COMMISSION EUROPÉENNE

Bruxelles, le 4.7.2023

COM(2023) 348 final

2023/0202(COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679

EXPOSÉ DES MOTIFS

1.CONTEXTE DE LA PROPOSITION

•Justification et objectifs de la proposition

·Réclamations: les réclamations sont une source d’information essentielle pour déceler les violations des règles de protection des données. Les APD ont des interprétations divergentes en ce qui concerne les exigences relatives au formulaire de réclamation, à la participation des auteurs de réclamation à la procédure et au rejet des réclamations. À titre d’exemple, une réclamation acceptée par certaines APD pourrait être rejetée par d’autres au motif qu’elle ne fournit pas suffisamment d’informations; certaines APD octroient aux auteurs de réclamation les mêmes droits qu’aux parties faisant l’objet de l’enquête, alors que d’autres ne prévoient pas la participation des auteurs de réclamation ou ne les associent que de manière très limitée; certaines ADP adoptent une décision formelle pour rejeter toutes les réclamations auxquelles il ne sera pas donné suite, tandis que d’autres ne le font pas. Ces différences aboutissent à ce que le traitement des réclamations et la participation de leurs auteurs à la procédure varient en fonction du lieu où la réclamation est introduite ou de l’ADP qui est cheffe de file dans une situation donnée. En conséquence, elles retardent la conclusion de l’enquête et la mise en œuvre d’une mesure réparatoire pour la personne concernée dans les situations transfrontalières. Dans sa résolution concernant le rapport d’évaluation de la Commission de 2020 sur le RGPD, le Parlement européen a souligné la nécessité de clarifier la position des auteurs de réclamation dans les situations transfrontalières.

·Droits procéduraux des parties faisant l'objet de l'enquête: les droits de la défense des parties faisant l’objet de l’enquête constituent un principe fondamental du droit de l’Union qui doit être respecté en toutes circonstances, en particulier dans les procédures qui risquent de donner lieu à des sanctions élevées. Compte tenu de la sévérité potentielle des sanctions qui peuvent être infligées, les parties faisant l’objet d’une enquête portant sur une violation du RGPD doivent bénéficier de garanties similaires à celles prévues dans les procédures revêtant un caractère pénal. Les droits procéduraux des parties faisant l’objet de l’enquête, tels que la portée du droit d’être entendu et du droit d’accès au dossier, varient considérablement d’un État membre à un autre. La mesure dans laquelle les parties sont entendues, le stade auquel elles peuvent faire connaître leur point de vue et les documents qui leur sont fournis pour leur permettre d’exercer leur droit d’être entendues sont des points sur lesquels les États membres adoptent des approches différentes. Ces approches divergentes ne sont pas toujours compatibles avec la procédure prévue à l’article 60 du RGPD, qui repose sur la prémisse que les parties faisant l’objet de l’enquête ont exercé leurs droits procéduraux avant que le projet de décision ne soit présenté par l’APD cheffe de file. Lorsqu’un litige est soumis au comité à des fins de règlement, la mesure dans laquelle les parties ont été entendues sur les points soulevés dans le projet de décision et sur les objections des APD concernées peut varier. En outre, la mesure dans laquelle les parties faisant l’objet de l’enquête doivent être entendues au cours du processus de règlement du litige par le comité prévu à l’article 65 manque de clarté. L’absence de garantie du droit d’être entendu peut rendre les décisions des APD constatant des violations du RGPD plus contestables sur le plan juridique.

·Coopération et règlement des litiges: l’article 60 du RGPD expose les grandes lignes de la procédure de coopération. Dans les situations transfrontalières, les ADP sont tenues d’échanger toute «information utile» en s’efforçant de parvenir à un consensus. Une fois que l’APD cheffe de file a soumis un projet de décision, les autres APD ont la possibilité de formuler des «objections pertinentes et motivées». Ces objections font naître la possibilité de recourir à la procédure de règlement des litiges (lorsqu’elles ne sont pas suivies par l’APD cheffe de file). La procédure de règlement des litiges prévue à l’article 65 du RGPD constitue certes un élément essentiel pour garantir l’interprétation cohérente du RGPD, mais elle devrait être réservée aux situations exceptionnelles dans lesquelles la coopération loyale entre APD n’a pas débouché sur un consensus. Le bilan de l’application du RGPD dans les situations transfrontalières montre qu’«avant la soumission d’un projet de décision» par l’APD cheffe de file, la coopération entre les APD est insuffisante. Le manque de coopération et de recherche d’un consensus sur les points essentiels pendant l’enquête à ce stade précoce a conduit à ce que de nombreux cas soient portés devant le comité de règlement des litiges.

Les objections pertinentes et motivées soumises par les ADP durant la procédure de coopération transfrontalière sont disparates tant par la forme que par la structure. Ces divergences empêchent l’achèvement efficace de la procédure de règlement des litiges et la participation de toutes les APD concernées à la procédure, en particulier les APD de petits États membres, qui disposent de moins de ressources que celles d’États membres plus grands.

·Le RGPD ne fixe pas de délais pour les différentes étapes de la procédure de coopération et de règlement des litiges. À la lumière de la complexité variable des enquêtes et du pouvoir discrétionnaire dont les APD disposent pour enquêter sur les violations du RGPD, il n’est pas souhaitable de fixer des délais pour chaque étape de la procédure. Toutefois, l’introduction de délais lorsqu’il y a lieu contribuera à empêcher les retards indus dans le règlement des litiges.

·Formulaire de réclamation et position des auteurs de réclamation: la proposition contient un formulaire précisant les informations requises pour toute réclamation introduite conformément à l’article 77 du RGPD concernant un traitement transfrontalier et précise les règles de procédure applicables à la participation des auteurs de la réclamation à la procédure, y compris leur droit d’être entendus. Elle expose les règles de procédure applicables au rejet des réclamations dans les situations transfrontalières et clarifie le rôle de l’APD cheffe de file et des APD auprès desquelles la réclamation a été introduite dans ces situations. Elle reconnaît l’importance et la légalité du règlement amiable des cas fondés sur des réclamations.

·Harmonisation ciblée des droits procéduraux dans les situations transfrontalières: la proposition donne aux parties faisant l’objet de l'enquête le droit d’être entendues à des étapes clés de la procédure, notamment au cours du règlement du litige par le comité, et clarifie le contenu du dossier administratif ainsi que le droit des parties d’accéder à ce dernier. La proposition renforce ainsi les droits de la défense des parties et garantit leur respect cohérent indépendamment de l’APD qui mène l’enquête.

·Rationaliser la coopération et le règlement des litiges: la proposition dote les APD des outils nécessaires pour parvenir à un consensus en ajoutant de la substance à l’exigence faite aux ADP, à l’article 60 du RGPD, de coopérer et de partager toute «information utile». Le règlement établit un cadre permettant à toutes les APD d’avoir une incidence significative dans une situation transfrontalière en donnant leur avis à un stade précoce de la procédure d’enquête et en ayant recours à tous les outils prévus par le RGPD. Cela permettra surtout de faciliter la formation d’un consensus et de réduire la probabilité de désaccords à un stade avancé de la procédure, ce qui nécessiterait le recours au mécanisme de règlement des litiges. En cas de désaccord entre les APD sur la question clé de la portée de l’enquête dans des cas fondés sur des réclamations, la proposition confie au comité le rôle de régler le désaccord en adoptant une décision contraignante d’urgence. Le fait de demander au comité de trancher cette question autonome donne à l’APD cheffe de file la clarté nécessaire pour poursuivre l’enquête et garantit que le désaccord sur la portée de l’enquête ne nécessitera pas de recourir au mécanisme de règlement des litiges prévu à l’article 65.

La proposition énonce des exigences précises concernant la forme et la structure des objections pertinentes et motivées soulevées par les APD concernées, facilitant ainsi la participation effective de toutes les APD et la résolution ciblée et rapide de l’affaire.

·La proposition fixe des délais pour la procédure de règlement des litiges, précise les informations que l’APD cheffe de file doit fournir lors de la soumission de la question au mécanisme de résolution des litiges, et clarifie le rôle de tous les acteurs participant au règlement des litiges (APD cheffe de file, APD concernées et comité). Ainsi, la proposition facilite l’achèvement rapide de la procédure de règlement des litiges pour les parties faisant l’objet de l’enquête et les personnes concernées.

•Cohérence avec les dispositions existantes dans le domaine d'action

•Cohérence avec les autres politiques de l'Union

2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ

•Base juridique

•Subsidiarité (en cas de compétence non exclusive)

•Proportionnalité

•Choix de l'instrument

3.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D'IMPACT

•Évaluations ex post/bilans de qualité de la législation existante

·les procédures administratives nationales, notamment en ce qui concerne: les procédures de traitement des réclamations, les critères de recevabilité des réclamations, la durée des procédures en raison des délais différents ou de l’absence de délais, le moment de l’octroi du droit d’être entendu au cours de la procédure, l’information et la participation des auteurs de réclamation au cours de la procédure;

·les interprétations des notions relatives au mécanisme de coopération; et

·l’approche adoptée concernant le moment auquel lancer la procédure de coopération, permettre aux APD concernées de participer à celle-ci et leur communiquer des informations.

•Consultation des parties intéressées

·Le comité: le comité se compose des APD, les autorités chargées de faire appliquer le RGPD. Il a pour mission, entre autres, de régler les litiges dans les situations transfrontalières relevant du RGPD. La Commission a donc tenu dûment compte de l’avis du comité à toutes les étapes de la phase préparatoire. En premier lieu, la proposition aborde les problèmes énumérés dans la liste que le comité a transmise à la Commission en octobre 2022, qui recense les aspects de la procédure d’application transfrontalière qui pourraient être harmonisés au niveau de l’UE. La proposition remédie à la plupart des problèmes énumérés par le comité dans cette liste. Dans certains cas, la Commission a décidé de ne pas remédier au problème, en particulier lorsqu’elle a estimé que celui-ci était déjà réglé de manière adéquate par le RGPD ou qu’il convenait de laisser à l’APD cheffe de file ou au droit national le soin d’y apporter une solution. Par ailleurs, la proposition règle certaines questions en plus de celles mentionnées par le comité dans sa liste, lorsque la Commission l’a jugé nécessaire pour permettre le bon fonctionnement de l’application transfrontalière et le respect des garanties procédurales. La Commission a également mené une consultation ciblée, portant sur certains aspects de la proposition, avec les sous-groupes du comité traitant de la coopération et de l’application transfrontalières lors de réunions qui se sont tenues le 21 mars 2023 et le 24 avril 2023, afin de bénéficier de l’expertise des ADP traitant ces questions au quotidien. Le comité s’est montré pleinement favorable au fait que la Commission agisse dans ce domaine et a fourni une contribution précieuse à la Commission lors des réunions de mars et d’avril 2023.

