CHAPITRE VII :

Coopération et cohérence

Section 1 : Coopération

Article 60 :
Coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées

 §1 L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

§2 L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

§3 L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.

§4 Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.

§5 Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

§6 Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

§7 L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.

§8 Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.

§9 Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. L’autorité de contrôle chef de file adopte la décision pour la partie relative aux actions concernant le responsable du traitement, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant sur le territoire de l’État membre dont elle relève et en informe l’auteur de la réclamation, tandis que l’autorité de contrôle de l’auteur de la réclamation adopte la décision pour la partie concernant le refus ou le rejet de cette réclamation, la notifie à cette personne et en informe le responsable du traitement ou le sous- traitant.

§10 Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

§11 Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.

§12 L’autorité de contrôle chef de file et les autres autorités de contrôle concernées se communiquent par voie électronique et au moyen d’un formulaire type, les informations requises en vertu du présent article.

Coopération entre les autorités de contrôle en matière de protection des données

  • Chef de file & autres autorités :

    • Doivent coopérer et échanger des informations utiles.
    • Objectif : atteindre un consensus.

 

  • Actions du chef de file :

    • Peut demander assistance des autres autorités.
    • Possibilité de mener des opérations conjointes (enquêtes, contrôles…).
    • Soumet rapidement un projet de décision aux autres autorités pour avoir leur avis.

 

  • Réactions des autres autorités :

    • Si elles ont une objection au projet :
      • Si le chef de file n’est pas d’accord : mécanisme de contrôle de cohérence est invoqué.
      • Si le chef de file accepte : il propose un projet révisé pour avoir un nouvel avis.
    • Si aucune objection : toutes les autorités acceptent le projet.

 

  • Adoption de la décision :

    • Chef de file adopte et notifie la décision.
    • Informe également l’entité concernée (entreprise, sous-traitant…) et l’individu ayant déposé une plainte.

 

  • Cas particulier :

    • Si une plainte est rejetée, l’autorité ayant reçu la plainte est celle qui prend la décision.
    • Si une plainte est partiellement acceptée et partiellement rejetée, des décisions distinctes sont prises pour chaque partie.

 

  • Suivi :

    • L’entité concernée (entreprise, sous-traitant…) doit se conformer à la décision dans tous ses établissements de l’UE.
    • Elle doit ensuite informer le chef de file des mesures prises pour se conformer.

 

  • Situation d’urgence :

    • Si une autorité estime qu’une intervention urgente est nécessaire, une procédure d’urgence est appliquée.

 

  • Communication :

    • Les autorités échangent des informations via des moyens électroniques et des formulaires standard.

Article 61 :
Assistance mutuelle

§1 Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes.

§2 Chaque autorité de contrôle prend toutes les mesures appropriées requises pour répondre à une demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande. De telles mesures peuvent comprendre, notamment, la transmission d’informations utiles sur la conduite d’une enquête.

§3 Les demandes d’assistances contiennent toutes les informations nécessaires, notamment la finalité et les motifs de la demande. Les informations échangées ne sont utilisées qu’aux fins pour lesquelles elles ont été demandées.

§4 Une autorité de contrôle requise ne peut refuser de satisfaire à une demande d’assistance, sauf si:

   a) elle n’est pas compétente pour traiter l’objet de la demande ou pour prendre les mesures qu’elle est requise d’exécuter; ou

   b) satisfaire à la demande constituerait une violation du présent règlement ou du droit de l’Union ou du droit de l’État membre auquel l’autorité de contrôle qui a reçu la demande est soumise.

§5 L’autorité de contrôle requise informe l’autorité de contrôle requérante des résultats obtenus ou, selon le cas, de l’avancement des mesures prises pour donner suite à la demande. L’autorité de contrôle requise explique les raisons de tout refus de satisfaire à une demande en application du paragraphe 4.

§6 En règle générale, les autorités de contrôle requises communiquent par voie électronique et au moyen d’un formulaire type, les informations demandées par d’autres autorités de contrôle.

