• FAQ
  • Glossary
Fermer

FAQ

Why are some conditions more suitable for gene and cell therapies than others?
There is an approved treatment available for my condition - why can't I receive it?
How to look for approved medicines?
How are medicines developed and approved?

Voir toutes les FAQ

Fermer

Glossary

Adeno-associated virus (AAV)
Adenovirus
Adult stem cells
Antibody
Antigen
Base editors
Cas9 nuclease
Chimeric Antigen Receptor (CAR)
Chromosome
Clinical trial

Voir le glossaire complet

Autorités de protection des données

Introduction

Les autorités chargées de la protection des données peuvent être classées selon trois niveaux :

  1. Niveau de l'Union Européenne (UE) : le Comité européen de la protection des données (European Data Protection Board)
  2. Niveau national : les autorités nationales de protection des données, considérées par le Règlement Général sur la Protection des Données (RGPD) de l'Union européenne comme 
    « autorités de contrôle ».
  3. Niveau régional : certains pays disposent d'autorités régionales de protection des données, qui font aussi partie des « autorités de contrôle » au sein du RGPD.

Acteurs principaux

Le Comité européen de la protection des données (European Data Protection Board, EDPB) est un organe européen indépendant, chargé de garantir l'application cohérente des règles de protection des données (non seulement le RGPD, mais aussi la Directive 2016/680 qui régit les questions de protection des données utilisées par la police et par les autorités judiciaires) dans l'ensemble de l'Union européenne et de l'Espace économique européen (incluant l'Islande, le Lichtenstein et la Norvège). À cette fin, il émet des lignes directrices et des avis sur des questions d’importance majeure et prend des décisions obligatoires en cas de litige entre les autorités nationales chargées de la protection des données.

Il est composé de représentants des différentes autorités nationales de protection des données et du Contrôleur européen de la protection des données (CEPD). La Commission européenne participe également à ses réunions, mais n'a pas le droit de vote.

L'EDPB a été créé par le RGPD. Pendant la période où la précédente directive sur la protection des données (Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données) était en vigueur, l'autorité européenne de protection des données était constituée du groupe de travail sur la protection des données dit Groupe de travail « article 29 », qui a cessé d'exister depuis le 25 mai 2018.

 

Les autorités nationales de protection des données (considérants 117 à 123, et articles 51 à 59 du RGPD) sont des autorités publiques indépendantes, mises en place par les États membres, pour s’assurer du respect du RGPD. Leurs principales compétences sont les suivantes :

  1. Enquêter sur les éventuelles violations des normes de protection des données ;
  2. Sanctionner les contrevenants ;
  3. Traiter les plaintes déposées contre les personnes physiques et morales placées sous leur autorité ;
  4. Fournir des conseils d’expert sur les questions de protection des données.

Leur compétence géographique est déterminée par le pays où les activités du traitement des données ont lieu. La liste de toutes les autorités nationales de protection des données est disponible ici.

Une question a été soulevée concernant la compétence des autorités nationales de protection des données pour enquêter sur les violations potentielles du RGPD (dans le cas particulier des transferts illégaux de données vers des pays tiers) lorsque la Commission européenne a déjà pris position à cet égard. Conformément à l'arrêt de la Grande Chambre de la Cour de justice de l'Union européenne (Maximillian Schrems contre Data Protection Commissioner) du 6 octobre 2015), l'existence d'une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat des données à caractère personnel transférées ne peut pas supprimer ni même réduire les pouvoirs dont disposent les autorités nationales de contrôle. Toutefois, c'est à la Cour de justice qu'il revient, en dernier ressort, de décider de la validité d'une décision de la Commission.

 

Outre les autorités nationales de protection des données, il peut également exister des autorités régionales, comme le permet l'article 51(3) du RGPD, et selon lequel : lorsque plusieurs autorités de protection des données sont instituées dans un État membre, il doit y avoir une autorité principale qui représente toutes les autres autorités au sein de l'EDPB.

Toutefois, jusqu'à présent, seule l'Allemagne a utilisé cette possibilité. L'Allemagne est composée de 16 États (Bundesländer) qui disposent tous de leur propre autorité de protection des données, ainsi que d'une autorité de contrôle fédérale.

