Article 36 du RGPD : Consultation préalable

Sommaire :

Comprendre l’article 36

Cet article 36 du RGPD prévoit la consultation préalable de l’autorité de contrôle lorsqu’après une analyse d’impact, le responsable de traitement est averti que le traitement présente un risque élevé. 

Dans sa demande de consultation auprès de l’autorité, le responsable de traitement doit indiquer : 

  • les responsabilités respectives des intervenants (responsables de traitement, responsables de traitement conjoints, sous-traitants)
  • finalités et moyens du traitement
  • mesures et garanties prévues pour prévenir le risque 
  • les coordonnées du DPO si il y en a un
  • l’analyse d’impact 

Certains Etats peuvent rendre cette consultation obligatoire dès que le traitement s’inscrit dans une mission d’intérêt public. 

Si après consultation de l’autorité de contrôle, celle-ci détermine que malgré les mesures pouvant être mises en place par le responsable de traitement, le risque est trop élevé et que le traitement ne respecte pas le règlement, elle doit rendre un avis. L’autorité de contrôle (la CNIL en France) dispose d’un délai de 8 semaines à partir de la date de demande de consultation pour fournir par écrit un avis au responsable de traitement ou au sous-traitant. Ce délai peut être étendu de 6 semaines en fonction de la complexité, mais doit être justifié. Cette consultation peut être suspendue si des informations complémentaires doivent être obtenues.

Besoin d’aide pour déterminer votre DPO ? Cet article peut vous intéresser : DPO : Externe ? Interne ? Obligatoire ? Comment le choisir ?

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?
Cliquez ici
Je chercher un DPO

Article 36 du RGPD

  1. « Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.

  2. Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.

  3. Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:

    a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;

    b) les finalités et les moyens du traitement envisagé;

    c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;

    d) le cas échéant, les coordonnées du délégué à la protection des données;

    e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et

    f) toute autre information que l’autorité de contrôle demande.

  4. Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.

  5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. »

Jurisprudence

Aucune jurisprudence sur cet article ! 

Trouvez un Data Protection Officer
Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €

> Voir toutes les questions / réponses sur le divorce