§7 Les autorités de contrôle requises ne perçoivent pas de frais pour toute action qu’elles prennent à la suite d’une demande d’assistance mutuelle. Les autorités de contrôle peuvent convenir de règles concernant l’octroi de dédomma­gements entre elles pour des dépenses spécifiques résultant de la fourniture d’une assistance mutuelle dans des circons­tances exceptionnelles.

§8 Lorsqu’une autorité de contrôle ne fournit pas les informations visées au paragraphe 5 du présent article dans un délai d’un mois à compter de la réception de la demande formulée par une autre autorité de contrôle, l’autorité de contrôle requérante peut adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l’article 55, paragraphe 1. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont réputées réunies et nécessitent une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

§9 La Commission peut, par voie d’actes d’exécution, préciser la forme et les procédures de l’assistance mutuelle visée au présent article, ainsi que les modalités de l’échange d’informations par voie électronique entre les autorités de contrôle et entre les autorités de contrôle et le comité, notamment en ce qui concerne le formulaire type visé au paragraphe 6 du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

 

Assistance mutuelle entre autorités de contrôle

  • Coopération générale :

    • Les autorités de contrôle coopèrent et s’assistent mutuellement pour assurer une application cohérente du RGPD. Ceci couvre les demandes d’informations, les autorisations, les consultations préalables, les inspections et les enquêtes (§1).

 

  • Réponse rapide aux demandes :

    • Les autorités de contrôle répondent aux demandes d’autres autorités dans un délai d’un mois. Cela inclut la transmission d’informations relatives aux enquêtes (§2).

 

  • Contenu et utilisation des demandes :

    • Les demandes d’assistance doivent contenir toutes les informations nécessaires, y compris l’objectif. Les informations échangées sont utilisées uniquement pour la raison demandée (§3).

 

  • Conditions de refus d’assistance :

    • Une autorité peut refuser une demande d’assistance si elle n’est pas compétente pour le sujet, ou si répondre violerait le RGPD ou un autre droit pertinent (§4).

 

  • Feedback après une demande :

    • L’autorité sollicitée informe l’autorité demanderesse des résultats ou de l’avancement de la demande. Les motifs de refus éventuels sont également communiqués (§5).

 

  • Communication électronique :

    • En général, les autorités échangent des informations via des moyens électroniques et un formulaire type (§6).

 

  • Frais associés à l’assistance :

    • Aucuns frais ne sont prélevés pour les actions découlant d’une demande d’assistance mutuelle. Toutefois, des dédommagements pour des dépenses spécifiques peuvent être convenus en circonstances exceptionnelles (§7).

 

  • Non-conformité et mesures d’urgence :

    • Si une autorité ne fournit pas d’informations dans le délai d’un mois, l’autorité demanderesse peut prendre des mesures provisoires. Ceci est considéré comme une situation d’urgence (§8).

 

  • Rôles de la Commission :

    • La Commission peut préciser la forme, les procédures d’assistance mutuelle et les modalités d’échange d’informations électroniques entre les autorités de contrôle (§9).

Article 62 :
Opérations conjointes des autorités de contrôle

§1 Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.

§2 Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. L’autorité de contrôle qui est compétente en vertu de l’article 56, paragraphe 1 ou 4, invite l’autorité de contrôle de chacun de ces États membres à prendre part aux opérations conjointes concernées et donne suite sans tarder à toute demande d’une autorité de contrôle souhaitant y participer.

§3 Une autorité de contrôle peut, conformément au droit d’un État membre, et avec l’autorisation de l’autorité de contrôle d’origine, conférer des pouvoirs, notamment des pouvoirs d’enquête, aux membres ou aux agents de l’autorité de contrôle d’origine participant à des opérations conjointes ou accepter, pour autant que le droit de l’État membre dont relève l’autorité de contrôle d’accueil le permette, que les membres ou les agents de l’autorité de contrôle d’origine exercent leurs pouvoirs d’enquête conformément au droit de l’État membre dont relève l’autorité de contrôle d’origine. Ces pouvoirs d’enquête ne peuvent être exercés que sous l’autorité et en présence de membres ou d’agents de l’autorité de contrôle d’accueil. Les membres ou agents de l’autorité de contrôle d’origine sont soumis au droit de l’État membre de l’autorité de contrôle d’accueil.

