📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 36 du RGPD : Consultation préalable

Sommaire

Introduction 

L’article 36 du RGPD impose au responsable de traitement une obligation de consulter l’autorité de contrôle. 

Explication de l’article 

L’article 36 du RGPD prévoit que le responsable de traitement doit consulter l’autorité de contrôle (comme la CNIL) avant de mettre en œuvre un traitement, si l’analyse d’impact préalable (AIPD) révèle un risque élevé qui ne peut être atténué.

Cette consultation doit permettre à l’autorité de formuler un avis sur la conformité du traitement envisagé. La demande adressée par le responsable de traitement doit contenir plusieurs éléments clés :

  • La répartition des rôles entre les différents acteurs : responsable de traitement, co-responsables ou sous-traitants.
  • Les finalités du traitement et les moyens envisagés pour le mettre en œuvre.
  • Les mesures et garanties prévues pour réduire les risques identifiés.
  • Les coordonnées du DPO, s’il en existe un.
  • Une copie de l’analyse d’impact réalisée.

Dans certains États membres, cette consultation peut être rendue obligatoire pour tout traitement relevant d’une mission d’intérêt public.

Lorsque l’autorité de contrôle estime que, malgré les mesures prévues, le traitement envisagé présente un risque trop élevé et n’est pas conforme au RGPD, elle peut rendre un avis formel, voire interdire la mise en œuvre du traitement.

La CNIL dispose d’un délai de 8 semaines, à compter de la réception de la demande complète, pour rendre son avis par écrit. Ce délai peut être prolongé de 6 semaines supplémentaires, si la complexité du traitement le justifie. La procédure peut également être suspendue en cas de demande d’informations complémentaires.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:

a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;

b) les finalités et les moyens du traitement envisagé;

c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

d) le cas échéant, les coordonnées du délégué à la protection des données;

e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et

f) toute autre information que l’autorité de contrôle demande.

4. Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 20

1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre.

2. De tels examens préalables sont effectués par l’autorité de contrôle après réception de la notification du responsable du traitement ou par le détaché à la protection des données, qui, en cas de doute, doit consulter l’autorité de contrôle.

3. Les États membres peuvent aussi procéder à un tel examen dans le cadre de l’élaboration soit d’une mesure du Parlement national, soit d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement et fixe des garanties appropriées.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 63

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Conformément à l’article 36 du règlement (UE) 2016/679 du 27 avril 2016, le responsable du traitement est tenu de consulter la Commission nationale de l’informatique et des libertés préalablement à la mise en œuvre du traitement lorsqu’il ressort de l’analyse d’impact prévue à l’article 62 que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

NB : Concernant les traitements d’intérêt public et mis en oeuvre pour le compte de l’Etat : articles 31 à 36

Article 31

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et :

1° Qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ;

2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

L’avis de la commission est publié avec l’arrêté autorisant le traitement.

Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 6 sont autorisés par décret en Conseil d’Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement.

Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’Etat, de la publication de l’acte réglementaire qui les autorise. Pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission.

Pour l’application du présent article, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par un acte réglementaire unique. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

Article 32

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Sont autorisés par décret en Conseil d’Etat, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes.

Article 33

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Les demandes d’avis adressées à la Commission nationale de l’informatique et des libertés en vertu de la présente loi précisent :

1° L’identité et l’adresse du responsable du traitement ou, si celui-ci n’est établi ni sur le territoire national ni sur celui d’un autre Etat membre de l’Union européenne, celle de son représentant et, le cas échéant, celle de la personne qui présente la demande ;

2° La ou les finalités du traitement, ainsi que, pour les traitements relevant des articles 31 et 32, la description générale de ses fonctions ;

3° Le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d’autres traitements ;

4° Les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ;

5° La durée de conservation des informations traitées ;

6° Le ou les services chargés de mettre en œuvre le traitement ainsi que, pour les traitements relevant des articles 31 et 32, les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

7° Les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

8° La fonction de la personne ou le service auprès duquel s’exerce le droit d’accès prévu aux articles 49,105 et 119, ainsi que les mesures relatives à l’exercice de ce droit ;

9° Les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi et, le cas échéant, l’indication du recours à un sous-traitant ;

10° Le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne, sous quelque forme que ce soit.

