Article 51 du RGPD : Autorité de contrôle

Texte original du RGPD

1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union.

2. Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.

3. Lorsqu’un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au comité et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l’article 63.

4. Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du présent chapitre, au plus tard, le … [deux ans à compter de la date d’entrée en vigueur du présent règlement], et, sans tarder, toute modification ultérieure les affectant.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Article 28

1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

Ces autorités exercent en toute indépendance les missions dont elles sont investies.

2. Chaque État membre prévoit que les autorités de contrôle sont consultées lors de l’élaboration des mesures réglementaires ou administratives relatives à la protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel.

3. Chaque autorité de contrôle dispose notamment:

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui de rendre des avis préalablement à la mise en oeuvre des traitements, conformément à l’article 20, et d’assurer une publication appropriée de ces avis ou celui d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement, ou celui d’adresser un avertissement ou une admonestation au responsable du traitement ou celui de saisir les parlements nationaux ou d’autres institutions politiques,

– du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire.

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu.

5. Chaque autorité de contrôle établit à intervalles réguliers un rapport sur son activité. Ce rapport est publié.

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

7. Les États membres prévoient que les membres et agents des autorités de contrôle sont soumis, y compris après cessation de leurs activités, à l’obligation du secret professionnel à l’égard des informations confidentielles auxquelles ils ont accès.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 8

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l’article 40 du code de procédure pénale, lorsqu’elle acquiert connaissance d’un crime ou d’un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l’Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l’Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l’Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

– Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

Analyse des 3 textes qui précèdent 

L’article 51 du RGPD instaure le principe selon lequel chaque État membre de l’Union européenne doit désigner une ou plusieurs autorités publiques indépendantes chargées de surveiller l’application du règlement et de garantir la protection des droits fondamentaux des personnes physiques à l’égard du traitement des données personnelles, tout en facilitant leur libre circulation au sein de l’Union.​

Cette disposition s’inscrit dans la continuité de l’article 28 de la directive 95/46/CE, qui imposait déjà la création d’autorités de contrôle nationales indépendantes responsables de la surveillance du respect des règles de protection des données. Toutefois, le RGPD renforce considérablement ce dispositif en instaurant une coopération étroite entre les autorités via le Comité européen de la protection des données (CEPD) et le mécanisme de guichet unique pour les traitements transfrontaliers, garantissant une application cohérente du droit dans toute l’Union.​

En droit français, cette transposition est incarnée par la Commission nationale de l’informatique et des libertés (CNIL), consacrée à l’article 8 de la Loi Informatique et Libertés (LIL) comme autorité administrative indépendante. La CNIL exerce sa compétence sur l’ensemble du territoire français pour tout traitement effectué sur ce territoire, à l’exception des traitements relevant directement du mécanisme européen de coopération. Elle est investie de pouvoirs d’enquête, de contrôle et de sanction, conformément à la LIL modifiée pour se conformer au RGPD.​

Ainsi, l’article 51 du RGPD renforce et modernise le cadre posé par la directive 95/46/CE et la Loi Informatique et libertés : il consolide l’indépendance, l’efficacité et la coordination des autorités nationales, leur conférant un rôle central dans la régulation européenne unifiée de la protection des données.

Jurisprudences 

Européennes 

C-518/07 (9 mars 2010) – Commission v Germany

Cette affaire consacre le principe d’indépendance fonctionnelle des autorités de contrôle. L’Allemagne avait soumis ses autorités régionales à une tutelle étatique, contraire à l’exigence d’indépendance de l’article 28 de la directive 95/46/CE, ancêtre de l’article 51 du RGPD. La CJUE indique qu’aucune autorité ne peut influencer ou orienter leurs décisions

C-614/10 (16 octobre 2012) – Commission v Austria

La Cour a jugé que la Datenschutzkommission autrichienne manquait d’autonomie réelle car elle dépendait administrativement de la chancellerie fédérale. Cette dépendance violait, elle aussi, le critère d’exercice en toute indépendance prévu à l’article 28 de la directive, préfigurant l’article 51 §1 du RGPD

C-210/16 ( 5 juin 2018) – Wirtschaftsakademie Schleswig-Holstein

La Cour précise que plusieurs autorités peuvent intervenir lorsqu’un traitement engage plusieurs États membres, et qu’une autorité nationale reste compétente vis‑à‑vis d’un établissement local même si la maison‑mère est située ailleurs. Cette jurisprudence illustre la nécessité de coopération entre autorités, désormais formalisée par les articles 51‑63 du RGPD et le mécanisme de cohérence.

C-252/21 (4 juillet 2023), Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social)

Ici, la CJUE cite expressément l’article 51 RGPD. Elle rappelle qu’une autre autorité (comme la concurrence) peut constater une violation du RGPD à condition de coopérer loyalement avec l’autorité de contrôle compétente. Cet arrêt confirme la portée interinstitutionnelle et la primauté du système de supervision défini aux articles 51 et suivants.

C-313/23 (30 avril 2025)  – Inspektorat kam Visshia sadeben savet

Cette affaire récente (2025) concerne les garanties d’indépendance judiciaire du superviseur bulgare de la protection des données. La CJUE y confirme que l’article 51 exige que les autorités de contrôle soient non seulement indépendantes de l’exécutif, mais également dotées d’une autonomie budgétaire et organisationnelle, consolidant l’interprétation établie dans les arrêts Allemagne et Autriche.

Françaises 

CE Fr., n°391000 (24 février 2017)

L’arrêt confirme que la CNIL est compétente pour statuer sur les plaintes de déréférencement visant les moteurs de recherche et peut mettre en demeure un opérateur de supprimer un lien.

Le juge précise que son action s’exerce « sous l’entier contrôle du juge de l’excès de pouvoir ».

Cela illustre la mission de surveillance et de mise en œuvre des droits individuels confiée à l’autorité de contrôle par l’article 51 du RGPD : elle agit comme un relais national pour protéger les droits fondamentaux des personnes.

CE Fr., n°452668 (8 avril 2022)

Dans cette décision récente, le Conseil d’État reconnaît qu’une prise de position publique de la CNIL, comme une FAQ publiée sur son site, peut avoir des effets juridiques notables et donc être contestée en justice.
En validant la légalité de sa position sur les traceurs d’affiliation, le Conseil d’État confirme que la CNIL exerce une fonction de régulation normative, participant à la mise en œuvre uniforme du droit de la protection des données – exactement la responsabilité confiée aux autorités de contrôle par l’article 51 § 2 du RGPD.​

En somme, ces quatre décisions tracent les contours français du modèle d’autorité décrit par l’article 51 : indépendante, compétente pour émettre des avis et statuer sur les plaintes, mais soumise à un contrôle juridictionnel garant de la légalité de son action.

Recommandations 

G29 

Lignes directrices concernant l’autorité de contrôle chef de file – wp244rev.01 (5 avril 2017)