 

L'EDPB ne doit pas être confondu avec le Contrôleur européen de la protection des données (CEPD), une autorité de contrôle indépendante établie à l'origine par le Règlement (CE) 45/2001 et actuellement régie par le Règlement (UE) 2018/1725. Les principales fonctions du CEPD sont les suivantes :

  1. Assurer la protection des données à caractère personnel et du droit à la vie privée dans le cadre des activités exercées par les institutions et organes européens ;
  2. Conseiller les institutions et organes de l'UE sur toute question relative à la protection des données ;
  3. Intervenir devant la Cour européenne de justice pour fournir des conseils d’expert sur les questions de protection des données ;
  4. Superviser les nouvelles technologies susceptibles de menacer les données personnelles ;
  5. Coopérer avec les autorités nationales de protection des données.

Définitions

Autorité de contrôle : « une autorité publique indépendante qui est instituée par un État membre en vertu de l'article 51 ». (article 4(21) du RGPD)

Autorité de contrôle concernée : « une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que :

  1. le responsable du traitement ou le sous-traitant est établi sur le territoire de l'État membre dont cette autorité de contrôle relève ;
  2. des personnes concernées résidant dans l'État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l'être ; ou
  3. une réclamation a été introduite auprès de cette autorité de contrôle. » (Article 4(22) du RGPD)

Sous-traitant : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». (Article 4(8) du RGPD)

Responsable du traitement : « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ». (Article 4(7) du RGPD)

Enjeux

Certains sous-traitants sont établis dans plus d'un État membre, et leurs activités de traitement peuvent donc être contrôlées par différentes autorités nationales de protection des données (article 56 du RGPD). À cet égard, il convient de distinguer deux scénarios différents :

  1. Si les moyens et la finalité du traitement des données sont déterminés dans un seul établissement spécifique, c'est l'autorité de protection des données compétente sur ce territoire qui contrôlera les activités de traitement des données ;
  2. Si les moyens et la finalité du traitement des données sont déterminés dans plus d'un établissement (comme c'est le cas pour certaines multinationales par exemple), plusieurs autorités de protection des données interviendront, chacune supervisant les activités de traitement des données se déroulant sur son territoire.

Opportunités et incitations

Au niveau de l'UE, l'EDPB publie notamment des orientations générales afin de préciser la législation et de promouvoir une compréhension commune du droit de l'UE en matière de protection des données. Plus généralement, et conformément à sa stratégie actuelle (2024-2027), l'EDPB a défini les quatre principaux piliers de ses objectifs stratégiques et les actions clés pour les atteindre :

  • Pilier 1 : Renforcer l’harmonisation et promouvoir la conformité   
  • Pilier 2 : Renforcer une culture commune de l’application et une coopération efficace       
  • Pilier 3 : Sauvegarder la protection des données dans le paysage numérique et inter réglementaire en développement     
  • Pilier 4 : Contribuer au dialogue mondial sur la protection des données

Ses activités contribuent à préciser la réglementation pour tous les acteurs impliqués dans la protection des données, en particulier les autorités de protection des données, les sous-traitants et les responsables du traitement des données, ainsi que les personnes concernées.

Au niveau national, chaque autorité nationale et régionale de contrôle fournit des ressources et constitue un point de contact clé pour clarifier les règles applicables en matière de protection des données sur son territoire.

Étapes pratiques

Dans certains cas, les responsables du traitement sont tenus de consulter préalablement l'autorité de protection des données avant de commencer le traitement des données, lorsque l'analyse d'impact sur la protection des données décrite à l'article 35 du RGPD révèle que le traitement entraînerait un risque élevé si des mesures adéquates n'étaient pas mises en place par le responsable du traitement des données.

Une autre interaction pertinente entre les responsables du traitement et les autorités chargées de la protection des données concerne la notification des violations de données. (Voir également la section « Utilisation abusive / détournée des données »).

Aucune organisation n'est à l'abri des cyberattaques et les responsables du traitement doivent donc se préparer à l'avance à cette éventualité. Il est important de mettre en place des politiques de cybersécurité solides, afin de respecter le principe d'intégrité et de confidentialité (Article 5(1)(f), du RGPD).

En cas de violation de données, l'autorité compétente en matière de protection des données doit être notifiée dans un délai de 72 heures, à compter du moment où le responsable du traitement en a pris connaissance, lorsque la violation est susceptible d'engendrer des risques pour les droits et libertés des personnes physiques (Article 33 du RGPD).