·Le groupe d’experts multipartite du RGPD: ce groupe d’experts, créé pour assister la Commission dans l’application du RGPD, est composé de représentants de la société civile, d’entreprises, du monde universitaire et de praticiens du droit. Il s’est montré largement favorable à ce que la Commission agisse dans ce domaine au moyen d’une proposition législative. Une réunion organisée le 19 octobre 2022 a été l’occasion d’une première discussion sur la liste du comité d’octobre 2022 et une seconde réunion, le 21 avril 2023, a permis à la Commission de procéder à une consultation sur des aspects particuliers de la proposition. Compte tenu de la grande diversité des parties prenantes représentées au sein de ce groupe, les avis sur ces aspects particuliers de la proposition ont été variés. Toutes les parties prenantes étaient favorables à l’introduction d’un cadre juridique pour le règlement amiable dans la proposition. Les ONG ont salué l’intention de la Commission d’harmoniser le formulaire de réclamation et ont soutenu la participation des auteurs de réclamation à la procédure, notant les grandes différences dans le traitement des réclamations d’un État membre à un autre. Les groupes sectoriels représentant les responsables du traitement et les sous-traitants ont souligné la nécessité de donner aux parties faisant l’objet de l’enquête le droit d’être entendues et la nécessité d’encourager la résolution des désaccords entre les APD à un stade précoce du processus d’enquête.

·Le groupe d’experts des États membres sur le RGPD: ce groupe d’experts sert d’espace d’échange de points de vue et d’informations entre la Commission et les États membres sur la manière dont le RGPD est appliqué. La Commission a demandé l’avis des États membres sur la liste du comité d’octobre 2022 avant le début du processus de rédaction. Dans l’ensemble, les États membres ont soutenu et bien accueilli l’idée d’une proposition d’initiative législative visant à renforcer l’application transfrontalière du RGPD. Toutefois, certains États membres dotés de règles de procédure horizontales applicables à toutes les procédures administratives ont décelé des interférences possibles avec ces règles, en particulier en ce qui concerne l’harmonisation des droits des parties d’être entendues et la participation des auteurs de réclamation à la procédure. En conséquence, dans la proposition, la Commission a soigneusement limité l’harmonisation de ces aspects aux situations transfrontalières et à la mesure nécessaire pour garantir le bon fonctionnement du mécanisme de coopération et de règlement des litiges. La Commission a organisé une réunion spéciale avec le groupe d’experts des États membres sur le RGPD le 19 avril 2023.

•Obtention et utilisation d'expertise

•Analyse d’impact

·APD – l’initiative soutiendra la procédure de coopération et clarifiera les modalités et le calendrier de la coopération dans les situations transfrontalières. Cela permettra aux APD d’utiliser leurs ressources de manière plus efficiente. En outre, en dotant les APD d’outils permettant d’améliorer leur coopération dans les situations transfrontalières, l’initiative facilitera la recherche de consensus entre les APD, réduira le nombre de désaccords et encouragera un esprit de coopération.

·Auteurs de réclamation et personnes concernées – la rationalisation de la coopération entre les APD lors de l’application du RGPD contribuera à l’achèvement des enquêtes en temps utile. Cela permettra de traiter plus efficacement les violations du RGPD et d’offrir une mesure réparatoire rapide aux personnes concernées. En outre, les auteurs de réclamation auront la même possibilité de participer à la procédure dans les situations transfrontalières quels que soient le lieu d’introduction de la réclamation ou l’APD qui est cheffe de file.

·Parties faisant l’objet d’une enquête – l’amélioration de la coopération dans les situations transfrontalières contribuera à raccourcir les enquêtes et à garantir la fourniture des garanties nécessaires, telles que le droit d’être entendu et d’accéder au dossier, ce qui garantit la protection du droit à une bonne administration (article 41 de la charte) et les droits de la défense (article 48 de la charte) pour les parties faisant l’objet de l’enquête. L’harmonisation de ces droits rendra également la décision finale plus solide.

·Confiance du public dans le RGPD – l’initiative renforcera la confiance du public dans le RGPD en facilitant une résolution plus rapide des enquêtes et en réduisant le nombre de désaccords entre les APD dans les situations transfrontalières.

•Réglementation affûtée et simplification

•Droits fondamentaux

4.INCIDENCE BUDGÉTAIRE

5.AUTRES ÉLÉMENTS

•Plans de mise en œuvre et modalités de suivi, d'évaluation et d'information

•Documents explicatifs (pour les directives)

•Explication détaillée de certaines dispositions de la proposition

2023/0202 (COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen 14 ,

vu l’avis du Comité des régions 15 ,

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1)Le règlement (UE) 2016/679 du Parlement européen et du Conseil 16 établit un système de mise en œuvre décentralisée qui vise à garantir son interprétation et son application cohérentes dans les situations transfrontalières. Dans les situations concernant un traitement transfrontalier de données à caractère personnel, ce système exige des autorités de contrôle qu’elles coopèrent en s’efforçant de parvenir à un consensus et, lorsqu’elles ne parviennent pas à dégager un consensus, il prévoit le règlement du litige par le comité européen de la protection des données (ci-après le «comité»).

(2)Afin de permettre un fonctionnement harmonieux et efficace des mécanismes de coopération et de règlement des litiges prévus aux articles 60 et 65 du règlement (UE) 2016/679, il y a lieu d’établir des règles concernant la conduite de la procédure par les autorités de contrôle dans les situations transfrontalières, et par le comité lors du règlement des litiges, incluant le traitement des réclamations transfrontalières. Il y a également lieu, pour cette raison, d’établir des règles concernant l’exercice, par les parties faisant l’objet de l'enquête, du droit d’être entendues avant l’adoption de décisions par les autorités de contrôle et, s’il y a lieu, par le comité.

(3)Les réclamations sont une source d’information essentielle pour déceler les violations des règles de protection des données. Il est nécessaire de définir des procédures claires et efficientes pour le traitement des réclamations dans les situations transfrontalières, car une réclamation peut être traitée par une autorité de contrôle différente de celle auprès de laquelle elle a été introduite.

(4)Pour être recevable, une réclamation devrait contenir certaines informations précises. En conséquence, pour aider l'auteur de la réclamation à exposer les faits pertinents aux autorités de contrôle, un formulaire de réclamation devrait être fourni. Les informations prévues par ce formulaire ne devraient être requises qu’en cas de traitement transfrontalier au sens du règlement (UE) 2016/679, même si le formulaire peut être utilisé par les autorités de contrôle dans des situations qui ne concernent pas un traitement transfrontalier. Le formulaire peut être présenté par voie électronique ou postale. Une réclamation concernant un traitement transfrontalier ne pourra être qualifiée de réclamation au sens de l’article 77 du règlement (UE) 2016/679 qu’à la condition que soient fournies les informations prévues par ledit formulaire. Aucune autre information ne devrait être exigée pour qu’une réclamation soit jugée recevable. Il devrait être possible pour les autorités de contrôle de faciliter l’introduction de réclamations dans un format électronique convivial et en tenant compte des besoins des personnes handicapées, tant que les informations requises de la part de l’auteur de la réclamation correspondent à celles demandées sur le formulaire et qu’aucune information supplémentaire n’est requise pour que la réclamation soit jugée recevable.

(5)Les autorités de contrôle sont tenues de statuer sur les réclamations dans un délai raisonnable. Le caractère raisonnable du délai s’apprécie en fonction des circonstances propres à chaque situation et, en particulier, du contexte de celle-ci, des différentes étapes procédurales que l’autorité de contrôle chef de file doit suivre, du comportement des parties au cours de la procédure et de la complexité de la situation.

(6)Chaque réclamation traitée par une autorité de contrôle conformément à l’article 57, paragraphe 1, point f), du règlement (UE) 2016/679 doit être examinée avec toute la diligence requise, dans la mesure nécessaire et en tenant compte du fait que tout usage de ses pouvoirs par l’autorité de contrôle doit être approprié, nécessaire et proportionné en vue de garantir le respect du règlement (UE) 2016/679. Il revient à chaque autorité compétente de décider de la mesure dans laquelle une réclamation devrait être examinée. Tout en évaluant la mesure nécessaire à une enquête, les autorités de contrôle devraient viser à parvenir à une solution satisfaisante pour l’auteur de la réclamation, ce qui peut ne pas nécessairement exiger un examen exhaustif de tous les éléments juridiques et factuels possibles découlant de la réclamation mais offre à l’auteur de la réclamation une mesure réparatoire effective et rapide. L’appréciation de la mesure appropriée pour les mesures d’enquêtes requises pourrait être fondée sur la gravité de la violation alléguée, la nature systémique ou répétée de celle-ci, ou, s’il y a lieu, le fait que l’auteur de la réclamation a aussi exercé ses droits au titre de l’article 79 du règlement (UE) 2016/679. 

(7)L’autorité de contrôle chef de file devrait communiquer à l’autorité de contrôle auprès de laquelle la réclamation a été introduite les informations sur l’état d’avancement de l’enquête nécessaires pour tenir l’auteur de la réclamation informé.

(8)L’autorité de contrôle compétente devrait donner à l’auteur de la réclamation accès aux documents sur la base desquels l’autorité de contrôle a conclu à titre préliminaire au rejet, total ou partiel, de la réclamation.

(9)Pour que les autorités de contrôle puissent rapidement mettre fin aux violations du règlement (UE) 2016/679 et apporter une réponse aux auteurs de réclamation, elles devraient s’efforcer, lorsqu’il y a lieu, de trouver une issue amiable aux réclamations. Le fait qu’une réclamation individuelle ait fait l’objet d’un règlement à l’amiable n’empêche pas l’autorité de contrôle compétente d’ouvrir une enquête d’office, par exemple en cas de violations systémiques ou répétées du règlement (UE) 2016/679.  

