Extrait du texte de l’article 55 – Compétence
” Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable. ”
article 42
L’analyse de l’article – Compétence de la CNIL
L’article 55 sur les « compétences » de l’autorité de contrôle du RGPD expliqué pour comprendre sans être juriste.
Le pouvoir de l’autorité de contrôle.
Compétences limitées au territoire national
L’article 55 du Règlement Général sur la Protection des Données a pour but d’expliquer le fonctionnement de l’organe de suivi du traitement des données. Il définit ses compétences ainsi que son secteur d’intervention. Chaque pays dispose de sa propre autorité de contrôle conformément à l’article 54 du RGPD. Ainsi, le pouvoir de cet organe se limite au territoire national. Vous avez des soucis concernant l’exploitation de vos informations personnelles dans le pays où vous êtes établi ? Vous pouvez saisir l’APD de ce pays. La résolution du problème se fait selon les règlements de la protection de données en vigueur dans l’Union européenne.
Vous avez installé votre entreprise dans un pays membre de l’UE ? Vous avez remarqué des fuites de données confidentielles de vos clients ou des fraudes ? Le règlement de ces problèmes incombe à l’autorité de contrôle du pays d’implantation de votre établissement. Vous pouvez le saisir en cas de besoin. Vous engagez des sous-traitants en dehors de l’Union pour exploiter vos informations ? Tant que ces dernières concernent des personnes domiciliées dans le pays d’implantation de l’entreprise, cette même autorité est le garant de leur sécurité. À ce moment, elle est le « chef de fil » (comme le définit l’article 56 du RGPD).
Manipulation des données par les autorités publiques
Dans le cadre d’une action précise, les autorités publiques peuvent être amenées à traiter des informations classées confidentielles. Elles font partie des « tiers autorisés » conformément aux articles 4 à 10 du RGPD. Parmi elles comptent, par exemple :
● Les administrateurs fiscaux
● Les responsables de la sécurité sociale (dans le but de prévenir les risques de fraude)
● Les organes d’instruction
● Les responsables de la sécurité publique
● Les organes de suivi et de paiement du RSA
D’après l’article 55 du RGPD, le suivi du traitement des données concernées relève encore de la responsabilité de l’autorité de contrôle du pays. Le même texte s’applique dans le cas où les données sont entre les mains d’un organe privé intervenant dans le domaine public (cité dans le paragraphe 1 de l’article 6 du règlement sur la protection des données). Dans ces deux cas, l’article 56 ne peut pas prendre effet.
Limite du pouvoir de l’autorité de contrôle (CNIL)
L’autorité de contrôle ne détient pas le plein pouvoir même dans son pays d’intervention. C’est le cas, lorsque les données mises sous son autorité sont traitées à des fins juridiques. Vous détenez des informations confidentielles concernant un de vos clients ? La juridiction vous les réclame dans le cadre d’une enquête ? Vous êtes contraint de vous soumettre à sa volonté. À ce moment, l’autorité de contrôle ne peut pas vous être d’un grand secours. Elle n’est pas en mesure de suivre le traitement des données concernées.
Il est important de noter que les autorités juridiques font également partie des tiers autorisés. Cependant, contrairement aux autres, elles sont libres de traiter les données qui leur sont confiées dans le but de résoudre un litige.