Les personnes concernées doivent également être informées par le responsable du traitement (article 34 du RGPD). Pour ce dernier, le RGPD ne fixe pas de délai, mais indique que la communication doit être effectuée « dans les meilleurs délais ». Dans certains cas, le responsable du traitement n'est pas tenu de notifier la violation de données aux personnes concernées (Article 34(3) du RGPD) :

  1. Lorsque le responsable du traitement a déjà mis en place des mesures adéquates pour protéger les données (par exemple, le chiffrement) et que, par conséquent, la violation des données n'affectera pas les personnes concernées ;
  2. Lorsque, après la violation des données, le responsable du traitement a pris des mesures pour éliminer ses effets négatifs sur les droits et les intérêts de la personne concernée ;
  3. Lorsque la notification individuelle impliquerait un effort disproportionné et qu'elle peut être remplacée de manière satisfaisante par une communication publique ou une procédure similaire.

Interactions avec les régulateurs

Les autorités chargées de la protection des données sont chargées de contrôler le respect du RGPD. À cette fin, il est essentiel que les parties prenantes enregistrent leurs activités de traitement des données, afin de démontrer comment les responsables du traitement des données se conforment à leurs obligations en vertu du RGPD.

À cette fin, il pourrait être utile, pour les responsables du traitement des données, de :

  1. dresser des inventaires et des cartographies de toutes les données traitées dans leur organisation ;
  2. créer des politiques internes écrites pour guider tous les membres du personnel sur des questions telles que les périodes de conservation des données, les formes et les délais de suppression des données ;
  3. définir clairement leurs responsabilités lorsqu'il y a plus d'un responsable du traitement des données.

Législation de l’Union européenne

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE), JO L 119 du 4.5.2016, p. 1-88, numéro CELEX : 32016R0679.

Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du ConseilJO L 119 du 4.5.2016, p. 89-131, numéro CELEX : 32016L0680

Règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JO L 8 du 12.1.2001, p. 1-22, numéro CELEX 32001R0045

Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (Texte présentant de l'intérêt pour l'EEE.), PE/31/2018/REV/1, JO L 295 du 21/11/2018, p. 39-98, numéro CELEX 32018R1725

Orientations de l’Union européenne

Guidelines for identifying a controller or processor’s lead supervisory authority, Adopted on 13 December 2016 As last Revised and Adopted on 5 April 2017, Article 29 Data Protection Working Party, 16/EN WP 244 rev.01 (en anglais)

Littérature pertinente (en anglais)

  1. Roles and Powers of National Data Protection Authorities: Moving from Directive 95/46/EC to the GDPR: Stronger and More ‘European’ DPAs as Guardians of Consistency? - Andra Giurgiu and Tine A Larsen. European Data Protection Law Review, 3 (2016): 342-352. 
    1. Scientific abstract
  2. The European Union general data protection regulation: what it is and what it means - Hoofnagle, C. J., van der Sloot, B., & Borgesius, F. Z. (2019). Information & Communications Technology Law, 28(1): 65-98.
    1. Scientific abstract
  3. Data Protection Authorities in Central and Eastern Europe: Setting the Research Agenda - Tarasova, Ekaterina. The Right of Access to Information and the Right to Privacy, (2017): 139-149.

Plus d’information

Acknowledgements

Publié le 21/03/2023 

Auteurs :  

Vera Lúcia Raposo, Professeure associée, Faculté de droit NOVA - Université NOVA de Lisbonne ; FutureHealthlaw / WhatNext.Law 

et

Tomás de Brito Paulo, LL.M Law & Technology à l’Université de Tilburg, Tilburg, Pays-Bas ; Associé chez Vieira de Almeida & Associados, Lisbonne, Portugal 

Revu par  Aurélie Mahalatchimy, Coordinatrice EuroGCT du Groupe de travail n°4, UMR 7318 DICE CERIC, Aix-Marseille Université, CNRS, Aix-en-Provence- France

Traduit par Luc-Sylvain Gilbert et Aurélie Mahalatchimy en octobre 2024

Research Pathways Overview

Table of contents

Retour en haut de page
Le contenu de cette page vous a-t-il été utile ? Envoyez-nous vos commentaires