(10)Pour garantir le bon fonctionnement des mécanismes de coopération et de contrôle de la cohérence établis au chapitre VII du règlement (UE) 2016/679, il importe que les situations transfrontalières soient traitées en temps opportun et dans l’esprit de coopération loyale et efficace qui sous-tend l’article 60 dudit règlement. L’autorité de contrôle chef de file devrait exercer ses compétences dans le cadre d’une coopération étroite avec les autres autorités de contrôle concernées. De même, les autorités de contrôle concernées devraient participer activement à l’enquête à un stade précoce en s’efforçant de parvenir à un consensus, en faisant pleinement usage des outils mis à disposition par le règlement (UE) 2016/679.

(11)Il est particulièrement important pour les autorités de contrôle de parvenir à un consensus sur les principaux aspects de l’enquête aussi rapidement que possible et avant la communication des allégations aux parties faisant l’objet de l’enquête et l’adoption du projet de décision visé à l’article 60 du règlement (UE) 2016/679, ce qui réduit le nombre de cas soumis au mécanisme de règlement des litiges visé à l’article 65 dudit règlement et, en fin de compte, permet le traitement rapide des situations transfrontalières.

(12)La coopération entre les autorités de contrôle devrait être basée sur un dialogue ouvert permettant aux autorités de contrôle concernées d’influencer de manière utile le cours de l’enquête en partageant leurs expériences et leurs avis avec l’autorité de contrôle chef de file, en tenant dûment compte de la marge de manœuvre laissée à chaque autorité de contrôle, notamment pour évaluer dans quelle mesure une réclamation devrait faire l’objet d’une enquête, ainsi que des diverses traditions qui existent dans les États membres. Pour ce faire, l’autorité de contrôle chef de file devrait fournir aux autorités de contrôle concernées un résumé des points essentiels dans lequel elle expose son avis préliminaire sur les principales questions soulevées dans l’enquête. Ce résumé devrait être fourni à un stade à la fois suffisamment précoce pour permettre la participation effective des autorités de contrôle concernées et suffisamment avancé pour que l’autorité de contrôle chef de file ait eu le temps de mûrir son avis sur le dossier. Les autorités de contrôle concernées devraient avoir la possibilité de formuler leurs observations sur un large éventail de questions, telles que la portée de l’enquête et l’identification d’appréciations factuelles et juridiques complexes. La portée de l’enquête déterminant les questions qui doivent être examinées par l’autorité de contrôle chef de file, les autorités de contrôle devraient s’efforcer de parvenir le plus tôt possible à un consensus sur celle-ci.

(13)Dans l’intérêt d’une coordination efficace et inclusive entre toutes les autorités de contrôle concernées et l’autorité de contrôle chef de file, les observations des autorités de contrôle concernées devraient être concises et formulées dans des termes suffisamment clairs et précis pour être facilement compréhensibles par toutes les autorités de contrôle. Les arguments juridiques devraient être structurés en fonction de la partie du résumé des points essentiels qu’ils concernent. Les observations des autorités de contrôle concernées peuvent être complétées par des documents supplémentaires. Toutefois, un simple renvoi, dans les observations d’une autorité de contrôle concernée, à des documents supplémentaires ne saurait pallier l’absence des arguments essentiels en droit ou en fait qui devraient figurer dans les observations. Les éléments essentiels de fait et de droit sur lesquels ces documents se fondent devraient ressortir, à tout le moins sommairement, mais d’une façon cohérente et compréhensible, du texte de l’observation elle-même.

(14)Les cas ne soulevant pas de problème litigieux ne nécessitent pas de discussions approfondies entre les autorités de contrôle pour parvenir à un consensus et pourraient, de ce fait, être traités plus rapidement. Lorsqu’aucune des autorités de contrôle concernées ne formule d’observations sur le résumé des points essentiels, l’autorité de contrôle chef de file devrait communiquer les conclusions préliminaires visées à l’article 14 dans un délai maximal de neuf mois.

(15)Les autorités de contrôle devraient utiliser tous les moyens nécessaires pour parvenir à un consensus dans un esprit de coopération loyale et effective. En conséquence, en cas de divergence d’opinions entre les autorités de contrôle concernées et l’autorité de contrôle chef de file concernant la portée d’une enquête menée sur la base d’une réclamation, notamment les dispositions du règlement (UE) 2016/679 dont la violation fera l’objet d’une enquête ou si les observations des autorités de contrôle concernées ont trait à une modification importante dans l’appréciation juridique ou technologique complexe, l’autorité concernée devrait utiliser tous les outils prévus aux articles 61 et 62 du règlement (UE) 2016/679.

(16)Si l’utilisation de ces outils ne permet pas aux autorités de contrôle de parvenir à un consensus sur la portée d’une enquête menée sur la base d'une réclamation, l’autorité de contrôle chef de file devrait demander au comité une décision contraignante d’urgence au titre de l’article 66, paragraphe 3, du règlement (UE) 2016/679. Pour ce faire, les circonstances permettant de considérer qu’il est urgent d’intervenir devraient être réputées réunies. L’autorité de contrôle chef de file devrait tirer des conclusions appropriées de la décision contraignante d’urgence du comité aux fins de l’établissement des conclusions préliminaires. La décision contraignante d’urgence adoptée par le comité ne saurait préjuger du résultat de l’enquête de l’autorité de contrôle chef de file ni de l’effectivité des droits des parties faisant l’objet de l’enquête d’être entendues. Plus précisément, le comité ne devrait pas étendre la portée de l’enquête de sa propre initiative.

(17)Afin de permettre à l’auteur de la réclamation d’exercer son droit à un recours juridictionnel effectif au titre de l’article 78 du règlement (UE) 2016/679, l’autorité de contrôle qui rejette une réclamation, en tout ou en partie, devrait le faire au moyen d’une décision susceptible d’être contestée devant une juridiction nationale.

(18)L'auteur de la réclamation devrait avoir la possibilité de faire connaître son point de vue avant que ne soit prise une décision qui ne lui est pas favorable. En conséquence, en cas de rejet total ou partiel d’une réclamation dans une situation transfrontalière, l’auteur de la réclamation devrait avoir la possibilité de faire connaître son point de vue avant la présentation d’un projet de décision au titre de l’article 60, paragraphe 3, du règlement (UE) 2016/679, d’un projet de décision révisé au titre de l’article 60, paragraphe 4, du règlement (UE) 2016/679 ou d’une décision contraignante du comité au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679. L’auteur de la réclamation peut demander l’accès à la version non confidentielle des documents sur lesquels se fonde la décision de rejet total ou partiel de la réclamation.

(19)Il est nécessaire de clarifier la répartition des responsabilités entre l’autorité de contrôle chef de file et l’autorité de contrôle auprès de laquelle la réclamation a été introduite en cas de rejet d’une réclamation dans une situation transfrontalière. En tant que point de contact de l’auteur de la réclamation au cours de l’enquête, l’autorité de contrôle auprès de laquelle la réclamation a été introduite devrait recueillir l’avis de l’auteur de la réclamation sur le rejet proposé de celle-ci et être chargée de toutes les communications avec ce dernier. Toutes ces communications devraient être partagées avec l’autorité de contrôle chef de file. Étant donné que, en vertu de l’article 60, paragraphe 8 et 9, du règlement (UE) 2016/679, l’autorité de contrôle auprès de laquelle la réclamation a été introduite est chargée d’adopter la décision finale rejetant la réclamation, cette autorité de contrôle devrait également être chargée d’élaborer le projet de décision en vertu de l’article 60, paragraphe 3, du règlement (UE) 2016/679.

(20)L'application effective des règles de protection des données de l’Union devrait être compatible avec le respect intégral des droits de la défense, principe essentiel du droit de l’Union, à respecter en toutes circonstances, en particulier dans les procédures qui risquent de donner lieu à des sanctions.

(21)Afin de garantir effectivement le droit à une bonne administration et les droits de la défense consacrés par la charte des droits fondamentaux de l’Union européenne (ci-après la «charte»), y compris le droit de chacun à être entendu avant que soit prise toute mesure individuelle susceptible de lui porter atteinte, il importe de prévoir des règles claires concernant l’exercice de ce droit.

(22)Les règles relatives à la procédure administrative appliquées par les autorités de contrôle pour assurer l’exécution du règlement (UE) 2016/679 devraient garantir que les parties faisant l’objet de l’enquête ont effectivement la possibilité de faire connaître leur point de vue sur la réalité et la pertinence des faits, objections et circonstances invoqués par l’autorité de contrôle tout au long de la procédure, leur permettant ainsi d’exercer leurs droits de la défense. Les conclusions préliminaires exposent la position préliminaire sur la violation alléguée du règlement (UE) 2016/679 à la suite de l’enquête. Elles constituent de ce fait une garantie procédurale fondamentale qui permet le respect du droit d'être entendu. Les parties faisant l’objet de l’enquête devraient recevoir les documents nécessaires pour se défendre efficacement et faire part de leurs observations sur les allégations formulées à leur encontre, en ayant accès au dossier administratif.

(23)Les conclusions préliminaires définissent la portée de l’enquête et donc la portée de toute décision finale future [le cas échéant, prise sur la base d’une décision contraignante rendue par le comité en vertu de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679] qui peut être adressée aux responsables du traitement ou aux sous-traitants. Elles devraient être rédigées en des termes qui, même succincts, sont suffisamment clairs pour permettre aux parties faisant l’objet de l’enquête d’identifier correctement la nature de la violation alléguée du règlement (UE) 2016/679. L’obligation de fournir aux parties faisant l’objet de l’enquête tous les éléments d’information nécessaires pour leur permettre de se défendre correctement est satisfaite si la décision finale ne fait pas grief aux parties faisant l’objet de l’enquête d’avoir commis des infractions autres que celles mentionnées dans les conclusions préliminaires et ne prend en considération que les faits sur lesquels les parties faisant l’objet de l’enquête ont eu l’occasion de faire connaître leur point de vue. La décision finale de l’autorité de contrôle chef de file ne doit toutefois pas nécessairement être une copie des constatations préliminaires. L’autorité de contrôle chef de file devrait être autorisée, dans la décision finale, à tenir compte des réponses des parties faisant l’objet de l’enquête aux conclusions préliminaires et, le cas échéant, au projet de décision révisé relevant de l’article 60, paragraphe 5, du règlement (UE) 2016/679 et à la décision de règlement du litige entre les autorités de contrôle adoptée en vertu de l’article 65, paragraphe 1, point a). L’autorité de contrôle chef de file devrait pouvoir procéder à sa propre appréciation des faits et des qualifications juridiques avancés par les parties faisant l’objet de l’enquête, soit pour abandonner les objections formulées lorsque l’autorité de contrôle les juge infondés, soit pour compléter et reformuler ses arguments, tant en fait qu’en droit, à l’appui des objections qu’elle maintient. Par exemple, la prise en compte d’un argument avancé par une partie faisant l’objet d’une enquête au cours de la procédure administrative, sans qu’elle ait eu la possibilité de s’exprimer à cet égard avant l’adoption de la décision finale, ne saurait constituer en soi une violation des droits de la défense.

