Article 57 du RGPD : Missions

Sommaire :

Comprendre l’article 57

L’article 57 du RGPD liste les missions des autorités de contrôle. En France, l’autorité de contrôle est la CNIL (Commission Nationale de l’Informatique et des Libertés). 

Voici les missions des autorités de contrôle : 

  • contrôler l’application et veiller au respect du RGPD 
  • sensibiliser et faciliter la compréhension du grand public aux risques, règles, garanties et droits relatifs aux traitements de données personnelles (et particulièrement pour les enfants) 
  • conseiller les autorités nationales (parlement, gouvernement) sur l’introduction de mesures législatives et administratives relatives à la protection des droits et libertés des personnes 
  • sensibiliser les responsables de traitements et les sous-traitants sur leurs obligations 
  • aider les personnes à exercer leurs droits en fournissant une information
  • traiter les réclamations (plaintes, signalements) introduits auprès d’elle, informer l’auteur de l’avancement de la réclamation, faciliter l’introduction de réclamations grâce à un formulaire par exemple 
  • coopérer avec les autorités de contrôle (partage d’informations, assistance mutuelle) afin d’assurer une application cohérente du RGPD 
  • enquêter sur l’application du RGPD
  • veiller à l’évolution des nouvelles technologies et des pratiques commerciales 
  • créer les clauses contractuelles types pour les sous-traitants et les transferts transfrontaliers 
  • crée et tient à jour une liste recensant les traitements pour lesquelles il est nécessaire d’effectuer une analyse d’impact 
  • répondre aux consultations concernant les traitements susceptible d’être à l’origine de violations du RGPD 
  • encourager la création de codes de conduite, approuver ceux présentant des garanties satisfaisantes 
  • encourager la création de certifications, approuver les critères de certification et examiner périodiquement les certifications délivrées 
  • créer les critères d’agrémentation des organismes chargés d’effectuer le suivi des codes de conduite 
  • valider les clauses contractuelles organisant la protection des données et la création de garanties pour les traitements transfrontaliers 
  • approuver les règles d’entreprise contraignantes 
  • tenir un registre interne des violations du RGPD 


L’ensemble de ses missions sont réalisées gratuitement pour les personnes concernées, sauf si la demande est infondée ou excessive : la personne concernée peut se voir refuser la demande ou être demandée de s’acquitter de frais liés aux coûts administratifs. L’autorité de contrôle est cependant chargée de justifier le caractère infondé ou excessif. 

Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ? 

Trouver un DPO
Vous êtes à la recherche d'un "Data protection officer" ?

Article 57 du RGPD

  1. « Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire:



    a)  contrôle l’application du présent règlement et veille au respect de celui-ci;

     

    b)  favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l’objet d’une attention particulière;

     

    c)  conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement;

     

    d)  encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement;

     

    e)  fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membres;

     

    f)  traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire;

     

    g)  coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect;

     

    h)  effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique;

     

    i)  suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication et des pratiques commerciales;

     

    j)  adopte les clauses contractuelles types visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);

     

    k)  établit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données en application de l’article 35, paragraphe 4;

     

    l)  fournit des conseils sur les opérations de traitement visées à l’article 36, paragraphe 2;

     

    m)  encourage l’élaboration de codes de conduite en application de l’article 40, paragraphe 1, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l’article 40, paragraphe 5;

     

    n)  encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l’article 42, paragraphe 1, et approuve les critères de certification en application de l’article 42, paragraphe 5;

     

    o) procède, le cas échéant, à l’examen périodique des certifications délivrées conformément à l’article 42, paragraphe 7;

     

    p)  rédige et publie les critères d’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

    q)  procède à l’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43;

    r)  autorise les clauses contractuelles et les dispositions visées à l’article 46, paragraphe 3;

    s)  approuve les règles d’entreprise contraignantes en application de l’article 47;

    t)  contribue aux activités du comité;

    u)  tient des registres internes des violations au présent règlement et des mesures prises conformément à l’article 58, paragraphe 2; et

    v)  s’acquitte de toute autre mission relative à la protection des données à caractère personnel.

  2. Chaque autorité de contrôle facilite l’introduction des réclamations visées au paragraphe 1, point f), par des mesures telles que la fourniture d’un formulaire de réclamation qui peut aussi être rempli par voie électronique, sans que d’autres moyens de communication ne soient exclus.

     

  3. L’accomplissement des missions de chaque autorité de contrôle est gratuit pour la personne concernée et, le cas échéant, pour le délégué à la protection des données.

     

  4. Lorsque les demandes sont manifestement infondées ou excessives, en raison, notamment, de leur caractère répétitif, l’autorité de contrôle peut exiger le paiement de frais raisonnables basés sur les coûts administratifs ou refuser de donner suite à la demande. Il incombe à l’autorité de contrôle de démontrer le caractère manifestement infondé ou excessif de la demande. »

Jurisprudence

Aucune jurisprudence sur cet article ! 

Inscrivez-vous à notre newsletter RGPD

👉  Restez informé et soyez averti dès la publication de nouveaux articles.

FAQ : Divorce, droit de la famille

Cette procédure peut conduire à des condamnations sous astreinte et des  amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.

Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €