Qui sommes-nous?
Le Contrôleur européen de la protection des données (CEPD) est l’autorité indépendante de protection des données de l’Union européenne (UE).
Le contrôleur, Wojciech Wiewiórowski, a été nommé par décision conjointe du Parlement européen et du Conseil le 6 décembre 2019 pour un mandat de cinq ans.
Quels sont nos pouvoirs?
La protection des données est un droit fondamental, protégé par le droit européen et consacré à l'article 8 de la Charte des droits fondamentaux de l'Union européenne. Nous défendons et promouvons la vie privée des individus et la protection des données dans notre travail quotidien.
La mission, les pouvoirs et les objectifs du CEPD sont définis conformément au règlement (UE) 2018/1725, sur la base de l'article 16 du Traité sur le fonctionnement de l'Union européenne.
Les tâches du CEPD sont énumérées à l'article 57 du règlement (UE) 2018/1725, tandis que ses pouvoirs sont énumérés à l'article 58 du règlement (UE) 2018/1725.
À cette fin, le CEPD dispose de pouvoirs d'enquête, de pouvoirs correctifs et de sanctions, ainsi que de pouvoirs d'autorisation et de conseil. Notamment en cas de plaintes de particuliers, ainsi que les pouvoirs de porter les infractions au règlement à l'attention de la Cour de justice et les pouvoirs d'engager des poursuites judiciaires conformément au droit primaire.
Vous trouverez des explications plus détaillées sur les pouvoirs du CEPD dans notre fiche d'information dédiée.
Quelles sont nos valeurs fondamentales?
Notre travail est guidé par les valeurs et principes suivants.
• Impartialité - travailler dans le cadre législatif et politique qui nous est donné, être indépendant et objectif, trouver le juste équilibre entre les intérêts en jeu.
• Intégrité - respecter les normes de comportement les plus élevées et toujours faire ce qui est juste.
• Transparence - expliquer ce que nous faisons et pourquoi, dans un langage clair et accessible à tous.
• Pragmatisme - comprendre les besoins de nos parties prenantes et rechercher des solutions qui fonctionnent de manière pratique.
Quel est notre rôle?
Le CEPD est chargé de surveiller le traitement des données à caractère personnel par les institutions, organes, offices et agences de l'UE, de fournir des conseils sur les politiques et la législation qui affectent la vie privée et de coopérer avec des autorités similaires pour garantir une protection cohérente des données.
Plus précisément, le CEPD a quatre domaines de travail principaux:
• Contrôle: nous surveillons le traitement des données personnelles par l'administration de l'UE et veillons à ce qu'elle se conforme aux règles de protection des données. Nos tâches vont de la conduite d'enquêtes au traitement des plaintes et aux consultations préalables sur les opérations de traitement.
• Consultation: nous conseillons la Commission européenne, le Parlement européen et le Conseil sur des propositions de nouvelle législation et d'autres initiatives liées à la protection des données.
• Veille technologique: nous suivons et évaluons les évolutions technologiques, lorsqu'elles ont un impact sur la protection des données personnelles, à un stade précoce, avec un accent particulier sur le développement des technologies de l'information et de la communication.
• Coopération: parmi d’autres partenaires, nous travaillons avec les autorités nationales de protection des données (APD) pour promouvoir une protection des données cohérente dans toute l'UE. Notre principale plate-forme de coopération avec les DPA est le Comité européen de la protection des données (EDPB) dont nous assurons le secrétariat.
D'autres exemples d'organes et d'agences européens que nous contrôlons sont Europol au titre du règlement 2016/794 et Eurojust au titre du règlement 2018/1727.
Notre mission est également de sensibiliser aux risques et de protéger les droits et libertés des personnes lors du traitement de leurs données personnelles.
Quel est notre rôle de contrôle?
Les institutions de l’UE nous consultent pour obtenir des conseils via leurs délégués à la protection des données. Certaines de ces consultations sont obligatoires, tandis que d'autres sont volontaires.
Des conseils peuvent être donnés sous la forme d'avis, de mesures, de consultations, de lettres ou de documents ainsi que de lignes directrices.
Vous pouvez en savoir plus sur notre rôle de contrôleur ici.
Quel est notre rôle de mise en application?
Si les institutions de l’UE ne respectent pas les règles de protection des données, le CEPD peut utiliser les pouvoirs de mise en application définis dans le règlement, tels que:
• adresser un avertissement ou une admonestation à l’institution;
• enjoindre à l’institution de donner suite à vos demandes tendant à faire valoir vos droits;
• imposer une interdiction temporaire ou définitive d'un traitement de données;
• infliger des amendes administratives.