(24)Les parties faisant l’objet de l’enquête devraient avoir le droit d’être entendues avant la présentation d’un projet de décision révisé en vertu de l’article 60, paragraphe 5, du règlement (UE) 2016/679 ou l’adoption d’une décision contraignante par le comité en vertu de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679.  

(25)L'auteur de la réclamation devrait avoir la possibilité d’être associé à la procédure engagée par une autorité de contrôle en vue de définir ou de clarifier les questions relatives à une violation potentielle du règlement (UE) 2016/679. Le fait qu’une autorité de contrôle ait déjà ouvert une enquête concernant l’objet de la réclamation ou qu’elle traitera celle-ci dans le cadre d’une enquête menée d’office postérieure à la réception de la réclamation ne fait pas obstacle à la qualification d’une personne concernée en tant qu’auteur de la réclamation. Toutefois, une enquête menée par une autorité de contrôle sur une éventuelle violation du règlement (UE) 2016/679 par un responsable du traitement ou un sous-traitant ne constitue pas une procédure contradictoire entre l’auteur de la réclamation et les parties faisant l’objet de l’enquête. Il s’agit d’une procédure engagée par une autorité de contrôle, de sa propre initiative ou sur la base d’une réclamation, dans l’accomplissement des tâches qui lui incombent en vertu de l’article 57, paragraphe 1, du règlement (UE) 2016/679. Les parties faisant l’objet de l’enquête et l’auteur de la réclamation ne se trouvent donc pas dans la même situation procédurale et ce dernier ne peut invoquer le droit à un procès équitable lorsque la décision ne porte pas atteinte à sa situation juridique. La participation de l’auteur de la réclamation à la procédure à l’encontre des parties faisant l’objet de l’enquête ne saurait compromettre le droit de ces parties d’être entendues.

(26)L'auteur de la réclamation devrait avoir la possibilité de présenter par écrit son point de vue sur les conclusions préliminaires. Cependant, il ne devrait pas avoir accès aux secrets d'affaires ou autres informations confidentielles appartenant à d'autres parties associées à la procédure. L'auteur de la réclamation ne devrait pas avoir le droit d’avoir un accès généralisé au dossier administratif.

(27)Lorsqu’elles fixent des délais dans lesquels les parties faisant l’objet de l’enquête et l'auteur de la réclamation peuvent faire connaître leur point de vue sur les conclusions préliminaires, les autorités de contrôle devraient tenir compte de la complexité des questions soulevées dans les conclusions préliminaires, afin de veiller à ce que les parties faisant l’objet de l’enquête et l'auteur de la réclamation aient suffisamment l’occasion de faire connaître utilement leur point de vue sur les questions soulevées.

(28)L’échange de vues préalable à l’adoption d’un projet de décision implique un dialogue ouvert et un échange de vues approfondi au cours desquels les autorités de contrôle devraient tout mettre en œuvre pour trouver un consensus sur la voie à suivre dans le cadre d’une enquête. À l’inverse, le désaccord exprimé dans des objections pertinentes et motivées au titre de l’article 60, paragraphe 4, du règlement (UE) 2016/679, qui augmentent la possibilité de recourir à un règlement de litige entre autorités de contrôle au titre de l’article 65 du règlement (UE) 2016/679 et retardent l’adoption d’une décision finale par l’autorité de contrôle compétente, devrait avoir lieu dans le cas exceptionnel où les autorités de contrôle ne parviennent pas à un consensus et, si nécessaire, pour garantir une interprétation cohérente du règlement (UE) 2016/679. Ces objections devraient être utilisées avec parcimonie, lorsque des questions relatives à une application cohérente du règlement (UE) 2016/679 sont en jeu, étant donné que tout recours aux objections pertinentes et motivées retarde l’adoption d’une mesure réparatoire pour la personne concernée. La portée de l’enquête et les faits pertinents devant être déterminés avant la communication des conclusions préliminaires, ces points ne devraient pas être soulevés par les autorités de contrôle concernées dans des objections pertinentes et motivées. Ils pourraient toutefois être soulevés par les autorités de contrôle concernées dans les observations qu’elles peuvent formuler sur le résumé des points essentiels en vertu de l’article 9, paragraphe 3, avant la communication des conclusions préliminaires aux parties faisant l’objet de l’enquête.

(29)Dans l’intérêt d’un achèvement efficace et inclusif de la procédure de règlement des litiges, dans le cadre de laquelle toutes les autorités de contrôle devraient être en mesure de faire connaître leur point de vue, et compte tenu des contraintes de temps liées au règlement des litiges, la forme et la structure des objections pertinentes et motivées devraient satisfaire à certaines exigences. Par conséquent, les objections pertinentes et motivées devraient être d’une longueur limitée, devraient clairement identifier le désaccord avec le projet de décision et devraient être formulées dans des termes suffisamment clairs, cohérents et précis.

(30)L’accès au dossier administratif est prévu dans le cadre des droits de la défense et du droit à une bonne administration consacrés par la charte. Il conviendrait d’accorder l’accès au dossier administratif aux parties faisant l’objet de l’enquête lorsqu’elles sont informées des conclusions préliminaires et de fixer le délai dans lequel elles peuvent soumettre leur réponse écrite aux conclusions préliminaires.

(31)Lorsqu’elles accordent l’accès au dossier administratif, les autorités de contrôle devraient garantir la protection des secrets d’affaires et d’autres informations confidentielles. La catégorie des «autres informations confidentielles» comprend les informations autres que les secrets d'affaires, qui peuvent être considérées comme confidentielles dans la mesure où leur divulgation porterait gravement préjudice à un responsable du traitement, à un sous-traitant ou à une personne physique. Les autorités de contrôle devraient pouvoir demander aux parties faisant l’objet de l’enquête qui présentent ou ont présenté des documents ou des déclarations d’identifier les informations confidentielles qui y figurent.

(32)Lorsque la divulgation de secrets d'affaires ou d'autres informations confidentielles est nécessaire pour prouver une violation, les autorités de contrôle doivent apprécier, pour chaque document, si la nécessité de le divulguer l'emporte sur le préjudice pouvant résulter d’une telle divulgation.

(33)Lorsqu’elle transmet une question au mécanisme de règlement des litiges en vertu de l’article 65 du règlement (UE) 2016/679, l’autorité de contrôle chef de file devrait fournir au comité toutes les informations nécessaires pour lui permettre d’apprécier la recevabilité des objections pertinentes et motivées et de prendre la décision prévue à l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679. Une fois que le comité a reçu tous les documents nécessaires énumérés à l’article 23, son président devrait enregistrer la transmission de la question au sens de l’article 65, paragraphe 2, du règlement (UE) 2016/679.

(34)La décision contraignante du comité au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679 devrait porter exclusivement sur les questions qui ont conduit au déclenchement de la procédure de règlement des litiges et être rédigée de manière à permettre à l’autorité de contrôle chef de file d’adopter sa décision finale sur la base de la décision du comité tout en conservant son pouvoir discrétionnaire.

(35)Afin de rationaliser le règlement des litiges entre autorités de contrôle soumis au comité en vertu de l’article 65, paragraphe 1, points b) et c), du règlement (UE) 2016/679, il est nécessaire de préciser les règles de procédure concernant les documents à présenter au comité et sur lesquels celui-ci devrait fonder sa décision. Il est également nécessaire de préciser à quel moment le comité devrait enregistrer la soumission de la question au mécanisme de règlement des litiges.

(36)Afin de rationaliser la procédure d’adoption des avis d’urgence et des décisions contraignantes d’urgence du comité au titre de l’article 66, paragraphe 2, du règlement (UE) 2016/679, il est nécessaire de préciser les règles de procédure concernant le délai de présentation de la demande d’avis d’urgence ou de décision contraignante d’urgence, les documents à soumettre au comité et sur lesquels ce dernier devrait fonder sa décision, les destinataires auxquels l’avis ou la décision du comité devrait être adressé, et les conséquences de l’avis ou de la décision du comité.

(37)Les chapitres III et IV concernent la coopération entre les autorités de contrôle, les droits procéduraux des parties faisant l’objet de l’enquête et la participation de l'auteur de la réclamation. Dans un souci de sécurité juridique, ces dispositions ne devraient pas s’appliquer aux enquêtes déjà en cours au moment de l’entrée en vigueur du présent règlement. Elles devraient s’appliquer aux enquêtes menées d’office ouvertes après l’entrée en vigueur du présent règlement et aux enquêtes menées sur la base d’une réclamation lorsque cette dernière a été introduite après l’entrée en vigueur du présent règlement. Le chapitre V établit des règles de procédure pour les cas soumis au mécanisme de règlement des litiges en vertu de l’article 65 du règlement (UE) 2016/679. Toujours pour des raisons de sécurité juridique, ce chapitre ne devrait pas s’appliquer aux cas soumis au mécanisme de règlement des litiges avant l’entrée en vigueur du présent règlement. Il devrait s’appliquer à tous les cas soumis au mécanisme de règlement des litiges après l’entrée en vigueur du présent règlement.

(38)Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphe 2, du règlement (UE) 2018/1725 et ont rendu un avis conjoint le [...],

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Chapitre I

Dispositions générales

Article premier

Objet

Le présent règlement établit des règles de procédure pour le traitement des réclamations et la conduite des enquêtes, tant sur les cas fondés sur des réclamations que sur les cas examinés d’office, menées par les autorités de contrôle dans le cadre de l’application transfrontalière du règlement (UE) 2016/679.

Article 2

Définitions

Aux fins du présent règlement, les définitions de l’article 4 du règlement (UE) 2016/679 s’appliquent.