§4 Lorsque, conformément au paragraphe 1, les agents de l’autorité de contrôle d’origine opèrent dans un autre État membre, l’État membre dont relève l’autorité de contrôle d’accueil assume la responsabilité de leurs actions, y compris la responsabilité des dommages qu’ils causent au cours des opérations dont ils sont chargés, conformément au droit de l’État membre sur le territoire duquel ils opèrent.

§5 L’État membre sur le territoire duquel les dommages ont été causés répare ces dommages selon les conditions applicables aux dommages causés par ses propres agents. L’État membre dont relève l’autorité de contrôle d’origine dont les agents ont causé des dommages à des personnes sur le territoire d’un autre État membre rembourse intégralement à cet autre État membre les sommes qu’il a versées aux ayants droit.

§6 Sans préjudice de l’exercice de ses droits à l’égard des tiers et sous réserve du paragraphe 5, chaque État membre s’abstient, dans le cas prévu au paragraphe 1, de demander à un autre État membre le remboursement lié aux dommages visés au paragraphe 4.

§7 Lorsqu’une opération conjointe est envisagée et qu’une autorité de contrôle ne se conforme pas, dans un délai d’un mois, à l’obligation fixée au paragraphe 2, deuxième phrase, du présent article, les autres autorités de contrôle peuvent adopter une mesure provisoire sur le territoire de l’État membre dont celle-ci relève conformément à l’article 55. Dans ce cas, les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont présumées être réunies et nécessitent un avis ou une décision contraignante d’urgence du comité en application de l’article 66, paragraphe 2.

 

Opérations conjointes des autorités de contrôle

  • Opérations conjointes générales :

    • Les autorités de contrôle peuvent mener des opérations conjointes, incluant enquêtes et mesures répressives (1).

 

  • Scénarios multi-États :

    • Si une entité opère dans plusieurs États membres, ou si de nombreuses personnes sont affectées dans divers États, une autorité de chaque État concerné peut participer aux opérations conjointes. L’autorité compétente (en vertu de l’article 56) initie et coordonne ces opérations (2).

 

  • Pouvoirs d’enquête en cas de coopération inter-États :

    • Une autorité peut conférer des pouvoirs d’enquête à des membres d’une autre autorité ou accepter l’exercice de tels pouvoirs par ces membres. Ces pouvoirs sont exercés sous la supervision de l’autorité hôte (3).

 

  • Responsabilité lors d’opérations hors frontières :

    • L’État membre de l’autorité d’accueil est responsable des actions des agents de l’autorité d’origine opérant sur son territoire (4).

 

  • Dommages causés par des agents :

    • L’État où les dommages ont été causés doit réparer ces dommages. L’État de l’autorité d’origine des agents fautifs doit rembourser entièrement l’État d’accueil pour les sommes versées aux victimes (5).

 

  • Exemption de demande de remboursement :

    • Chaque État membre ne demande pas à un autre État membre un remboursement pour les dommages causés lors d’une opération conjointe (6).
  • Non-conformité et mesures d’urgence :

    • Si une autorité ne se conforme pas à l’obligation de participation à une opération conjointe, les autres autorités peuvent adopter des mesures provisoires. Cette situation est traitée comme une urgence (7).

Section 2 : Cohérence

Article 63 :
Mécanisme de contrôle de la cohérence

Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente Section.

 

Mécanisme de contrôle de cohérence

  • Objectif principal :

    • Assurer une application uniforme et cohérente du RGPD à travers l’Union européenne (UE).
  • Coopération :

    • Les autorités de contrôle travaillent conjointement, et si nécessaire, collaborent avec la Commission dans le cadre du mécanisme de contrôle de la cohérence.

Implications de l’article 63 :

Le RGPD a été créé pour fournir un ensemble unique de règles en matière de protection des données à travers l’UE. L’article 63 souligne l’importance d’une application cohérente de ces règles par toutes les autorités de contrôle des différents États membres. Il existe ainsi cinq implications générales :

  1. Uniformité et harmonisation : L’article garantit que les mêmes normes et interprétations du RGPD sont appliquées, peu importe l’État membre. Cela évite une fragmentation juridique où chaque État membre pourrait avoir une interprétation différente du règlement.

