Article 55 - Compétence
1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l'État membre dont elle relève.2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) ou e), l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 56 n'est pas applicable.
3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l'exercice de leur fonction juridictionnelle.
En savoir plus...
L'article 55 est une disposition relative à la compétence. Selon la règle générale énoncée au paragraphe 1, une autorité de contrôle est compétente sur le territoire de son État membre. Les paragraphes 2 et 3 contiennent des règles de compétence pour deux situations spécifiques, qui se superposent au principe de la compétence territoriale. Le traitement dans l'intérêt public, dans l'exercice de l'autorité publique ou pour se conformer à une obligation légale (points c et e de l'article 6, paragraphe 1, du RGPD) est toujours contrôlé par l'autorité de contrôle de l'État membre concerné, y compris dans les cas transfrontaliers. Deuxièmement, le traitement par le pouvoir judiciaire est partiellement exempté de la supervision par les autorités de surveillance afin de préserver l'indépendance du pouvoir judiciaire (séparation des pouvoirs).En outre, l'article 56 du RGPD contient des règles sur les compétences en cas de traitement transfrontalier. Il y a traitement transfrontalier (auquel cas l'article 56 du RGPD doit être consulté) lorsque les données sont traitées par plusieurs établissements d'un sous-traitant ou d'un responsable du traitement dans l'UE/EEE ou lorsque le traitement affecte de manière substantielle (ou est susceptible d'affecter de manière durable) les personnes concernées dans plus d'un État membre, conformément à la définition juridique du traitement transfrontalier figurant à l'article 4, paragraphe 23, du RGPD.
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).
Considérants pertinents
20. Bien que le présent règlement s'applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l'Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s'étendre au traitement de données à caractère personnel effectué par les juridictions dans l'exercice de leur fonction juridictionnelle, afin de préserver l'indépendance du pouvoir judiciaire dans l'accomplissement de ses missions judiciaires, y compris lorsqu'il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l'appareil judiciaire de l'État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.
[Compétence des autorités de contrôle]
122. Chaque autorité de contrôle devrait être compétente sur le territoire de l'État membre dont elle relève pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement. Cela devrait couvrir, notamment, le traitement dans le cadre d'activités menées par un établissement du responsable du traitement ou du sous-traitant sur le territoire de l'État membre dont elle relève, le traitement de données à caractère personnel effectué par des autorités publiques ou des organismes privés agissant dans l'intérêt public, le traitement affectant des personnes concernées sur le territoire de l'État membre dont elle relève, ou encore le traitement effectué par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union lorsque ce traitement vise des personnes concernées résidant sur le territoire de l'État membre dont elle relève. Cela devrait comprendre notamment le traitement des réclamations introduites par les personnes concernées, la conduite d'enquêtes sur l'application du présent règlement et la sensibilisation du public aux risques, règles, garanties et droits liés au traitement des données à caractère personnel.
[Inapplicibilité du mécanisme d'autorité chef de file au secteur public]
128. Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans l'intérêt public. Dans ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.
[Règlement amiable de la réclamation]
131. Lorsqu'une autre autorité de contrôle devrait faire office d'autorité de contrôle chef de file pour les activités de traitement du responsable du traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la violation éventuelle ne concerne que les activités de traitement du responsable du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation a été introduite ou dans lequel la violation éventuelle a été constatée et que la question n'affecte pas sensiblement ou n'est pas susceptible d'affecter sensiblement des personnes concernées dans d'autres États membres, l'autorité de contrôle qui est saisie d'une réclamation, ou qui constate des situations susceptibles de constituer des violations du présent règlement ou qui est informée d'une autre manière de telles situations devrait rechercher un règlement amiable avec le responsable du traitement et, en cas d'échec, exercer l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques qui sont effectués sur le territoire de l'État membre dont relève l'autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le territoire de cet État membre; les traitements effectués dans le cadre d'une offre de biens ou de services visant spécifiquement des personnes concernées se trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle; ou encore les traitements qui doivent être évalués à l'aune des obligations légales pertinentes prévues par le droit d'un État membre.