En outre, on entend par:

(1)«parties faisant l’objet de l’enquête»: le ou les responsables du traitement et/ou le ou les sous-traitants faisant l’objet d’une enquête pour violation alléguée du règlement (UE) 2016/679 dans le contexte d’un traitement transfrontalier;

(2)«résumé des points essentiels»: le résumé que l’autorité de contrôle chef de file doit fournir aux autorités de contrôle concernées, exposant les principaux faits pertinents et l’avis de l’autorité de contrôle chef de file sur le cas;

(3)«conclusions préliminaires»: le document fourni par l’autorité de contrôle chef de file aux parties faisant l’objet de l’enquête, exposant les allégations, les faits pertinents, les preuves à l’appui, l’analyse juridique et, s'il y a lieu, les mesures correctrices proposées;

(4)«objections jugées pertinentes et motivées»: les objections que le comité a jugées pertinentes et motivées au sens de l’article 4, point 24), du règlement (UE) 2016/679.

Chapitre II

Introduction et traitement des réclamations

Article 3

Réclamations transfrontalières

1.Une réclamation fondée sur le règlement (UE) 2016/679 et relative à un traitement transfrontalier fournit les informations requises par le formulaire figurant en annexe. Aucune autre information ne doit être exigée pour qu’une réclamation soit recevable.

2.L’autorité de contrôle auprès de laquelle la réclamation a été introduite détermine si la réclamation concerne un traitement transfrontalier.

3.L’autorité de contrôle auprès de laquelle la réclamation a été introduite détermine dans un délai d’un mois si les informations requises par le formulaire sont complètes.

4.Après avoir évalué si les informations requises par le formulaire sont complètes, l’autorité de contrôle auprès de laquelle la réclamation a été introduite transmet la réclamation à l’autorité de contrôle chef de file.

5.Lorsque l’auteur de la réclamation demande la confidentialité lors de l’introduction de sa réclamation, il présente également une version non confidentielle de celle-ci.

6.L’autorité de contrôle auprès de laquelle la réclamation a été introduite accuse réception de celle-ci dans un délai d’une semaine. Cet accusé de réception est sans préjudice de l’évaluation de la recevabilité de la réclamation conformément au paragraphe 3.

Article 4

Enquêtes portant sur les réclamations

Chaque fois qu’elle évalue la mesure nécessaire dans laquelle une réclamation devrait faire l’objet d’une enquête, l’autorité de contrôle tient compte de toutes les circonstances pertinentes, y compris de l’ensemble des éléments suivants:

(a)l’opportunité d’offrir une mesure réparatoire effective et en temps utile à l’auteur de la réclamation;

(b)la gravité de la violation alléguée;

(c)la nature systémique ou répétitive de la violation alléguée.

Article 5

Règlement à l’amiable

Une réclamation peut faire l’objet d’un règlement à l’amiable entre l’auteur de la réclamation et les parties faisant l’objet de l’enquête. Lorsque l’autorité de contrôle considère qu’un règlement à l’amiable de la réclamation a été trouvé, elle communique le projet de règlement à l’auteur de la réclamation. Si l’auteur de la réclamation ne s’oppose pas au règlement à l’amiable proposé par l’autorité de contrôle dans un délai d’un mois, la réclamation est réputée retirée.

Article 6

Traduction

1.L’autorité de contrôle auprès de laquelle la réclamation a été introduite est chargée de:

(a)la traduction de la réclamation et du point de vue de l’auteur de la réclamation dans la langue employée par l’autorité de contrôle chef de file aux fins de l’enquête;

(b)la traduction des documents fournis par l’autorité de contrôle chef de file dans la langue employée pour la communication avec l’auteur de la réclamation, lorsqu’il est nécessaire de lui fournir ces documents conformément au présent règlement ou au règlement (UE) 2016/679.

2.Dans son règlement intérieur, le comité détermine la procédure à suivre pour la traduction des observations ou des objections pertinentes et motivées formulées par les autorités de contrôle concernées dans une langue autre que celle employée par l’autorité de contrôle chef de file aux fins de l’enquête.

Chapitre III

Coopération au titre de l’article 60 du règlement (UE) 2016/679

Section 1

Formation d’un consensus au sens de l’article 60, paragraphe 1, du règlement (UE) 2016/679

Article 7

Coopération entre les autorités de contrôle

Tout en coopérant en s’efforçant de parvenir à un consensus, comme le prévoit l’article 60, paragraphe 1, du règlement (UE) 2016/679, les autorités de contrôle utilisent tous les moyens prévus par le règlement (UE) 2016/679, y compris l’assistance mutuelle de l’article 61 et les opérations conjointes de l’article 62 du règlement (UE) 2016/679.

Les dispositions de la présente section concernent les relations entre les autorités de contrôle et n’ont pas pour objet de conférer des droits aux personnes ou aux parties faisant l’objet de l’enquête.

Article 8

Informations utiles au sens de l’article 60, paragraphes 1 et 3, du règlement (UE) 2016/679

1.L’autorité de contrôle chef de file informe régulièrement les autres autorités de contrôle concernées sur l’enquête et fournit aux autres autorités de contrôle concernées, dans les meilleurs délais, toutes les informations utiles dès qu’elles sont disponibles.

2.Les informations utiles au sens de l’article 60, paragraphes 1 et 3, du règlement (UE) 2016/679 comprennent, s'il y a lieu:

(a)des informations sur l’ouverture d’une enquête relative à une violation alléguée du règlement (UE) 2016/679;

(b)des demandes d’informations au titre de l’article 58, paragraphe 1, point e), du règlement (UE) 2016/679;

(c)des informations sur l’utilisation des autres pouvoirs d’enquête visés à l’article 58, paragraphe 1, du règlement (UE) 2016/679;

(d)dans le cas où il est envisagé de rejeter la réclamation, les motifs de rejet retenus par l’autorité de contrôle chef de file;

(e)le résumé des points essentiels d’une enquête prévu à l’article 9;

(f)des informations sur les mesures visant à établir une violation du règlement (UE) 2016/679 avant l’élaboration des conclusions préliminaires;

(g)les conclusions préliminaires;

(h)la réponse des parties faisant l’objet de l’enquête aux conclusions préliminaires;

(i)l’avis de l’auteur de la réclamation sur les conclusions préliminaires;

(j)en cas de rejet d’une réclamation, les observations écrites de l’auteur de cette réclamation;

(k)toute mesure utile prise par l’autorité de contrôle chef de file après la réception de la réponse des parties faisant l’objet de l’enquête aux conclusions préliminaires et avant la présentation d’un projet de décision au sens de l’article 60, paragraphe 3, du règlement (UE) 2016/679.

Article 9

Résumé des points essentiels

1.Une fois que l’autorité de contrôle chef de file s’est forgé un avis préliminaire sur les principales questions soulevées dans le cadre d’une enquête, elle rédige un résumé des points essentiels aux fins de la coopération prévue à l’article 60, paragraphe 1, du règlement (UE) 2016/679.

2.Le résumé des points essentiels comprend tous les éléments suivants:

(a)les principaux faits pertinents;

(b)une définition préliminaire de la portée de l’enquête, en particulier des dispositions du règlement (UE) 2016/679 concernées par la violation alléguée qui fera l’objet de l’enquête;

(c)le recensement des appréciations juridiques et technologiques complexes pertinentes pour l’orientation préliminaire de l’évaluation de ces points;

(d)la définition préliminaire d’éventuelles mesures correctrices.

3.Les autorités de contrôle concernées peuvent formuler des observations sur le résumé des points essentiels. Ces observations doivent être transmises dans un délai de quatre semaines à compter de la réception dudit résumé.

4.Les observations formulées en application du paragraphe 3 répondent aux conditions suivantes:

(a)le langage utilisé est suffisamment clair et contient des termes précis pour permettre à l’autorité de contrôle chef de file et, selon le cas, aux autorités de contrôle concernées d'élaborer leurs positions;

(b)les arguments juridiques sont exposés de manière succincte et structurés en fonction de la partie du résumé des points essentiels auxquels ils se rapportent;

(c)les observations de l’autorité de contrôle concernée peuvent être étayées par des documents qui peuvent compléter les observations sur des points précis.

5.Le comité peut spécifier, dans son règlement intérieur, des restrictions concernant la longueur maximale des observations présentées par les autorités de contrôle concernées sur le résumé des points essentiels.

6.Lorsqu'aucune des autorités de contrôle concernées n’a formulé d’observations au titre du paragraphe 3 du présent article, la situation est considérée comme non contentieuse. En pareil cas, les conclusions préliminaires visées à l’article 14 sont communiquées aux parties faisant l’objet de l’enquête dans un délai de 9 mois à compter de l’expiration du délai prévu au paragraphe 3 du présent article.

Article 10

Utilisation de moyens pour parvenir à un consensus

1.Une autorité de contrôle concernée soumet une demande à l’autorité de contrôle chef de file en vertu de l’article 61 du règlement (UE) 2016/679, de l’article 62 du règlement (UE) 2016/679, ou des deux, lorsque, à la suite des observations formulées par les autorités de contrôle concernées en vertu de l’article 9, paragraphe 3, elle est en désaccord avec l’évaluation de l’autorité de contrôle chef de file concernant:

(a)la portée de l’enquête dans les cas fondés sur une réclamation, en particulier les dispositions du règlement (UE) 2016/679 concernées par la violation alléguée qui fera l’objet de l’enquête;

(b)l’orientation préliminaire en lien avec les appréciations juridiques complexes recensées par l’autorité de contrôle chef de file conformément à l’article 9, paragraphe 2, point c);

(c)l’orientation préliminaire en lien avec les appréciations technologiques complexes recensées par l’autorité de contrôle chef de file conformément à l’article 9, paragraphe 2, point c).

2.La demande visée au paragraphe 1 est présentée dans un délai de deux mois à compter de l’expiration du délai visé à l’article 9, paragraphe 3.

3.L’autorité de contrôle chef de file engage un dialogue avec les autorités de contrôle concernées sur la base de leurs observations relatives au résumé des points essentiels et, s'il y a lieu, en réponse aux demandes formulées au titre des articles 61 et 62 du règlement (UE) 2016/679, en s'efforçant de parvenir à un consensus. Le consensus sert de base à l’autorité de contrôle chef de file pour poursuivre l’enquête et rédiger les conclusions préliminaires ou, s'il y a lieu, fournir à l’autorité de contrôle auprès de laquelle la réclamation a été introduite sa motivation aux fins de l’article 11, paragraphe 2.