  2. Collaboration renforcée : Les autorités de contrôle doivent collaborer activement, échanger des informations et des best practices, et prendre des décisions conjointes en matière de protection des données.

  3. Rôle central de la Commission : La Commission européenne peut intervenir si nécessaire pour garantir la cohérence. Son rôle est de surveiller la mise en œuvre correcte du RGPD et de fournir des directives ou des clarifications si des divergences apparaissent entre les autorités de contrôle.

  4. Confiance accrue : En assurant une application cohérente, cela renforce la confiance des citoyens et des entreprises en matière de protection des données dans l’ensemble de l’UE. Les entreprises bénéficient également d’une plus grande prévisibilité et d’une sécurité juridique.

  5. Mécanismes et processus clairs : Dans le cadre de ce mécanisme de contrôle de cohérence, des processus clairs sont établis pour traiter les cas où plusieurs autorités de contrôle sont concernées par une affaire donnée, assurant ainsi une approche coordonnée.

Article 64 :
Avis du Comité

§1 Le comité émet un avis chaque fois qu’une autorité de contrôle compétente envisage d’adopter l’une des mesures ci-après. À cet effet, l’autorité de contrôle compétente communique le projet de décision au comité, lorsque ce projet:

   a) vise à adopter une liste d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données doit être effectuée en application de l’article 35, paragraphe 4;

   b) concerne la question de savoir, en application de l’article 40, paragraphe 7, si un projet de code de conduite ou une modification ou une prorogation d’un code de conduite respecte le présent règlement;

   c) vise à approuver les critères d’agrément d’un organisme en application de l’article 41, paragraphe 3, ou d’un organisme de certification en application de l’article 43, paragraphe 3;

   d) vise à fixer des clauses types de protection des données visées à l’article 46, paragraphe 2, point d), et à l’article 28, paragraphe 8;

   e) vise à autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a); ou

   f) vise à approuver des règles d’entreprise contraignantes au sens de l’article 47.

§2 Toute autorité de contrôle, le président du comité ou la Commission peuvent demander que toute question d’appli­ cation générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 ou les obligations relatives aux opérations conjointes conformément à l’article 62.

§3 Dans les cas visés aux paragraphes 1 et 2, le comité émet un avis sur la question qui lui est soumise, à condition qu’il n’ait pas déjà émis un avis sur la même question. Cet avis est adopté dans un délai de huit semaines à la majorité simple des membres du comité. Ce délai peut être prolongé de six semaines en fonction de la complexité de la question. En ce qui concerne le projet de décision visé au paragraphe 1 transmis aux membres du comité conformément au paragraphe 5, un membre qui n’a pas formulé d’objection dans un délai raisonnable fixé par le président est réputé approuver le projet de décision.

§4 Les autorités de contrôle et la Commission communiquent, dans les meilleurs délais, au comité, par voie électronique et au moyen d’un formulaire type, toutes les informations utiles, y compris, selon le cas, un résumé des faits, le projet de décision, les motifs rendant nécessaire l’adoption de cette mesure et les points de vue des autres autorités de contrôle concernées.

§5 Le président du comité transmet dans les meilleurs délais par voie électronique:

   a) toutes les informations utiles qui lui ont été communiquées aux membres du comité et à la Commission, au moyen d’un formulaire type. Le secrétariat du comité fournit, si nécessaire, les traductions des informations utiles; et

   b) l’avis à l’autorité de contrôle visée, selon le cas, aux paragraphes 1 et 2, et à la Commission, et le publie.

§6 L’autorité de contrôle compétente n’adopte pas son projet de décision visé au paragraphe 1 lorsque le délai visé au paragraphe 3 court.

§7 L’autorité de contrôle visée au paragraphe 1 tient le plus grand compte de l’avis du comité et fait savoir au président du comité par voie électronique au moyen d’un formulaire type, dans un délai de deux semaines suivant la réception de l’avis, si elle maintiendra ou si elle modifiera son projet de décision et, le cas échéant, son projet de décision modifié.