Pour plus d'informations sur les facteurs pris en compte par le CEPD lors de l'imposition d'amendes ou de sanctions administratives, cliquez ici.
Qu’est-ce qu’est le Comité européen de la protection des données (EDPB)?
Le Comité européen de la protection des données (EDPB) est établi par le Règlement général sur la protection des données (RGPD). Il s’agit d’un organe européen indépendant, qui contribue à l’application cohérente des règles de protection des données dans toute l’Union européenne (États membres de l’UE) et qui promeut la coopération entre les autorités de protection des données (APD) de l’UE.
Le CEPD fournit un secrétariat indépendant à l’EDPB. Le Secrétariat offre un soutien administratif et logistique à l’EDPB, effectue des travaux d’analyse et contribue aux tâches de l’EDPB.
Un protocole d'accord fixe les conditions de coopération entre le CEPD et l’EDPB.
Comment travaillons-nous?
Au début de chaque mandat, le CEPD adopte une stratégie définissant les priorités pour les cinq prochaines années. Le 30 juin 2020, le Contrôleur Wojciech Wiewiórowski a dévoilé sa stratégie: Façonner un avenir numérique plus sûr: une nouvelle stratégie pour une nouvelle décennie. La stratégie du CEPD définit les actions et les objectifs directeurs jusqu'à la fin de 2024 sous trois piliers fondamentaux: prospective, action et solidarité.
Comment sommes-nous tenus responsables?
Afin de garantir que les actions du CEPD sont alignées sur ses objectifs et ses buts, la stratégie est régulièrement réexaminée en tant que point de référence pour notre personnel et nos parties prenantes.
Chaque année, vers le mois d’avril, le CEPD présente et rend public son rapport annuel mettant en évidence les principales actions et réalisations de l'année écoulée. Notre dernier rapport annuel 2019 est disponible ici.
Le CEPD a également publié le 3 décembre 2019 une revue de mandat détaillant et expliquant les travaux réalisés au cours de son mandat 2015-2019. Cette revue de mandat est intitulée Montrer l'exemple: CEPD 2015-2019.
Nous publions également régulièrement des avis, des lignes directrices, des documents pour informer et mettre à jour la communauté de la protection des données et le grand public de notre travail.
Qu’entend-on par données personnelles?
Les données à caractère personnel sont toutes les informations relatives à une personne physique identifiée ou identifiable.
En pratique, cela peut signifier votre nom, votre adresse e-mail, vos coordonnées, si vous participez à un événement tel qu'une visite d'étude par exemple au sein des institutions.
Si vous êtes membre du personnel de l'UE ou stagiaire, cela peut également inclure votre salaire, vos dossiers médicaux, l'évaluation des performances, les données de télécommunications, par exemple.
Que signifie le consentement?
Lorsqu'un individu donne son consentement au traitement de ses données personnelles, ce consentement doit être librement donné, spécifique, informé par une déclaration claire et sans ambiguïté indiquant un tel accord.
Que signifie le traitement des données personnelles?
Le traitement de données à caractère personnel désigne toute opération ou ensemble d'opérations, effectué sur des données personnelles, soit par des moyens manuels ou automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, le transfert, par exemple.
En pratique, cela peut être le cas lorsqu'une institution européenne recueille vos coordonnées.
Quand les institutions, organes et agences de l'UE traitent-ils vos données personnelles?
Les institutions de l’UE peuvent traiter vos données dans le cadre de diverses procédures administratives telles que le recrutement et l'emploi, les appels d'offres et les appels ouverts à manifestation d'intérêt, les visites d'étude.
Vos données ne peuvent être traitées que si elles servent une finalité légitime, un test de nécessité et de proportionnalité doit toujours être effectué au préalable.
Quels sont vos droits lorsque les institutions de l’UE traitent vos données personnelles?
En tant qu'individu, vous disposez d'un droit d'accès, d'un droit de rectification, d'un droit à l'effacement de vos données personnelles, d'un droit à la limitation du traitement, d'un droit d'opposition au traitement des données personnelles.
Comment le CEPD aide-t-il les institutions de l’UE à faire des choix responsables et éclairés lorsqu'elles traitent des données à caractère personnel?
Parallèlement à nos pouvoirs de surveillance, de contrôle et de mise en application, nous produisons régulièrement des fiches d'information sur divers aspects de la protection des données pour guider les délégués à la protection des données (DPD) et les autorités de protection des données (APD).
