1

La coopération entre les agences de protection des données personnelles

< Rapport d'information de la commission des affaires européennes >

L’efficacité des actions de contrôle, d’instruction, d’enquête et de sanctions concernant le traitement transfrontalier des données personnelles, par un responsable de traitement établi ou non sur le territoire de l’Union européenne, est garantie d’abord par le principe de chef de filat. L’article 56 du règlement dispose ainsi que l’autorité de contrôle dont relève l’établissement principal ou unique du responsable du traitement, ou du sous-traitant, est compétente en premier chef pour effectuer le contrôle de l’usage des données. L’ensemble des agences concernées s’efforce d’échanger informations, bonnes pratiques et de prendre des décisions par voie de consensus. Pour ce faire, le règlement prévoit notamment que les agences ont un mois pour répondre à une demande d’information d’une autre autorité de contrôle.

Surtout, les autorités de contrôle peuvent mener des opérations conjointes, au sens de l’article 62 du règlement. Ces opérations, qui peuvent relever de l’enquête, de mesures répressives, peuvent inclure toutes les autorités des États membres dans lesquels le responsable du traitement ou le sous-traitant est établi, ainsi que ceux dans lesquels un nombre important de citoyens est susceptible d’être affecté par les opérations de traitement.

Concrètement, les modalités de coopération impliquent qu’une autorité de contrôle peut, avec l’autorisation de l’autorité de contrôle d’origine, conférer des pouvoirs d’enquête aux agents de l’autorité de contrôle d’origine participant aux opérations conjointes mais aussi accepter, pour autant que le droit de l’État membre « de destination » le permette, que les membres de l’autorité de contrôle d’origine exercent ces pouvoirs conformément au droit de l’État d’origine.

Le projet de loi prévoit en son article 5 l’adaptation du cadre national à ces nouvelles modalités de coopération continentale entre autorités nationales. En particulier, il prévoit que, lorsqu’une opération de contrôle conjointe se déroule sur le territoire français, des membres et agents des autres autorités de contrôle participant, le cas échéant, à l’opération peuvent être présents auprès des membres ou agents habilités de la Commission, agissant en tant qu’autorité de contrôle d’accueil. Suivant l’avis du Conseil d’État, le Gouvernement a inscrit dans le projet de loi la possibilité pour le président de la CNIL d’habiliter les agents issus des autorités de contrôle d’autres États membres pour exercer tout ou partie des pouvoirs d’enquête et d’instruction dont disposent les membres et agents de la CNIL. Cette habilitation, par décision particulière, n’est ouverte qu’aux membres ou agents d’autorités de contrôle qui présentent des garanties comparables à celles dont disposent les membres ou agents de la CNIL dans l’exercice de leurs pouvoirs d’enquête ou d’instruction.

Une telle ouverture est en effet de nature à renforcer les possibilités concrètes de collaboration et à encourager les autorités de contrôle des autres États membres à confier aux membres et agents de la CNIL des pouvoirs similaires dans le cadre des enquêtes et instructions ayant lieu dans d’autres États membres. C’est le cas en Suède ou en Espagne, par exemple. Bien évidemment, en tout état de cause, le droit national trouve à s’appliquer pour ce qui est du contrôle des agents d’une autorité étrangère, comme par exemple l’interdiction de contrôler un domicile.

< Rapport d'information de la commission des affaires européennes >