§8 Lorsque l’autorité de contrôle concernée informe le président du comité dans le délai visé au paragraphe 7 du présent article qu’elle n’a pas l’intention de suivre, en tout ou en partie, l’avis du comité, en fournissant les motifs pertinents, l’article 65, paragraphe 1, s’applique.

Mécanisme de contrôle de cohérence

  • Objectif principal :

    • Assurer une application uniforme et cohérente du RGPD à travers l’Union européenne (UE).

 

  • Coopération :

    • Les autorités de contrôle travaillent conjointement, et si nécessaire, collaborent avec la Commission dans le cadre du mécanisme de contrôle de la cohérence.

 

Le RGPD a été créé pour fournir un ensemble unique de règles en matière de protection des données à travers l’UE. L’article 63 souligne l’importance d’une application cohérente de ces règles par toutes les autorités de contrôle des différents États membres. Il existe ainsi cinq implications générales :

  1. Uniformité et harmonisation : L’article garantit que les mêmes normes et interprétations du RGPD sont appliquées, peu importe l’État membre. Cela évite une fragmentation juridique où chaque État membre pourrait avoir une interprétation différente du règlement.

  2. Collaboration renforcée : Les autorités de contrôle doivent collaborer activement, échanger des informations et des best practices, et prendre des décisions conjointes en matière de protection des données.

  3. Rôle central de la Commission : La Commission européenne peut intervenir si nécessaire pour garantir la cohérence. Son rôle est de surveiller la mise en œuvre correcte du RGPD et de fournir des directives ou des clarifications si des divergences apparaissent entre les autorités de contrôle.

  4. Confiance accrue : En assurant une application cohérente, cela renforce la confiance des citoyens et des entreprises en matière de protection des données dans l’ensemble de l’UE. Les entreprises bénéficient également d’une plus grande prévisibilité et d’une sécurité juridique.

  5. Mécanismes et processus clairs : Dans le cadre de ce mécanisme de contrôle de cohérence, des processus clairs sont établis pour traiter les cas où plusieurs autorités de contrôle sont concernées par une affaire donnée, assurant ainsi une approche coordonnée.

Article 65 :
Règlement des litiges par le Comité

§1 En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité adopte une décision contraignante dans les cas suivants:

   a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file ou que l’autorité de contrôle chef de file a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement;

   b) lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établis­sement principal;

   c) lorsqu’une autorité de contrôle compétente ne demande pas l’avis du comité dans les cas visés à l’article 64, paragraphe 1, ou qu’elle ne suit pas l’avis du comité émis en vertu de l’article 64. Dans ce cas, toute autorité de contrôle concernée ou la Commission peut saisir le comité de la question.

§2 La décision visée au paragraphe 1 est adoptée à la majorité des deux tiers des membres du comité dans un délai d’un mois à compter de la transmission de la question. Ce délai peut être prolongé d’un mois en fonction de la complexité de la question. La décision visée au paragraphe 1, est motivée et est adressée à l’autorité de contrôle chef de file et à toutes les autorités de contrôle concernées et est contraignante à leur égard.

§3 Lorsque le comité n’a pas été en mesure d’adopter une décision dans les délais visés au paragraphe 2, il adopte sa décision, à la majorité simple de ses membres, dans un délai de deux semaines suivant l’expiration du deuxième mois visé au paragraphe 2. En cas d’égalité des voix au sein du comité, la voix de son président est prépondérante.

§4 Les autorités de contrôle concernées n’adoptent pas de décision sur la question soumise au comité en vertu du paragraphe 1 lorsque les délais visés aux paragraphes 2 et 3 courent.

§5 Le président du comité notifie, dans les meilleurs délais, la décision visée au paragraphe 1 aux autorités de contrôle concernées. Il en informe la Commission. La décision est publiée sur le site internet du comité sans tarder après que l’autorité de contrôle a notifié la décision finale visée au paragraphe 6.