4.Lorsque, dans le cadre d’une enquête fondée sur une réclamation, il n’existe pas de consensus entre l’autorité de contrôle chef de file et une ou plusieurs autorités de contrôle concernées sur la question visée à l’article 9, paragraphe 2, point b), du présent règlement, l’autorité de contrôle chef de file demande au comité une décision contraignante d’urgence en vertu de l’article 66, paragraphe 3, du règlement (UE) 2016/679. Dans ce cas, les conditions pour demander une décision contraignante d’urgence au titre de l’article 66, paragraphe 3, du règlement (UE) 2016/679 sont présumées remplies.

5.Lorsqu’elle demande une décision contraignante d’urgence du comité en vertu du paragraphe 4 du présent article, l’autorité de contrôle chef de file fournit l’ensemble des éléments suivants:

(a)les documents visés à l’article 9, paragraphe 2, points a) et b);

(b)les observations de l’autorité de contrôle concernée qui est en désaccord avec la définition préliminaire de la portée de l’enquête par l’autorité de contrôle chef de file.

6.Le comité adopte une décision contraignante d’urgence sur la portée de l’enquête sur la base des observations des autorités de contrôle concernées et de la position de l’autorité de contrôle chef de file sur ces observations.

Section 2

Rejet total ou partiel des réclamations

Article 11

Droit d’être entendu de l’auteur de la réclamation avant le rejet total ou partiel d’une réclamation

1.Conformément à la procédure prévue aux articles 9 et 10, l’autorité de contrôle chef de file communique à l’autorité de contrôle auprès de laquelle la réclamation a été introduite les motifs pour lesquels elle estime à titre préliminaire que la réclamation devrait être rejetée totalement ou partiellement.

2.L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe son auteur des motifs du rejet total ou partiel envisagé de la réclamation et fixe un délai dans lequel il peut faire connaître son point de vue par écrit. Ce délai ne peut être inférieur à trois semaines. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation des conséquences de l’absence de communication de son point de vue.

3.Si l’auteur de la réclamation ne fait pas connaître son point de vue dans le délai fixé par l’autorité de contrôle auprès de laquelle la réclamation a été introduite, la réclamation est réputée retirée.

4.L’auteur de la réclamation peut demander l’accès à la version non confidentielle des documents sur lesquels se fonde la proposition de rejet de la réclamation.

5.Si l’auteur de la réclamation fait connaître son point de vue dans le délai fixé par l’autorité de contrôle auprès de laquelle la réclamation a été introduite et si ce point de vue ne modifie pas l’avis préliminaire selon lequel la réclamation devrait être rejetée totalement ou partiellement, l’autorité de contrôle auprès de laquelle la réclamation a été introduite élabore le projet de décision au titre de l’article 60, paragraphe 3, du règlement (UE) 2016/679, qui est soumis aux autres autorités de contrôle concernées par l’autorité de contrôle chef de file conformément à l’article 60, paragraphe 3, du règlement (UE) 2016/679.

Article 12

Projet révisé de décision rejetant totalement ou partiellement une réclamation

1.Lorsque l’autorité de contrôle chef de file considère que le projet de décision révisé au sens de l’article 60, paragraphe 5, du règlement (UE) 2016/679 soulève des éléments sur lesquels l’auteur de la réclamation devrait avoir la possibilité de faire connaître son point de vue, l’autorité de contrôle auprès de laquelle la réclamation a été introduite donne à l’auteur de la réclamation, avant la présentation du projet de décision révisé en vertu de l’article 60, paragraphe 5, du règlement (UE) 2016/679, la possibilité de faire connaître son point de vue sur ces nouveaux éléments.

2.L’autorité de contrôle auprès de laquelle la réclamation a été introduite fixe un délai dans lequel l’auteur de la réclamation peut faire connaître son point de vue.

Article 13

Décision rejetant totalement ou partiellement une réclamation

Lorsqu’elle adopte une décision rejetant totalement ou partiellement une réclamation en vertu de l’article 60, paragraphe 8, du règlement (UE) 2016/679, l’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation du recours juridictionnel dont il dispose en vertu de l’article 78 du règlement (UE) 2016/679.

Section 3

Décisions adressées aux responsables du traitement et aux sous-traitants

Article 14

Conclusions préliminaires et réponse

1.Lorsque l’autorité de contrôle chef de file a l’intention de soumettre aux autres autorités de contrôle concernées un projet de décision au sens de l’article 60, paragraphe 3, du règlement (UE) 2016/679 constatant une violation du règlement (UE) 2016/679, elle rédige des conclusions préliminaires.

2.Les conclusions préliminaires présentent les allégations formulées de manière exhaustive et suffisamment claire pour permettre aux parties faisant l’objet de l’enquête de prendre connaissance du comportement visé par l’enquête de l’autorité de contrôle chef de file. En particulier, elles doivent exposer clairement tous les faits et l’ensemble de l’appréciation juridique opposés aux parties faisant l’objet de l’enquête, afin que ces dernières puissent exprimer leur point de vue sur les faits et les conclusions juridiques que l’autorité de contrôle chef de file entend établir dans le projet de décision au sens de l’article 60, paragraphe 3, du règlement (UE) 2016/679, et énumérer tous les éléments de preuve sur lesquels cette dernière se fonde.

Les conclusions préliminaires exposent les mesures correctrices que l’autorité de contrôle chef de file a l’intention d’appliquer.

Lorsque l’autorité de contrôle chef de file a l’intention d’imposer une amende, elle énumère dans ses conclusions préliminaires les éléments pertinents sur lesquels elle se fonde pour calculer l’amende. Plus spécifiquement, l’autorité de contrôle chef de file énumère les éléments essentiels de fait et de droit susceptibles d’entraîner l’imposition de l’amende ainsi que les éléments énumérés à l’article 83, paragraphe 2, du règlement (UE) 2016/679, y compris les circonstances aggravantes ou atténuantes qu’elle prendra en considération.

3.L’autorité de contrôle chef de file notifie les conclusions préliminaires à chacune des parties faisant l’objet de l’enquête.

4.Lorsqu’elle notifie les conclusions préliminaires aux parties faisant l’objet de l’enquête, l’autorité de contrôle chef de file fixe un délai dans lequel ces parties peuvent faire connaître leur point de vue par écrit. L’autorité de contrôle chef de file n’est pas tenue de tenir compte des avis écrits reçus après l’expiration de ce délai.

5.Lorsqu’elle notifie les conclusions préliminaires aux parties faisant l’objet de l’enquête, l’autorité de contrôle chef de file donne à ces parties accès au dossier administratif conformément à l’article 20.

6.Les parties faisant l’objet de l’enquête peuvent, dans leur réponse écrite aux conclusions préliminaires, exposer tous les faits et arguments juridiques dont elles ont connaissance et qui sont pertinents pour leur défense contre les allégations de l’autorité de contrôle chef de file. Elles joignent à leur réponse tout document attestant les faits exposés. Dans son projet de décision, l’autorité de contrôle chef de file ne traite que les allégations, y compris les faits et l’appréciation juridique reposant sur ceux-ci, au sujet desquelles les parties faisant l’objet de l’enquête ont eu la possibilité de présenter leurs observations.

Article 15

Transmission des conclusions préliminaires à l'auteur de la réclamation

1.Lorsque l’autorité de contrôle chef de file émet des conclusions préliminaires concernant une question au sujet de laquelle elle a été saisie d’une réclamation, l’autorité de contrôle auprès de laquelle la réclamation a été introduite fournit à l’auteur de la réclamation une version non confidentielle des conclusions préliminaires et fixe un délai dans lequel il peut faire connaître son point de vue par écrit.

2.Le paragraphe 1 s’applique également lorsqu’une autorité de contrôle, le cas échéant, traite plusieurs réclamations conjointement, scinde les réclamations en plusieurs parties ou exerce d’une autre manière son pouvoir discrétionnaire en ce qui concerne la portée de l’enquête telle qu’exposée dans les conclusions préliminaires.

3.Lorsque l’autorité de contrôle chef de file estime qu’il est nécessaire que des documents figurant dans le dossier administratif soient communiqués à l’auteur de la réclamation pour permettre à celui-ci de faire connaître utilement son point de vue sur les conclusions préliminaires, l’autorité de contrôle auprès de laquelle la réclamation a été introduite fournit à l’auteur de la réclamation la version non confidentielle de ces documents lorsqu’elle communique les conclusions préliminaires conformément au paragraphe 1.

4.La version non confidentielle des conclusions préliminaires n'est communiquée à l’auteur de la réclamation qu’aux fins de l’enquête concrète dans le cadre de laquelle les conclusions préliminaires ont été établies.

5.Avant de recevoir la version non confidentielle des conclusions préliminaires et tout document fourni conformément au paragraphe 3, l’auteur de la réclamation envoie à l’autorité de contrôle chef de file une déclaration de confidentialité dans laquelle il s’engage à ne divulguer aucune information ou évaluation figurant dans la version non confidentielle des conclusions préliminaires ni à utiliser ces conclusions à des fins autres que l’enquête concrète dans le cadre de laquelle ces conclusions ont été établies.

Article 16

Adoption d’une décision finale

Après avoir soumis le projet de décision aux autorités de contrôle concernées conformément à l’article 60, paragraphe 3, du règlement (UE) 2016/679 et lorsqu’aucune des autorités de contrôle concernées n’a formulé d’objection au projet de décision dans les délais visés à l’article 60, paragraphes 4 et 5, du règlement (UE) 2016/679, l’autorité de contrôle chef de file adopte sa décision et la notifie, conformément à l’article 60, paragraphe 7, du règlement (UE) 2016/679, à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autorités de contrôle concernées et le comité de la décision en question, en joignant un résumé des faits et motifs pertinents.

Article 17

Droit d’être entendu sur le projet de décision révisé

1.Lorsque l’autorité de contrôle chef de file considère que le projet de décision révisé au sens de l’article 60, paragraphe 5, du règlement (UE) 2016/679 soulève des éléments sur lesquels les parties faisant l’objet de l’enquête devraient avoir la possibilité de faire connaître leur point de vue, elle donne, avant la présentation du projet de décision révisé au titre de l’article 60, paragraphe 5, du règlement (UE) 2016/679, la possibilité aux parties faisant l’objet de l’enquête de faire connaître leur point de vue sur ces nouveaux éléments.

2.L’autorité de contrôle chef de file fixe un délai dans lequel les parties faisant l’objet de l’enquête peuvent faire connaître leur point de vue.