Qu'est-ce qu'un délégué à la protection des données, un responsable du traitement, un responsable conjoint et un sous-traitant?
Un délégué à la protection des données, tel que défini au chapitre IV section 6 du règlement 2018/1725, est généralement un membre du personnel de l'institution, de l'organe ou de l'agence de l'UE désigné pour un mandat de trois à cinq ans. Ils doivent être indépendants, impartiaux, respecter la confidentialité et conseiller le responsable du traitement notamment dans le cadre de la réalisation d'analyses d'impact sur la protection des données, par exemple. Une liste complète des DPD des institutions, organes et agences de l’UE est disponible ici.
Un responsable du traitement est chargé de déterminer les finalités et les moyens du traitement des données personnelles. Le responsable du traitement doit vérifier si le traitement des données est conforme à un certain nombre de principes, tels que la licéité, l'équité, la transparence, la finalité. On parle de responsable conjoint lorsqu’il y a plus d’un responsables de traitement tel que mentionné à l’article 28 du règlement 2018/1725. Vous pouvez trouver plus d'informations sur les devoirs d'un responsable de traitement ici.
Un sous-traitant traite les données personnelles conformément aux instructions du responsable du traitement, régies par un contrat ou un acte juridique contraignant. Ils doivent documenter les opérations de traitement et ne traiter les données qu'avec une autorisation préalable et à des fins légitimes. Vous trouverez plus d'informations sur les devoirs d'un sous-traitant ici.
Qu'est-ce que la confidentialité?
La confidentialité signifie l'obligation de ne pas partager d'informations avec des personnes qui ne sont pas qualifiées pour recevoir ces informations, comme indiqué à l'article 4 du règlement 2018/1725.
Qu'est-ce qu'une violation de données?
Une violation de données à caractère personnel désigne une violation de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès à des données à caractère personnel transmises, stockées ou autrement traitées.
Comment le CEPD peut-il vous aider?
Le champ des compétences du CEPD couvre uniquement le traitement des données à caractère personnel des institutions, organes et agences de l'UE.
Si un individu croit que ses données sont inexactes ou ont été traitées à tort par une entreprise ou une organisation dont les activités sont exercées dans l'UE, il doit d'abord contacter l'autorité nationale de protection des données de son pays d'origine.
Comment déposer une réclamation auprès du CEPD si une institution, un organe ou une agence de l’UE traite à tort vos données à caractère personnel?
Le CEPD vous recommande d'informer d'abord l'institution de l’UE responsable du traitement de vos données et de lui demander de prendre des mesures.
Si vous n'obtenez pas de réponse ou si vous n'êtes pas satisfait de cette réponse, n’hésitez pas à contacter le délégué à la protection des données (DPD) de l’institution concernée.
Vous pouvez également déposer une réclamation auprès du CEPD, qui examinera votre demande et adoptera les mesures nécessaires.
Vous pouvez également introduire un recours devant la Cour de justice de l'Union européenne.
Le formulaire de plainte du CEPD et toutes les informations relatives sont disponibles ici.
Mes données personnelles peuvent-elles être transférées hors de l'Union européenne?
Dans leurs activités quotidiennes, les institutions et organes de l'UE peuvent avoir besoin de transférer des données à caractère personnel à des destinataires en dehors de l'Union européenne; ces activités peuvent inclure des relations avec des entités publiques étrangères (pour des enquêtes antifraude ou sur la concurrence, par exemple), l'externalisation de services à des fournisseurs externes situés en dehors de l'UE et/ou le traitement des données en dehors de l'UE (par exemple, le cloud computing, les services Internet) ou lors de l'organisation de voyages de travail du personnel dans des pays tiers. Plus d'informations sur les transferts internationaux de données.
Comment puis-je suivre les activités du CEPD?
Le CEPD publie régulièrement divers communiqués de presse, publications, fiches d'information et autres contenus afin de tenir la communauté de la protection des données au courant de ses travaux sur le site Internet et les réseaux sociaux Twitter, LinkedIn et YouTube.
Vous pouvez également vous abonner à notre newsletter mensuelle, qui vous donne un récapitulatif de toutes les activités du CEPD de manière courte, concise et informative.
Nous essayons de rendre notre travail dans le domaine de la protection des données aussi accessible que possible, mais si vous n'êtes toujours pas sûr de certains termes juridiques que nous utilisons, vous pouvez trouver plus d'informations dans notre Glossaire.
Si vous avez d'autres questions, n’hésitez pas à nous contacter.