§6 L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte sa décision finale sur la base de la décision visée au paragraphe 1 du présent article, dans les meilleurs délais et au plus tard un mois après que le comité a notifié sa décision. L’autorité de contrôle chef de file ou, selon le cas, l’autorité de contrôle auprès de laquelle la réclamation a été introduite informe le comité de la date à laquelle sa décision finale est notifiée, respectivement, au responsable du traitement ou au sous-traitant et à la personne concernée. La décision finale des autorités de contrôle concernées est adoptée aux conditions de l’article 60, paragraphes 7, 8 et 9. La décision finale fait référence à la décision visée au paragraphe 1 du présent article et précise que celle-ci sera publiée sur le site internet du comité conformément au paragraphe 5 du présent article. La décision visée au paragraphe 1 du présent article est jointe à la décision finale.

 

Article 66 :
Procédure d'urgence

§1 Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission.

§2 Lorsqu’une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d’urgence, elle peut demander un avis d’urgence ou une décision contraignante d’urgence au comité, en motivant sa demande d’avis ou de décision.

§3 Toute autorité de contrôle peut, en motivant sa demande d’avis ou de décision et notamment l’urgence d’intervenir, demander au comité un avis d’urgence ou une décision contraignante d’urgence, selon le cas, lorsqu’une autorité de contrôle compétente n’a pas pris de mesure appropriée dans une situation où il est urgent d’intervenir afin de protéger les droits et libertés des personnes concernées.

§4 Par dérogation à l’article 64, paragraphe 3, et à l’article 65, paragraphe 2, l’avis d’urgence ou la décision contrai­ gnante d’urgence visés aux paragraphes 2 et 3 du présent article est adopté dans un délai de deux semaines à la majorité simple des membres du comité.

 

Article 67 :
Échange d'information

La Commission peut adopter des actes d’exécution de portée générale afin de définir les modalités de l’échange d’infor­mations par voie électronique entre les autorités de contrôle, et entre ces autorités et le comité, notamment le formulaire type visé à l’article 64.

Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

 

Section 3 : Comité européen de la protection des données

Article 68 :
Comité européen de la protection des données

§1 Le comité européen de la protection des données (ci-après dénommé «comité») est institué en tant qu’organe de l’Union et possède la personnalité juridique.

§2 Le comité est représenté par son président.

§3 Le comité se compose du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.

§4 Lorsque, dans un État membre, plusieurs autorités de contrôle sont chargées de surveiller l’application des dispositions du présent règlement, un représentant commun est désigné conformément au droit de cet État membre.

§5 La Commission a le droit de participer aux activités et réunions du comité sans droit de vote. La Commission désigne un représentant. Le président du comité informe la Commission des activités du comité.

§6 Dans les cas visés à l’article 65, le Contrôleur européen de la protection des données ne dispose de droits de vote qu’à l’égard des décisions concernant des principes et règles applicables aux institutions, organes et organismes de l’Union qui correspondent, en substance, à ceux énoncés dans le présent règlement.

Article 69 :
Indépendance

§1 Le comité exerce les missions et les pouvoirs qui lui sont conférés conformément aux articles 70 et 71 en toute indépendance.

§2 Sans préjudice des demandes de la Commission visées à l’article 70, paragraphe 1, point b), et à l’article 70, paragraphe 2, le comité ne sollicite ni n’accepte d’instructions de quiconque dans l’exercice de ses missions et de ses pouvoirs.

Article 70 :
Missions du comité

§1 Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:

   a) de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;

   b) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, y compris sur tout projet de modification du présent règlement;

   c) de conseiller la Commission, en ce qui concerne les règles d’entreprise contraignantes, sur la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent;

   d) de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l’article 17, paragraphe 2;

   e) d’examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement;

   f) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l’article 22, paragraphe 2;

   g) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir les violations de données à caractère personnel, de déterminer les meilleurs délais visés à l’article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel;

   h) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l’article 34, paragraphe 1;

   i) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d’entreprise contraignantes appliquées par les responsables du traitement et sur des règles d’entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données à caractère personnel des personnes concernées visées à l’article 47;

    j) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l’article 49, paragraphe 1;

   k) d’élaborer, à l’intention des autorités de contrôle, des lignes directrices concernant l’application des mesures visées à l’article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l’article 83;

   l) de faire le bilan de l’application pratique des lignes directrices, recommandations et des bonnes pratiques visées aux points e) et f);

   m) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l’article 54, paragraphe 2;

   n) d’encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;