Les demandes d’avis portant sur les traitements intéressant la sûreté de l’Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d’information énumérés ci-dessus. Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d’avis portant sur ces traitements doivent comporter au minimum.

Le responsable d’un traitement déjà autorisé et susceptible de faire l’objet d’une mise à jour rendue publique dans les conditions prévues à l’article 36 informe sans délai la commission :

1° De tout changement affectant les informations mentionnées au I ;

2° De toute suppression du traitement.

Analyse des 3 textes qui précèdent 

Le RGPD introduit une obligation claire pour le responsable de traitement de consulter l’autorité de contrôle avant la mise en œuvre d’un traitement présentant un risque élevé, identifié via l’analyse d’impact (AIPD) obligatoire à l’article 35. Cette consultation est conditionnée par le fait que les mesures prises ne suffisent pas à atténuer ce risque (art. 36, §2). L’autorité dispose d’un délai de 8 semaines, pouvant être prolongé de 6 semaines, pour rendre un avis. Elle peut user de ses pouvoirs d’enquête, d’accès aux données et aux locaux. Le responsable doit fournir des informations détaillées : répartition des responsabilités, finalités, garanties, coordonnées du DPO, AIPD, etc. En outre, le RGPD prévoit que les États membres consultent l’autorité lors de projets législatifs relatifs à des traitements à haut risque et que l’autorisation préalable puisse être exigée dans certains cas (art. 36, §4).

La directive 95/46 CE demandait aux États membres d’identifier des traitements « à risque », notamment ceux susceptibles d’exclure des personnes de certains droits ou présentant des risques liés à une nouvelle technologie (considérant 53). Avant leur mise en œuvre, un examen préalable devait être réalisé par l’autorité de contrôle ou un délégué. Cette consultation pouvait aussi intervenir dans l’élaboration d’une mesure législative fixant les garanties appropriées. Il s’agissait donc d’une obligation nationale de définir les traitements sensibles et d’en garantir la surveillance, mais sans un mécanisme aussi précis et contraignant qu’en RGPD.

Avant le RGPD, la Loi Informatique et Libertés imposait des autorisations préalables pour certains traitements sensibles spécifiques (articles 25 à 27), par exemple les traitements statistiques, automatisés portant sur des données génétiques, ou données relatives aux infractions. Ce régime reposait plus sur une liste de cas précis nécessitant un accord de la CNIL, sans recours systématique à une analyse d’impact préalable. Avec le RGPD, ce mécanisme a été en grande partie supprimé, la consultation et l’autorisation se fondant sur une approche de gestion des risques avec l’AIPD et la consultation préalable encadrée au niveau européen.

En résumé, la consultation préalable de l’article 36 du RGPD est un renforcement significatif et une harmonisation de pratiques auparavant disparates au niveau national sous la directive 95/46/CE et la Loi Informatique et Libertés. Elle introduit des procédures obligatoires fondées sur une évaluation des risques stricte, avec des droits procéduraux clairement définis pour l’autorité de contrôle, améliorant la protection des droits et libertés en matière de traitements à risques élevés

Jurisprudences 

Européennes 

Affaire Danish National Genome Center (Danemark)

Sanction de 6,700 euros d’amende 

L’affaire montre que le manquement à la mise en place de mesures techniques et organisationnelles adéquates pour garantir la sécurité des données peut déclencher l’obligation de consulter l’autorité de protection des données. Le centre n’a pas suffisamment assuré la sécurité des données génomiques sensibles, ce qui est un traitement à haut risque, justifiant l’application de l’article 36. Cette situation souligne l’importance de l’évaluation d’impact sur la vie privée et la consultation préalable pour prévenir les failles de sécurité.

Recommandations 

CNIL 

Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.