Article 55 du RGPD : Compétences territoriales des autorités de contrôle

Texte original du RGPD

1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces donnéess. 

Article 28

(…).

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 8

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

1° Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ;

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

a) Elle donne un avis sur les traitements mentionnés aux articles 31 et 32 ;

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

c) En concertation avec les organismes publics et privés représentatifs des acteurs concernés, elle établit et publie des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé. A ce titre, sauf pour les traitements mis en œuvre pour le compte de l’Etat agissant dans l’exercice de ses prérogatives de puissance publique, elle peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, génétiques et de santé en application du 4 de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016 et des garanties complémentaires en matière de traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions conformément à l’article 10 du même règlement ;

d) Elle traite les réclamations, pétitions et plaintes introduites par une personne concernée ou par un organisme, une organisation ou une association, examine ou enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

e) Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel ;

f) Elle donne avis sans délai au procureur de la République, dans les conditions prévues à l’article 40 du code de procédure pénale, lorsqu’elle acquiert connaissance d’un crime ou d’un délit, et peut présenter des observations dans les procédures pénales, dans les conditions prévues à l’article 41 de la présente loi ;

g) Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, dans les conditions prévues à l’article 19 de la présente loi, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

j) Elle répond aux demandes ou saisines prévues aux articles 52,108 et 118 ;

k) Elle peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 90 ;

l) Elle mène des actions de sensibilisation auprès des médiateurs de la consommation et des médiateurs publics, au sens de l’article L. 611-1 du code de la consommation, en vue de la bonne application de la présente loi ;

3° Sur demande ou de sa propre initiative, elle délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel, attestant leur conformité aux dispositions de la présente loi. Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ; elle retire le label lorsqu’elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

4° Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er ;

A ce titre :

a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Elle peut également être consultée par le président de l’Assemblée nationale, par le président du Sénat ou par les commissions compétentes de l’Assemblée nationale et du Sénat ainsi qu’à la demande d’un président de groupe parlementaire sur toute proposition de loi relative à la protection des données à caractère personnel ou au traitement de telles données. Outre les cas prévus aux articles 31 et 32, lorsqu’une loi prévoit qu’un décret ou un arrêté est pris après avis de la commission, cet avis est publié avec le décret ou l’arrêté ;

b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ;

c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données ;

d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et de l’Union européenne compétentes en ce domaine ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies informatiques et numériques ;

f) Elle promeut, dans le cadre de ses missions, l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;

5° Elle peut présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application de la présente loi et des dispositions relatives à la protection des données à caractère personnel prévues par les textes législatifs et réglementaires, le droit de l’Union européenne, en particulier le règlement (UE) 2016/679 du 27 avril 2016, et les engagements internationaux de la France.

– Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires dans les cas prévus par la présente loi.

La commission présente chaque année au Président de la République et au Premier ministre un rapport public rendant compte de l’exécution de sa mission.

Analyse des 3 textes qui précèdent 

L’article 55 du RGPD établit que chaque autorité de contrôle est compétente pour exercer les missions et pouvoirs qui lui sont confiés sur le territoire de l’État membre dont elle dépend, conformément au règlement. Cette compétence territoriale s’applique indépendamment du droit national applicable au traitement concerné. L’article précise aussi que, lorsqu’un traitement est réalisé par des autorités publiques ou organismes privés dans le cadre d’obligations légales ou missions d’intérêt public (articles 6, paragraphe 1, points c) et e)), l’autorité de contrôle de l’État membre concerné reste compétente et que le mécanisme de guichet unique (article 56) ne s’applique pas. De plus, les autorités de contrôle ne supervisent pas les traitements opérés par des juridictions dans l’exercice de leurs fonctions juridictionnelles.​

Cette règle s’aligne sur l’article 28, paragraphe 6 de la directive 95/46/CE, qui reconnaissait déjà la compétence des autorités nationales sur leur territoire, indépendamment du droit national régissant le traitement, et permettait leur intervention sur demande d’une autorité d’un autre État membre.