   o) de procéder à l’agrément des organismes de certification et à l’examen périodique de cet agrément en vertu de l’article 43 et de tenir un registre public des organismes agréés en vertu de l’article 43, paragraphe 6, ainsi que des responsables du traitement ou des sous-traitants agréés établis dans des pays tiers en vertu de l’article 42, paragraphe 7;

   p) de définir les exigences visées à l’article 43, paragraphe 3, aux fins de l’agrément des organismes de certification prévu à l’article 42;

   q) de rendre à la Commission un avis sur les exigences en matière de certification visées à l’article 43, paragraphe 8;

   r) de rendre à la Commission un avis sur les icônes visées à l’article 12, paragraphe 7;

   s) de rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l’évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n’assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l’organisation internationale;

   t) d’émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l’article 64, paragraphe 1, sur les questions soumises en vertu de l’article 64, paragraphe 2, et d’émettre des décisions contraignantes en vertu de l’article 65, y compris dans les cas visés à l’article 66;

   u) de promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle;

   v) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d’organisations internationales;

   w) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;

   x) d’émettre des avis sur les codes de conduite élaborés au niveau de l’Union en application de l’article 40, paragraphe 9; et

   y) de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.

§2 Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l’urgence de la question.

§3 Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 93, et les publie.

§4 Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l’article 76.

Article 71 :
Rapports

§1 Le comité établit un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union et, s’il y a lieu, dans les pays tiers et les organisations internationales. Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.

§2 Le rapport annuel présente notamment le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées à l’article 70, paragraphe 1, point l), ainsi que des décisions contraignantes visées à l’article 65.

Article 72 :
Procédure

§1 Le comité prend ses décisions à la majorité simple de ses membres, sauf disposition contraire du présent règlement.

§2 Le comité adopte son règlement intérieur à la majorité des deux tiers de ses membres et détermine ses modalités de fonctionnement.

Article 73 :
Président

§1 Le comité élit son président et deux vice-présidents en son sein à la majorité simple.

§2 Le président et les vice-présidents sont élus pour un mandat de cinq ans renouvelable une fois.

Article 74 :
Missions du président

§1 Le président a pour missions:

   a) de convoquer les réunions du comité et d’établir l’ordre du jour;

   b) de notifier les décisions adoptées par le comité en application de l’article 65 à l’autorité de contrôle chef de file et aux autorités de contrôle concernées;

   c) de veiller à l’accomplissement, dans les délais, des missions du comité, notamment en ce qui concerne le mécanisme de contrôle de la cohérence visé à l’article 63.

§2 Le comité fixe dans son règlement intérieur la répartition des tâches entre le président et les vice-présidents.

Article 75 :
Secrétariat

§1 Le comité dispose d’un secrétariat, qui est assuré par le Contrôleur européen de la protection des données.

§2 Le secrétariat accomplit ses tâches sous l’autorité exclusive du président du comité.

§3 Le personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité est soumis à une structure hiérarchique distincte de celle du personnel qui participe à l’exercice des missions confiées au Contrôleur européen de la protection des données.

§4 Le cas échéant, le comité et le Contrôleur européen de la protection des données établissent et publient un protocole d’accord mettant en œuvre le présent article, fixant les modalités de leur coopération et s’appliquant au personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité.

§5 Le secrétariat fournit un soutien analytique, administratif et logistique au comité.

§6 Le secrétariat est notamment chargé de:

   a) la gestion courante du comité;

   b) la communication entre les membres du comité, son président et la Commission;

   c) la communication avec d’autres institutions et le public;

   d) l’utilisation des voies électroniques pour la communication interne et externe;

   e) la traduction des informations utiles;

   f) la préparation et le suivi des réunions du comité;

   g) la préparation, la rédaction et la publication d’avis, de décisions relatives au règlement des litiges entre autorités de contrôle et d’autres textes adoptés par le comité.

Article 76 :
Confidentialité

§1 Lorsque le comité le juge nécessaire, ses débats sont confidentiels, comme le prévoit son règlement intérieur.

§2 L’accès aux documents présentés aux membres du comité, aux experts et aux représentants de tiers est régi par le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (Règlement (CE) no 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO L 145 du 31.5.2001, p. 43).).