Article 36 – Consultation préalable

Article 36 - Consultation préalable

1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données effectuée au titre de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

2. Lorsque l'autorité de contrôle est d'avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, l'autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d'un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées pour les besoins de la consultation.

3. Lorsque le responsable du traitement consulte l'autorité de contrôle en application du paragraphe 1, il lui communique:
  • a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d'un groupe d'entreprises;
  • b) les finalités et les moyens du traitement envisagé;
  • c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;
  • d) le cas échéant, les coordonnées du délégué à la protection des données;
  • e) l'analyse d'impact relative à la protection des données prévue à l'article 35; et
  • f) toute autre information que l'autorité de contrôle demande.
4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition de mesure législative devant être adoptée par un parlement national, ou d'une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

En savoir plus...

La directive 95/46/CE imposait une obligation générale de notifier à l'autorité de contrôle tout traitement de données à caractère personnel. La raison d'être de cette disposition était que les autorités de protection des données procéderaient à une évaluation avant le début du traitement et gèreraient ainsi certains risques potentiellement élevés. Toutefois, cette obligation générale de notification n'a pas toujours conduit à un niveau plus élevé de protection des données à caractère personnel et a plutôt entraîné des charges administratives et financières importantes.
Pour ces raisons, le paragraphe 1 de l'article 36 du RGPD limite l'obligation de notification aux seuls traitements qui, à la suite de l'analyse d'impact sur la protection des données (AIPD) visée à l'article 35, continuent de présenter des risques élevés pour la personne concernée après l'application des mesures d'atténuation des risques jugées raisonnables par le responsable du traitement. Dans ces cas, conformément au paragraphe 2, l'autorité de contrôle doit fournir des orientations écrites sur la manière de résoudre le problème, si nécessaire en exerçant les pouvoirs d'intervention prévus à l'article 58 du RGPD. La procédure de consultation doit être menée rapidement, conformément aux délais fixés par le législateur. Le paragraphe 3 précise les éléments que le responsable du traitement doit fournir lors de la consultation de l'autorité de contrôle. Il s'agit notamment des rôles attribués aux éventuels responsables conjoints du traitement ou sous-traitants, des finalités et des méthodes du traitement, des mesures prises pour protéger les droits et libertés des personnes concernées, de l'analyse d'impact sur la protection des données visée à l'article 35, ainsi que de toute autre information demandée par l'autorité de protection des données. Le paragraphe 4 impose aux États membres l'obligation de consulter l'autorité de contrôle lorsqu'ils adoptent des mesures législatives impliquant le traitement de données à caractère personnel ou une mesure réglementaire fondée sur la loi. Enfin, le paragraphe 5 permet aux États membres de soumettre certains responsables du traitement à une autorisation préalable, indépendamment des exigences du paragraphe 1.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

[Analyse d'impact sur la protection des données]
84. Afin de mieux garantir le respect du présent règlement lorsque les opérations de traitement sont susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement devrait assumer la responsabilité d'effectuer une analyse d'impact relative à la protection des données pour évaluer, en particulier, l'origine, la nature, la particularité et la gravité de ce risque. Il convient de tenir compte du résultat de cette analyse pour déterminer les mesures appropriées à prendre afin de démontrer que le traitement des données à caractère personnel respecte le présent règlement. Lorsqu'il ressort de l'analyse d'impact relative à la protection des données que les opérations de traitement des données comportent un risque élevé que le responsable du traitement ne peut atténuer en prenant des mesures appropriées compte tenu des techniques disponibles et des coûts liés à leur mise en œuvre, il convient que l'autorité de contrôle soit consultée avant que le traitement n'ait lieu.

[Abrogation du principe notification des traitements aux autorités]
89. La directive 95/46/CE prévoyait une obligation générale de notifier les traitements de données à caractère personnel aux autorités de contrôle. Or, cette obligation génère une charge administrative et financière, sans pour autant avoir systématiquement contribué à améliorer la protection des données à caractère personnel. Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et des mécanismes efficaces ciblant plutôt les types d'opérations de traitement susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques, du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Ces types d'opérations de traitement peuvent inclure ceux qui, notamment, impliquent le recours à de nouvelles technologies ou qui sont nouveaux et pour lesquels aucune analyse d'impact relative à la protection des données n'a été effectuée au préalable par le responsable du traitement, ou qui deviennent nécessaires compte tenu du temps écoulé depuis le traitement initial.

[Consultation de l'autorité de contrôle en cas de haut risque résiduel]
94. Lorsqu'il ressort d'une analyse d'impact relative à la protection des données que, en l'absence des garanties, de mesures de sécurité et de mécanismes pour atténuer le risque, le traitement engendrerait un risque élevé pour les droits et libertés des personnes physiques et que le responsable du traitement est d'avis que le risque ne peut être atténué par des moyens raisonnables compte tenu des techniques disponibles et des coûts de mise en œuvre, il y a lieu de consulter l'autorité de contrôle avant le début des opérations de traitement. Certains types de traitements et l'ampleur et la fréquence des traitements sont susceptibles d'engendrer un tel risque élevé et peuvent également causer un dommage ou porter atteinte aux droits et libertés d'une personne physique. L'autorité de contrôle devrait répondre à la demande de consultation dans un délai déterminé. Toutefois, l'absence de réaction de l'autorité de contrôle dans le délai imparti devrait être sans préjudice de toute intervention de sa part effectuée dans le cadre de ses missions et de ses pouvoirs prévus par le présent règlement, y compris le pouvoir d'interdire des opérations de traitement. Dans le cadre de ce processus de consultation, les résultats d'une analyse d'impact relative à la protection des données réalisée en ce qui concerne le traitement en question peuvent être soumis à l'autorité de contrôle, notamment les mesures envisagées pour atténuer le risque pour les droits et libertés des personnes physiques.

[Assistance par le sous-traitant]
95. Le sous-traitant devrait aider le responsable du traitement, si nécessaire et sur demande, à assurer le respect des obligations découlant de la réalisation des analyses d'impact relatives à la protection des données et de la consultation préalable de l'autorité de contrôle.

[Consultation de l'autorité de contrôle en cas traitement prévu par des mesures législatives ou réglementaires]
96. L'autorité de contrôle devrait également être consultée au stade de la préparation d'une mesure législative ou réglementaire qui prévoit le traitement de données à caractère personnel, afin d'assurer que le traitement prévu respecte le présent règlement et, en particulier, d'atténuer le risque qu'il comporte pour la personne concernée.



Droit souple

Lignes directrices et recommandations

Guides pratiques

Documents anciens

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut