Article 55 - Compétence
1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève.2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) ou e), l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 56 n'est pas applicable.
3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.
En savoir plus...
L'article 55 est une disposition relative à la compétence. Selon la règle générale énoncée au paragraphe 1, une autorité de contrôle est compétente sur le territoire de son État membre. Les paragraphes 2 et 3 contiennent des règles de compétence pour deux situations spécifiques, qui se superposent au principe de la compétence territoriale. Le traitement dans l'intérêt public, dans l'exercice de l'autorité publique ou pour se conformer à une obligation légale (points c et e de l'article 6, paragraphe 1, du RGPD) est toujours contrôlé par l'autorité de contrôle de l'État membre concerné, y compris dans les cas transfrontaliers. Deuxièmement, le traitement par le pouvoir judiciaire est partiellement exempté de la supervision par les autorités de surveillance afin de préserver l'indépendance du pouvoir judiciaire (séparation des pouvoirs).En outre, l'article 56 du RGPD contient des règles sur les compétences en cas de traitement transfrontalier. Il y a traitement transfrontalier (auquel cas l'article 56 du RGPD doit être consulté) lorsque les données sont traitées par plusieurs établissements d'un sous-traitant ou d'un responsable du traitement dans l'UE/EEE ou lorsque le traitement affecte de manière substantielle (ou est susceptible d'affecter de manière durable) les personnes concernées dans plus d'un État membre, conformément à la définition juridique du traitement transfrontalier figurant à l'article 4, paragraphe 23, du RGPD.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
20. Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.
[Compétence des autorités de contrôle]
122. Chaque autorité de contrôle devrait être compétente sur le territoire de l'État membre dont elle relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement. Cela devrait couvrir, notamment, le traitement dans le cadre d'activités menées par un établissement du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève, le traitement de données à caractère personnel effectué par des autorités publiques ou des organismes privés agissant dans l'intérêt public, le traitement affectant des personnes concernées sur le territoire de l'État membre dont elle relève, ou encore le traitement effectué par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève. Cela devrait comprendre notamment le traitement des réclamations introduites par les personnes concernées, la conduite d'enquêtes sur l'application du présent règlement et la sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à caractère personnel.
[Inapplicibilité du mécanisme d'autorité chef de file au secteur public]
128. Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans l'intérêt public. Dans ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.
[Règlement amiable de la réclamation]
131. Lorsqu'une autre autorité de contrôle devrait faire office d'autorité de contrôle chef de file pour les activités de traitement du responsable du traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la violation éventuelle ne concerne que les activités de traitement du responsable du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation a été introduite ou dans lequel la violation éventuelle a été constatée et que la question n'affecte pas sensiblement ou n'est pas susceptible d'affecter sensiblement des personnes concernées dans d'autres États membres, l'autorité de contrôle qui est saisie d'une réclamation, ou qui constate des situations susceptibles de constituer des violations du présent règlement ou qui est informée d'une autre manière de telles situations devrait rechercher un règlement amiable avec le responsable du traitement et, en cas d'échec, exercer l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques qui sont effectués sur le territoire de l'État membre dont relève l'autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le territoire de cet État membre; les traitements effectués dans le cadre d'une offre de biens ou de services visant spécifiquement des personnes concernées se trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle; ou encore les traitements qui doivent être évalués à l'aune des obligations légales pertinentes prévues par le droit d'un État membre.
Droit souple
Lignes directrices et recommandations
Références
Cet article cite...
Cet article est cité par...
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
Corée – États-Unis (Californie), main dans la main dans le domaine de la protection des données personnelles La PIPC (présidée par Ko Hak-soo, ci-après ‘la Commission’) a annoncé élargir le champ de sa coopération internationale en matière de protection des données personnelles par la signature d’un accord de coopération avec l’Agence californienne de protection des […]
Amende d’environ 1,7 millions d’euros contre le Bureau administratif des tribunaux pour fuite de numéro de registre et violation des obligations de sécurité La PIPC (présidée par Ko Hak-soo) a tenu sa première réunion plénière le 8 janvier et a décidé d’imposer une amende administrative de 2,7 milliards de wons et une amende de 6 […]
RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]
Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]
En Pologne, l’UODO estime que les numéros de cadastre constituent des données à caractère personnel et ne peuvent donc pas être publiées L’ancien Géomètre en chef du pays a récemment demandé à l’autorité de contrôle qu’elle modifie sa position sur la question de la qualification des numéros de parcelle cadastrales : en effet, un précédent […]
En Corée du Sud, 2025 est l’année d’une révision en profondeur des lignes directrices et des guides sur les données personnelles La PIPC annoncé ce jour qu’une révision complète des lignes directrices et guides liés aux données personnelles sera réalisée en 2025. Ce chantier fait suite à la révision de la loi sur la protection […]
Thématiques prioritaires de l’autorité danoise en 2025 Dans un communiqué publié ce jour, l’autorité danoise rappelle que les activités de l’Autorité de protection des données comprennent des conseils, des consultations, le traitement des plaintes, le travail international et des contrôles ciblés. Comme les années précédentes, et à l’instar de la CNIL en France, celle-ci publie […]
Nomination de Delphine Legoherel et Victor Nicolle aux nouvelles directions de la CNIL Précédemment directrice adjointe de la protection des droits et des sanctions, Delphine Legoherel a pris ses fonctions de directrice de l’exercice des droits et des plaintes le 1er janvier 2025, tandis que Victor Nicolle rejoindra la CNIL le 13 janvier en tant […]
Sécurité nationale : Washington restreint les flux de données personnelles vers les pays préoccupants Le Département de la Justice des Etats-Unis (DoJ) a publié, le 27 décembre 2024, une règle finale mettant en oeuvre l’executive order 14117 adopté en février par le président Joe Biden visant à restreindre les flux de données personnelles sensibles vers […]
Corée : élaboration d’un guide sur les données « synthétiques » (fictives) La Commission de protection des informations personnelles (présidée par Ko Hak-soo, ci-après ‘Commission de protection des informations’) a récemment publié un « Guide sur la création et l’utilisation de données synthétiques » (ci-après le ‘guide’) pour soutenir la création et l’utilisation sûres des données synthétiques, […]
