Institué en 2004 et basé à Bruxelles, le Contrôleur européen de la protection des données (CEPD) est l’autorité indépendante de contrôle de la protection des données de l’Union européenne (UE). Ses principales tâches consistent à:
- surveiller le traitement des données à caractère personnel par les institutions et organes de l’UE; et à
- évaluer si l’élaboration des politiques ou les propositions législatives de l’UE ont des implications sur la protection des données ou sur la vie privée.
Le CEPD est nommé pour une durée de cinq ans, renouvelable une fois. Le titulaire du poste doit:
- agir en toute indépendance;
- respecter le secret professionnel pour toutes les informations confidentielles qu’il traite;
- contrôler l’application de la législation par les institutions, organes et organismes de l’UE;
- favoriser la sensibilisation du public et sa compréhension du traitement des données à caractère personnel;
- traiter les réclamations et mener des enquêtes;
- avertir et sanctionner les responsables du traitement (des personnes physiques ou morales, une autorité publique, une agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel);
- saisir la Cour de justice de l’Union européenne, qui traite tout litige relatif à la législation;
- soumettre un rapport annuel au Parlement européen, au Conseil de l’Union européenne et à la Commission européenne;
- coopérer avec les autorités nationales de contrôle de la protection des données.
Le CEPD est soutenu par un cabinet qui fournit assistance et conseils, et qui organise les tâches quotidiennes.
Le chapitre VI du règlement (UE) 2018/1725 concernant les transferts de données à caractère personnel par les institutions et organes de l’UE décrit les tâches et les pouvoirs du CEPD.
L’article 8 de la Charte des droits fondamentaux dispose que toute personne a droit à la protection de ses données à caractère personnel. L’article 16 du traité sur le fonctionnement de l’Union européenne complète ce droit et constitue la base juridique de l’ensemble de la législation de l’UE sur la protection des données.