du DPO, s’il en existe un.
  • Une copie de l’analyse d’impact réalisée.

Dans certains États membres, cette consultation peut être rendue obligatoire pour tout traitement relevant d’une mission d’intérêt public.

Lorsque l’autorité de contrôle estime que, malgré les mesures prévues, le traitement envisagé présente un risque trop élevé et n’est pas conforme au RGPD, elle peut rendre un avis formel, voire interdire la mise en œuvre du traitement.

La CNIL dispose d’un délai de 8 semaines, à compter de la réception de la demande complète, pour rendre son avis par écrit. Ce délai peut être prolongé de 6 semaines supplémentaires, si la complexité du traitement le justifie. La procédure peut également être suspendue en cas de demande d’informations complémentaires.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous

Article 36 du RGPD

  1. « Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  2. Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.
  3. Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:      a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises; b) les finalités et les moyens du traitement envisagé; c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement; d) le cas échéant, les coordonnées du délégué à la protection des données; e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et f) toute autre information que l’autorité de contrôle demande.
  4. Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.
  5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. »

Jurisprudence

Aucune jurisprudence sur cet article !

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.