Section 4

Objections pertinentes et motivées

Article 18

Objections pertinentes et motivées

1.Les objections pertinentes et motivées au sens de l’article 4, point 24), du règlement (UE) 2016/679:

(a)se fondent exclusivement sur des éléments factuels figurant dans le projet de décision; et

(b)ne modifient pas la portée des allégations en soulevant des points équivalant à déterminer d’autres allégations de violation du règlement (UE) 2016/679 ou en modifiant la nature intrinsèque des allégations soulevées.

2.La forme et la structure des objections pertinentes et motivées satisfont à toutes les exigences suivantes:

(a)la longueur de chaque objection pertinente et motivée et de la position de l’autorité de contrôle chef de file sur toute objection de ce type ne dépasse pas trois pages et ne comprend pas d’annexes. Dans les cas impliquant des questions juridiques particulièrement complexes, la longueur maximale peut être portée à six pages, sauf si des circonstances particulières justifiant une longueur supérieure sont acceptées par le comité;

(b)le désaccord de l’autorité de contrôle concernée sur le projet de décision est exprimé au début de l’objection pertinente et motivée et est formulé en des termes suffisamment clairs, cohérents et précis pour permettre à l’autorité de contrôle chef de file et, le cas échéant, aux autorités de contrôle concernées d’élaborer leurs positions et au comité de régler efficacement le litige;

(c)les arguments juridiques sont exposés et structurés en fonction du dispositif du projet de décision auquel ils se rapportent. Chaque argument ou groupe d’arguments est généralement précédé d’un exposé sommaire.

Chapitre IV

Accès au dossier administratif et traitement des informations confidentielles

Article 19

Contenu du dossier administratif

1.Le dossier administratif d’une enquête concernant une violation alléguée du règlement (UE) 2016/679 est constitué de tous les documents qui ont été recueillis, produits et/ou réunis par l’autorité de contrôle chef de file au cours de l’enquête.

2.Au cours de l’enquête sur une violation alléguée du règlement (UE) 2016/679, l’autorité de contrôle chef de file peut renvoyer à la partie auprès de laquelle elle les a obtenus, des documents qui, à la suite d’un examen plus approfondi, se révèlent sans rapport avec l’objet de l’enquête. Une fois renvoyés, ces documents ne font plus partie du dossier administratif.

3.Le droit d’accès au dossier administratif ne s’étend pas à la correspondance et aux échanges de vues entre l’autorité de contrôle chef de file et les autorités de contrôle concernées. Les informations échangées entre les autorités de contrôle aux fins de l’enquête sur un cas particulier sont des documents internes et ne sont pas accessibles aux parties faisant l’objet de l’enquête ni à l’auteur de la réclamation.

4.L’accès aux objections pertinentes et motivées au titre de l’article 60, paragraphe 4, du règlement (UE) 2016/679 est accordé conformément à l’article 24. 

Article 20

Accès au dossier administratif et utilisation des documents

1.L’autorité de contrôle chef de file accorde l’accès au dossier administratif aux parties faisant l’objet de l’enquête, leur permettant ainsi d’exercer leur droit d’être entendues. L’accès au dossier administratif est accordé après que l’autorité de contrôle chef de file a notifié les conclusions préliminaires aux parties faisant l’objet de l’enquête.

2.Le dossier administratif comprend tous les documents, à charge et à décharge, y compris les faits et documents connus des parties faisant l’objet de l’enquête.

3.Les conclusions de l’autorité de contrôle chef de file dans le projet de décision visé à l’article 60, paragraphe 3, du règlement (UE) 2016/679 et dans la décision finale visée à l’article 60, paragraphe 7, du règlement (UE) 2016/679 ne peuvent se fonder que sur des documents cités dans les conclusions préliminaires ou sur lesquels les parties faisant l’objet de l’enquête ont eu l’occasion de faire connaître leur point de vue.

4.Les documents obtenus grâce à l’accès au dossier administratif accordé en vertu du présent article ne sont utilisés qu’aux fins de la procédure judiciaire ou administrative visant à faire appliquer le règlement (UE) 2016/679 dans le cas spécifique pour lequel ces documents ont été fournis.

Article 21

Identification et protection des informations confidentielles

1.Sauf disposition contraire du présent règlement, les informations collectées ou obtenues par une autorité de contrôle dans des situations transfrontalières en vertu du règlement (UE) 2016/679, y compris tout document contenant de telles informations, ne sont pas communiquées ou rendues accessibles par l’autorité de contrôle dans la mesure où elles contiennent des secrets d’affaires ou d’autres informations confidentielles appartenant à une personne quelconque.

2.Toute information collectée ou obtenue par une autorité de contrôle dans des situations transfrontalières en vertu du règlement (UE) 2016/679, y compris tout document contenant de telles informations, est exclue des demandes d’accès relevant de dispositions législatives relatives à l’accès du public aux documents officiels tant que la procédure est en cours.

3.Lorsqu’elle communique ses conclusions préliminaires aux parties faisant l’objet de l’enquête et accorde l'accès au dossier administratif sur la base de l’article 20, l’autorité de contrôle chef de file veille à ce que les parties faisant l’objet de l’enquête auxquelles est accordé l’accès à des informations contenant des secrets d’affaires ou d’autres informations confidentielles traitent ces informations dans le plus grand respect de leur confidentialité et à ce que ces informations ne soient pas utilisées au détriment du fournisseur des informations. En fonction du degré de confidentialité des informations, l’autorité de contrôle chef de file adopte les dispositions appropriées pour donner plein effet aux droits de la défense des parties faisant l’objet de l’enquête, en tenant dûment compte de la confidentialité des informations.

4.Une entité qui soumet des informations qu’elle considère comme confidentielles signale clairement les informations qu'elle juge confidentielles, en motivant sa demande de confidentialité. L’entité fournit à part une version non confidentielle des informations soumises.

5.Sans préjudice du paragraphe 4, l’autorité de contrôle chef de file peut exiger des parties faisant l’objet de l’enquête, ou de toute autre partie qui produit des documents en vertu du règlement (UE) 2016/679, qu’elles identifient les documents ou parties de documents qu’elles considèrent comme contenant des secrets d’affaires ou d’autres informations confidentielles leur appartenant et qu’elles identifient les parties à l'égard desquelles ces documents sont considérés comme confidentiels.

6.L’autorité de contrôle chef de file peut fixer un délai pour que les parties faisant l’objet de l’enquête et toute autre partie introduisant une demande de confidentialité:

(a)étayent leurs demandes de protection des secrets d’affaires et d’autres informations confidentielles pour chaque document ou partie de document, déclaration ou partie de déclaration;

(b)fournissent une version non confidentielle des documents et déclarations dans laquelle les secrets d’affaires et d’autres informations confidentielles sont expurgés;

(c)fournissent une description concise et non confidentielle de chaque information expurgée.

7.Si les parties faisant l’objet de l’enquête ou toute autre partie ne se conforment pas aux paragraphes 4 et 5, l’autorité de contrôle chef de file peut supposer que les documents ou déclarations concernés ne contiennent pas de secrets d’affaires ou d’autres informations confidentielles.

Chapitre V

Règlement des litiges

Article 22

Transmission au mécanisme de règlement des litiges au titre de l’article 65 du règlement (UE) 2016/679

1.Si l’autorité de contrôle chef de file ne donne pas suite aux objections pertinentes et motivées ou estime que les objections ne sont pas pertinentes ou motivées, elle transmet la question au mécanisme de règlement des litiges prévu à l’article 65 du règlement (UE) 2016/679.

2.Lorsqu’elle transmet la question au mécanisme de règlement des litiges, l’autorité de contrôle chef de file fournit au comité tous les documents suivants:

(a)le projet de décision ou le projet de décision révisé faisant l’objet des objections pertinentes et motivées;

(b)un résumé des faits pertinents;

(c)les conclusions préliminaires;

(d)le point de vue exprimé par écrit par les parties faisant l’objet de l’enquête, selon le cas, conformément aux articles 14 et 17;

(e)le point de vue exprimé par écrit par l'auteur de la réclamation, selon le cas, conformément aux articles 11, 12 et 15;

(f)les objections pertinentes et motivées auxquelles l’autorité de contrôle chef de file n’a pas donné suite;

(g)les motifs pour lesquels l’autorité de contrôle chef de file n’a pas donné suite aux objections pertinentes et motivées ou a considéré que les objections n’étaient ni pertinentes ni motivées.

3.Dans un délai de quatre semaines à compter de la réception des documents énumérés au paragraphe 2, le comité détermine les objections jugées pertinentes et motivées.

Article 23

Enregistrement concernant une décision relevant de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679

Le président du comité enregistre la transmission d’une question au mécanisme de règlement des litiges au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679 au plus tard une semaine après avoir reçu tous les documents suivants:

(a)le projet de décision ou le projet de décision révisé faisant l’objet des objections pertinentes et motivées;

(b)un résumé des faits pertinents;

(c)le point de vue exprimé par écrit par les parties faisant l’objet de l’enquête, selon le cas, conformément aux articles 14 et 17;

(d)le point de vue exprimé par écrit par l'auteur de la réclamation, selon le cas, conformément aux articles 11, 12 et 15;

(e)les objections jugées pertinentes et motivées;

(f)les motifs pour lesquels l’autorité de contrôle chef de file n’a pas donné suite aux objections jugées pertinentes et motivées.

Article 24

Exposé des motifs préalable à l’adoption d’une décision au titre de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679

1.Avant d’adopter une décision contraignante en vertu de l’article 65, paragraphe 1, point a), du règlement (UE) 2016/679, le président du comité, par l’intermédiaire de l’autorité de contrôle chef de file, fournit aux parties faisant l’objet de l’enquête et/ou, en cas de rejet total ou partiel d’une réclamation, à l’auteur de cette dernière, un exposé des motifs expliquant le raisonnement que le comité entend adopter dans sa décision. Lorsque le comité a l’intention d’adopter une décision contraignante exigeant de l’autorité de contrôle chef de file qu’elle modifie son projet de décision ou son projet de décision révisé, il décide s’il convient d’accompagner cet exposé des motifs des objections jugées pertinentes et motivées sur la base desquelles il a l’intention d’adopter sa décision.

2.Les parties faisant l’objet de l’enquête et/ou, en cas de rejet total ou partiel d’une réclamation, l’auteur de cette dernière disposent d’un délai d’une semaine à compter de la réception de l’exposé des motifs visé au paragraphe 1 pour faire connaître leur point de vue.

3.Le délai visé au paragraphe 2 est prolongé d’une semaine dans le cas où le comité prolonge le délai d’adoption de la décision contraignante en vertu de l’article 65, paragraphe 2, du règlement (UE) 2016/679.

