La coopération avec les autorités de contrôle européennes

25 octobre 2019

Dans certains cas, il est nécessaire de coopérer avec les autres autorités européennes, dans le cadre d’une procédure de sanction ou de mise en demeure.

Comment identifier l’autorité chef de file pour les cas transfrontaliers ?

Lorsque dans le cadre d’un contrôle ou du traitement d’une plainte, le traitement de données personnelles sur lequel porte la procédure est un traitement transfrontalier, une coopération européenne s’engage.

On parle de traitements transfrontaliers dans les cas suivants :

  • les traitements de données sont mis en œuvre par une entreprise disposant de plusieurs établissements dans plusieurs États européens (c’est-à-dire dans l’Union européenne, au Liechtenstein, en Islande ou en Norvège) ; ou
  • les traitements de données sont le fait d’une entreprise établie dans un seul État, mais affectent sensiblement des personnes d’au moins un autre État membre.

La CNIL doit identifier si elle est l’autorité « chef de file » ou s’il s’agit d’une autre autorité européenne.

Si l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant est établi en France, la CNIL est l’autorité chef de file. Dans ce cas, elle informe les autres autorités européennes concernées par le traitement transfrontalier de sa compétence, propose les suites à apporter au dossier et coordonne la prise de décision en concertation avec les différents pays concernés.

Si elle n’est pas autorité « chef de file », elle peut se déclarer « autorité concernée ».

En quoi consiste la coopération européenne ?

Dans le cadre de la procédure de coopération, les autorités de contrôle concernées sont destinataires de tous les éléments utiles communiqués dans le cadre de la procédure de sanction engagée devant la formation restreinte de la CNIL. La CNIL leur communique donc :

  • le rapport proposant d’adopter une mesure correctrice (qui peut prendre la forme d’une sanction pécuniaire ou d’une mise en demeure) à l’encontre d’un organisme ;
  • toute information utile, telle que les plaintes ou les procès-verbaux de contrôle, ainsi que les observations de l’organisme mis en cause.

Les autorités de contrôle concernées peuvent assister à la séance de la formation restreinte. Si elles n’y assistent pas, un procès-verbal est préparé à leur intention.

Le projet de décision de la formation restreinte est ensuite transmis aux autorités de contrôle concernées qui peuvent formuler des objections sur celui-ci. La formation restreinte de la CNIL peut alors modifier son projet de décision afin de tenir compte de ces objections. Si elle ne suit pas ces objections,  elle est tenue de saisir le Comité européen de la protection des données (CEPD) afin qu’il émette un avis sur le projet de décision et les objections formulées.

La décision finale de la formation restreinte est adoptée sur la base de la décision du Comité européen de la protection des données et y fait référence.

La délibération ainsi adoptée, comme toute délibération de la formation restreinte, est notifiée à l’organisme mis en cause. Cette décision peut faire l’objet d’un recours devant le Conseil d’État.

Les mots clés associés à cet article