Si le RGPD réforme le traitement de données personnelles, il réforme également les institutions qui sont en charge de le mettre en œuvre et de contrôler son application.
Le but de cette réorganisation est d’adapter les institutions à l’une des principales nouveautés du Règlement : le fait que le même régime juridique va s’appliquer à l’identique sur l’ensemble du territoire de l’Union et pour tous ceux qui y vivent.
Il était donc nécessaire de décloisonner les institutions qui ne pouvaient plus fonctionner dans leur cadre national pour qu’elles se coordonnent entre elles dans une pratique harmonisée.
“La principale de ces transformations, celle qui va le plus impacter les personnes et les responsables du traitement, c’est la création du « guichet unique ».”
Le Règlement va aussi créer un Comité Européen de la Protection des Données dont la compétence couvre tous les pays de l’Union.
Il rénove le rôle du Contrôleur Européen à la Protection des Données et il réaffirme celui des autorités de contrôle national indépendantes, à savoir, en France, la CNIL.
Le guichet unique
Le guichet unique, en anglais dénommé « One-stop-shop », concerne toutes les organisations qui auront des traitements de données impliquant des transferts dans l’Union mais en-dehors de leur pays d’origine.
Le but est de simplifier la circulation des données personnelles dans l’Union Européenne pour que les entreprises, collectivités ou associations n’aient à traiter qu’avec l’autorité de l’Etat où elles ont leur activité ou leur établissement principal, même lorsque la situation concerne des traitements et des personnes qui se trouvent dans d’autres pays de l’Union.
Ce sera ensuite aux autorités de contrôle des différents Etats de coopérer entre elles.
“L’autorité de contrôle de l’établissement principal ou unique de l’entreprise agira donc à titre « d’autorité chef de file ».”
Les autorités de contrôle de chaque pays traiteront les réclamations déposées dans leurs États respectifs et les feront suivre à l’autorité chef de file de de l’organisme responsable du traitement.
Elles exerceront leur rôle sous la coordination du Comité Européen de la Protection des Données.
Le Comité Européen de la Protection des Données
En cas de difficulté, une coordination sera assurée par le Comité Européen de la Protection des Données.
Ce Comité (European Data Protection Board – ETPB) sera composé de représentants de toutes les autorités de contrôle indépendantes de l’Union.
Il remplace le « G 29 » qui était l’organisme qui réunissait déjà les Autorités compétentes de tous les pays mais sans les pouvoirs qui sont attribués par le Règlement au Comité Européen de la Protection des Données.
Il exerce ses missions et ses pouvoirs en toute indépendance.
“Il aura vocation à assurer une application cohérente du Règlement et aura aussi des missions de surveillance, de conseil et de diffusion de lignes directrices.”
Le Comité pourra adopter des décisions contraignantes quand, par exemple, il existera des points de vue divergents entre deux autorités de contrôle nationales.
Le Contrôleur Européen à la Protection des Données
Le Contrôleur à la Protection des Données est une autorité de contrôle indépendante déjà existante.
Son rôle actuel était tourné vers les institutions de l’Union. Il avait pour fonction de protéger les données à caractère personnel, la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l’Union Européenne.
Avec le nouveau Règlement, le Contrôleur Européen à la Protection des Données devient aussi l’institution en charge du secrétariat du Comité Européen de Protection des Données ; il voit donc son rôle et son importance considérablement accrus.
Les autorités compétentes indépendantes nationales
En France, il s’agit de la CNIL. Elle perd la fonction d’enregistrer les déclarations de traitement mais le Règlement confirme le rôle des autorités indépendantes.
Les autorités indépendantes de toute l’Union vont donc devoir se coordonner au sein du Comité Européen de la Protection des Données mais elles ne vont toujours avoir une action aussi importante dans leurs États respectifs.
Le Règlement détaille les principes de leur organisation et de la désignation de leurs membres afin de garantir leur fonctionnement et leur indépendance.
Surtout, il détaille la longue liste de fonctions et d’actions qu’elles vont devoir assurer.
Chaque autorité de contrôle est compétente pour exercer les missions et ses pouvoirs sur le territoire de l’État membre dont elle relève.
Sans être exhaustif, il est possible de citer, parmi les principaux pouvoirs et fonctions que liste le Règlement :
- Le contrôle de l’application du Règlement et de son respect,
- La sensibilisation du public,
- Le conseil du Parlement national, du gouvernement et des autres institutions et organismes,
- La sensibilisation des responsables du traitement et des sous-traitants,
- Le traitement des réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association,
- L’adoption des clauses contractuelles et encourager l’élaboration de codes de conduite ou de mécanismes de certification ainsi que de labels et de marques en matière de protection des données,
- L’autorisation des clauses contractuelles et l’approbation des règles d’entreprise contraignantes en application de l’article,
- …
La liste se terminant par l’invitation à ce que l’Autorité Indépendante « s’acquitte de toute autre mission relative à la protection des données à caractère personnel ».
Et bien sûr, les autorités indépendantes de chaque pays ont le rôle fondamental de sanctionner l’absence de respect des règles du Règlement avec une logique et des sanctions qui seront détaillées dans le dernier article de cette série.
Elles ont des pouvoirs d’enquête qui leur permettront, par exemple :
- D’ordonner au responsable du traitement de leur communiquer toutes les informations dont elles auront besoin pour l’accomplissement de leurs missions,
- De mener des enquêtes sous la forme d’audits sur la protection des données,
- D’obtenir du responsable du traitement et du sous-traitant, l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions …
Elles ont aussi le pouvoir d’adopter des mesures correctrices telles que :
- Avertir un responsable du traitement du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent Règlement,
- Ordonner au responsable du traitement de satisfaire aux demandes présentées par la personne concernée qui exerce ses droits,
- Mettre les opérations de traitement en conformité avec les dispositions du règlement…
Elles disposent de pouvoirs d’autorisation et consultatifs tels que conseiller le responsable du traitement, émettre des avis, agréer des organismes de certification.
Au résultat, il ne s’agit pas d’une simple réorganisation mais de donner aux institutions chargées du contrôle et de l’harmonisation de la mise en œuvre du Règlement une mission plus large.
Elles doivent réussir à ce que les valeurs portées par le Règlement s’appliquent concrètement. Pour cela, elles devront résister à un retour des particularismes nationaux.
Enfin, elles devront à imposer ces règles aux entreprises mondiales pour lesquelles l’Europe n’est qu’un des marchés de leur développement.