4.Le délai d’adoption de la décision contraignante du comité prévu à l’article 65, paragraphe 2, du règlement (UE) 2016/679 ne court pas pendant les délais prévus aux paragraphes 2 et 3.

Article 25

Procédure relative à la décision fondée sur l’article 65, paragraphe 1, point b), du règlement (UE) 2016/679

1.Lorsqu’elle transmet une question au comité en vertu de l’article 65, paragraphe 1, point b), du règlement (UE) 2016/679, l’autorité de contrôle qui transmet la question relative à la compétence pour l’établissement principal fournit au comité tous les documents suivants:

(a)un résumé des faits pertinents;

(b)l’appréciation de ces faits au regard des conditions de l’article 56, paragraphe 1, du règlement (UE) 2016/679;

(c)les points de vue exprimés par le responsable du traitement ou le sous-traitant dont l’établissement principal fait l’objet de la transmission;

(d)les points de vue des autres autorités de contrôle concernées par la transmission;

(e)tout autre document ou information que l’autorité de contrôle qui transmet la question juge pertinent et nécessaire pour parvenir au règlement de la question.

2.Le président du comité enregistre la transmission au plus tard une semaine après avoir reçu les documents visés au paragraphe 1.

Article 26

Procédure relative à la décision fondée sur l’article 65, paragraphe 1, point c), du règlement (UE) 2016/679

1.Lorsqu’elle transmet une question au comité en vertu de l’article 65, paragraphe 1, point c), du règlement (UE) 2016/679, l’autorité de contrôle qui transmet la question ou la Commission fournit au comité tous les documents suivants:

(a)un résumé des faits pertinents;

(b)l’avis éventuellement émis par le comité conformément à l’article 64 du règlement (UE) 2016/679;

(c)le point de vue de l’autorité de contrôle qui transmet la question ou de la Commission sur la question de savoir si, selon le cas, une autorité de contrôle était tenue de communiquer le projet de décision au comité conformément à l’article 64, paragraphe 1, du règlement (UE) 2016/679, ou une autorité de contrôle n’a pas donné suite à un avis rendu par le comité conformément à l’article 64 du règlement (UE) 2016/679.

2.Le président du comité demande les documents suivants:

(a)le point de vue de l’autorité de contrôle présumée avoir violé l’obligation de communiquer un projet de décision au comité ou ne pas avoir donné suite à un avis du comité;

(b)tout autre document ou information que l’autorité de contrôle juge pertinent et nécessaire pour parvenir au règlement de la question.

Si une autorité de contrôle fait part de la nécessité de présenter son point de vue sur la question transmise, elle soumet celui-ci dans un délai de deux semaines à compter de la transmission visée au paragraphe 1.

3.Le président du comité enregistre la transmission au plus tard une semaine après avoir reçu les documents visés aux paragraphes 1 et 2.

Chapitre VI

Procédure d’urgence

Article 27

Avis d’urgence relevant de l’article 66, paragraphe 2, du règlement (UE) 2016/679

1.Une demande d’avis d’urgence du comité au titre de l’article 66, paragraphe 2, du règlement (UE) 2016/679 est introduite au plus tard trois semaines avant l’expiration des mesures provisoires adoptées en vertu de l’article 66, paragraphe 1, du règlement (UE) 2016/679 et contient l’ensemble des éléments suivants:

(a)un résumé des faits pertinents;

(b)une description de la mesure provisoire adoptée sur son propre territoire, sa durée et les motifs de son adoption, y compris une justification de l’urgence d’agir pour protéger les droits et libertés des personnes concernées;

(c)une justification de la nécessité urgente d’adopter des mesures définitives sur le territoire de l’État membre de l’autorité de contrôle requérante, y compris une explication du caractère exceptionnel des circonstances nécessitant l’adoption des mesures concernées.

2.L’avis d’urgence du comité est adressé à l’autorité de contrôle qui a soumis la demande. Il est similaire à un avis au sens de l’article 64, paragraphe 1, du règlement (UE) 2016/679 et permet à l’autorité requérante de maintenir ou de modifier sa mesure provisoire conformément aux obligations de l’article 64, paragraphe 7, du règlement (UE) 2016/679.

Article 28

Décision d’urgence relevant de l’article 66, paragraphe 2, du règlement (UE) 2016/679

1.Une demande de décision d’urgence du comité au titre de l’article 66, paragraphe 2, du règlement (UE) 2016/679 est introduite au plus tard trois semaines avant l’expiration des mesures provisoires adoptées en vertu de l’article 61, paragraphe 8, de l’article 62, paragraphe 7, ou de l’article 66, paragraphe 1, du règlement (UE) 2016/679. Cette demande contient tous les éléments suivants:

(a)un résumé des faits pertinents;

(b)la mesure provisoire adoptée sur le territoire de l’État membre de l’autorité de contrôle demandant la décision, sa durée et les motifs de son adoption, en particulier une justification de l’urgence d’agir pour protéger les droits et libertés des personnes concernées;

(c)des informations sur toute mesure d’enquête prise sur son propre territoire et les réponses reçues de l’établissement local des parties faisant l’objet de l’enquête, ou toute autre information en possession de l’autorité de contrôle requérante;

(d)une justification de la nécessité urgente d’adopter des mesures définitives sur le territoire de l’autorité de contrôle requérante, compte tenu du caractère exceptionnel des circonstances exigeant l’adoption de la mesure définitive, ou la preuve qu’une autorité de contrôle n’a pas répondu à une demande fondée sur l’article 61, paragraphe 3, ou de l’article 62, paragraphe 2, du règlement (UE) 2016/679;

(e)dans le cas où l’autorité requérante n’est pas l’autorité de contrôle chef de file, le point de vue de cette dernière;

(f)s'il y a lieu, le point de vue de l’établissement local des parties faisant l’objet de l’enquête à l’encontre desquelles des mesures provisoires ont été prises en vertu de l’article 66, paragraphe 1, du règlement (UE) 2016/679.

2.La décision d’urgence visée au paragraphe 1 est adressée à l’autorité de contrôle qui a présenté la demande et permet à l’autorité requérante de maintenir ou de modifier sa mesure provisoire.

3.Lorsque le comité adopte une décision contraignante d’urgence indiquant que des mesures définitives devraient être adoptées, l’autorité de contrôle destinataire de la décision adopte ces mesures avant l’expiration des mesures provisoires adoptées en vertu de l’article 66, paragraphe 1, du règlement (UE) 2016/679.

4.L’autorité de contrôle qui a présenté la demande visée au paragraphe 1 notifie sa décision sur les mesures définitives à l’établissement du responsable du traitement ou du sous-traitant sur le territoire de son État membre et informe le comité. Dans le cas où l’autorité de contrôle chef de file n’est pas l’autorité requérante, cette dernière informe l’autorité de contrôle chef de file de la mesure définitive.

5.Lorsque la décision contraignante d’urgence indique qu’il n’est pas urgent d’adopter des mesures définitives, l’autorité de contrôle chef de file et les autorités de contrôle concernées suivent la procédure prévue à l’article 60 du règlement (UE) 2016/679.

Chapitre VII

Dispositions générales et finales

Article 29

Début des délais et définition du jour ouvrable

1.Les délais prévus ou fixés par les autorités de contrôle en vertu du règlement (UE) 2016/679 sont calculés conformément au règlement (CEE, Euratom) nº 1182/71 du Conseil 17 .

2.Les délais courent à partir du jour ouvrable suivant l'événement auquel fait référence la disposition applicable du règlement (UE) 2016/679 ou le présent règlement.

Article 30

Dispositions transitoires

Les chapitres III et IV s’appliquent aux enquêtes menées d’office qui ont été ouvertes après l’entrée en vigueur du présent règlement et aux enquêtes menées sur la base d’une réclamation lorsque cette dernière a été introduite après l’entrée en vigueur du présent règlement.

Le chapitre V s’applique à tous les cas soumis au mécanisme de règlement des litiges en vertu de l’article 65 du règlement (UE) 2016/679 après l’entrée en vigueur du présent règlement.

Article 31

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l'Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le

(1)    Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(2)    Communication de la Commission au Parlement européen et au Conseil, «La protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données» [COM(2020) 264 final].

(3)    Résolution du Parlement européen du 25 mars 2021 concernant le rapport d’évaluation de la Commission sur la mise en œuvre du règlement général sur la protection des données deux ans après son entrée en application (2020/2717(RSP)).

(4)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  

(5)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(6)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3537  

(7)     https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&do=groupDetail.groupDetail&groupID=3461  

(8)     https://commission.europa.eu/strategy-documents/commission-work-programme/commission-work-programme-2023_fr  

(9)    Communication de la Commission au Parlement européen et au Conseil, «La protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données» [COM(2020) 264 final].

(10)    Document de travail des services de la Commission accompagnant le document «Communication de la Commission au Parlement européen et au Conseil, Les règles en matière de protection des données: un pilier de l’autonomisation des citoyens et de l’approche de l’Union à l’égard de la transition numérique – deux années d’application du règlement général sur la protection des données» [SWD(2020) 115 final].

(11)    Résolution du Parlement européen du 25 mars 2021 concernant le rapport d’évaluation de la Commission sur la mise en œuvre du règlement général sur la protection des données deux ans après son entrée en application (2020/2717(RSP)).

(12)     https://edpb.europa.eu/our-work-tools/our-documents/statements/statement-enforcement-cooperation_en  

(13)     https://edpb.europa.eu/system/files/2022-10/edpb_letter_out2022-0069_to_the_eu_commission_on_procedural_aspects_en_0.pdf  

(14)    JO C , , p. .

(15)    JO C , , p. .

(16)    Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

(17)    Règlement (CEE, Euratom) nº 1182/71 du Conseil du 3 juin 1971 portant détermination des règles applicables aux délais, aux dates et aux termes (JO L 124 du 8.6.1971, p. 1).

COMMISSION EUROPÉENNE

Bruxelles, le 4.7.2023

COM(2023) 348 final

ANNEXE

de la Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679

ANNEXE

(1)    La réclamation doit être remplie et transmise par voie électronique ou envoyée par courrier postal à l’autorité de contrôle.

(2)    Par exemple, passeport, permis de conduire, carte d’identité nationale.

(3)    Dans le cas où une réclamation est introduite par un organisme visé à l’article 80 du règlement (UE) 2016/679, il convient de fournir toutes les informations visées au point 2.