Droit souple
Lignes directrices et recommandations
Références
Cet article cite...
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Marketing non sollicité : l’autorité roumaine condamne une entreprise à 2 000 euros d’amende
L’autorité roumaine a aujourd’hui annoncé avoir condamné l’opérateur ONE UNITED PROPERTIES S.A à une amende d’environ 10 000 lei, soit 2 000 euros (au total), en raison de marketing non sollicité. Au cours de l’enquête, qui a été ouverte à la suite de plaintes de la part de particuliers, [...]
En Belgique, l’autorité de contrôle réprimande l’Office des étrangers pour un traitement sans base légale
La Chambre Contentieuse de l’APD a aujourd’hui annoncé avoir adressé une réprimande à l’Office des étrangers pour avoir traité des données à caractère sans base légale. En 2023, l’Office des étrangers a adopté une décision de fin de séjour à l’encontre d’une personne de nationalité étrangère (en séjour r [...]
Conformité et sécurité des dossiers médicaux : la CNIL lance une consultation publique sur un projet de recommandation
À la suite de contrôles et de mises en demeure de plusieurs établissements de santé, la CNIL a élaboré un projet de recommandation pour la conformité et la sécurité du dossier patient informatisé (DPI). Le document, qui rappelle également les règles applicables, est soumis à consultation publique jusqu [...]
Ordre du jour de la séance plénière du 20 mars 2025
La Commission nationale de l’informatique et des libertés s’est réunie le jeudi 20 mars 2025 à 9 h 30 avec l’ordre du jour suivant :
Partie I (avec débats):
* Examen d’un projet de délibération portant avis sur un projet de décret relatif à l’Application de stockage, de traitement et de restitution des antécédents judiciaires (ASTRE [...]
Caméras « augmentées » pour vérifier l’âge en point de vente : la CNIL lance des travaux et une concertation
Certains points de vente ont recours à des dispositifs de caméras « augmentées » afin de prévenir la vente de produits interdits aux mineurs (tabac, alcool, etc.), en s’appuyant sur un algorithme d’intelligence artificielle. En pratique, ces caméras scannent, au moment de l’achat, le visage de la personne pour e [...]
En Espagne, la banque Caixa condamnée à une amende de 3,5 millions d’euros suite à une violation: une mère accédait au compte commun entre son enfant et un tiers
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre de CAIXABANK, S.A. en lien avec une fuite de données personnelles. Cette procédure fait suite à une réclamation portant sur le [...]
Une commune condamnée pour absence de désignation d’un DPO mais pas d’amende à la clef
L’Agence espagnole de protection des données (AEPD) a aujourd’hui publié une décision de sanction à l’encontre du « Conseil municipal de Lardero » pour ne pas avoir désigné et notifié son Délégué à la Protection des Données (DPD) à l’autorité de contrôle, en violation de l’article 37 du RGPD. [...]
L’UODO rappelle au procureur qu’il ne peut pas traiter les données des patientes de la gynécologue de Szczecin sans base légale
En lien avec l’affaire de la gynécologue de Szczecin [qui est accusée d’avoir d’avoir aidé ses patientes à avorter en vendant des pilules abortives, ce qui est passible de trois ans de prison dans le pays pour le médecin mais pas pour la femme], dans laquelle le pr [...]
BeeDigital condamné pour traitement excessif de données liées à l’équivalent espagnol du « Bloctel » des emails commerciaux
L’autorité espagnole a aujourd’hui annoncé avoir prononcé une amende de 150 000 euros à l’encontre de la société BeeDigital pour un manquement en matière de minimisation des données. Comme souvent, cette affaire débute avec une plainte: en l’occurrence, d’un plai [...]
L’autorité finlandaise commence à enquêter sur le transfert de données de l’Université d’Helsinki vers une entreprise chinoise de biotechnologie
L’autorité finlandaise a annoncé aujourd’hui avoir demandé à l’Université d’Helsinki des informations sur la manière dont elle a mis en œuvre l’envoi des données liées aux échantillons de recherche d’origine humaine à une en [...]
<< Retourner au menu