Au sein de la Loi Informatique et Libertés, la CNIL, en tant qu’autorité administrative indépendante, exerce cette compétence territoriale exclusive pour encadrer les traitements réalisés en France. Elle est investie des pouvoirs nécessaires pour informer, contrôler, sanctionner et accompagner les responsables de traitement conformément au RGPD et à la loi Informatique et Libertés modifiée. Cela inclut la gestion des plaintes, la réalisation d’enquêtes, la délivrance de certifications, et la coopération avec d’autres autorités européennes.​

En synthèse, l’article 55 du RGPD institutionnalise la compétence exclusive des autorités nationales pour veiller au respect de la protection des données sur leur territoire, en assurant une granularité territoriale claire tout en permettant la coordination supranationale via les mécanismes transfrontaliers spécifiques prévus par le règlement.

Jurisprudences 

Européennes 

C-645/19 (15 Juin 2021) – Facebook Ireland e.a.

L’arrêt clarifie les pouvoirs d’une autorité nationale qui n’est pas l’autorité chef de file (selon l’article 56 RGPD) dans le cadre des traitements transfrontaliers. Il confirme qu’une autorité de contrôle peut agir et porter plainte en justice dans son État membre si elle a la compétence au titre de l’article 55 (qui couvre le traitement effectué sur son territoire), même si elle n’est pas l’autorité chef de file. Cet arrêt illustre l’articulation entre article 55 (compétence nationale) et article 56 (autorité chef de file).

C-245/20 (24 mars 2022) – X, Z c. Autoriteit Persoonsgegevens

Cette affaire concerne le prêt temporaire d’informations personnelles issues d’une procédure juridictionnelle. La CJUE rappelle que les juridictions, dans l’exercice de leur fonction juridictionnelle, sont exemptées de la supervision des autorités de contrôle mais doivent respecter les règles matérielles de protection des données. Cela correspond à l’exclusion prévue par l’article 55 § 3 qui exclut les autorités de contrôle de toute compétence sur le traitement effectué par les juridictions dans l’exercice de leur fonction. 

C-33/22 (16 janvier 2024) – Österreichische Datenschutzbehörde

Cet arrêt confirme que lorsqu’un État membre choisit d’avoir une seule autorité de contrôle, cette autorité est compétente pour surveiller aussi les commissions d’enquête parlementaires, même si elles exercent un contrôle sur le pouvoir exécutif. Cela illustre l’application étendue de la compétence prévue à l’article 55, renforçant le champ d’action national de l’autorité de contrôle sur les traitements effectués sur son territoire quel que soit l’organe qui les réalise. 

Françaises 

CE Fr., n°430810 (19 juin 2020)

Cette décision confirme clairement que, pour les traitements transfrontaliers réalisés dans l’Union, l’autorité de contrôle compétente est en principe celle de l’État membre où se situe l’établissement principal du responsable de traitement. Le CE précise qu’en cas d’établissement doté du pouvoir de décision sur les finalités et moyens du traitement, celui-ci est l’autorité chef de file. Cette affaire illustre la mise en œuvre pratique du principe de compétence territoriale et de la coordination prévue aux articles 55 et 56 du RGPD. 

CE Fr., n°449209 (28 janvier 2022)

Cette affaire traite du contrôle des opérations de lecture et d’écriture dans le terminal d’un utilisateur, notamment via cookies et traceurs. Le CE souligne que, même pour un traitement transfrontalier, la compétence relève de l’autorité nationale, ici la CNIL, dans le cadre de la directive 2002/58/CE sur la vie privée et les communications électroniques.

Elle illustre le principe de l’article 55 imposant que pour certains traitements, notamment réalisés par des autorités publiques ou sur la base d’obligations légales, l’autorité du lieu du traitement garde compétence pleine et entière, indépendamment du mécanisme du guichet unique.

CE Fr., n°452668 (8 avril 2022)

Dans cette décision, la CNIL est contestée sur une prise de position concernant le consentement au dépôt de traceurs pour des opérations d’affiliation. Le CE apprécie la légalité de cette position et confirme que la CNIL exerce ici ses pouvoirs de contrôle et régulation dans le cadre de sa compétence nationale sur les traitements effectués en France, conformément à l’article 55.

L’affaire illustre la compétence réaffirmée de l’autorité nationale pour exercer ses missions d’enquête, d’orientation et de sanction sur son territoire, y compris par des positions publiques susceptibles d’avoir un effet juridique.

Recommandations 

G29 

Lignes directrices concernant l’autorité de contrôle chef de file – wp244rev.01 (5 avril 2017)

Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 – wp250rev.01 (6 février 2018)