Accueil > Analytics > Autorités de protection des données : qui sont-elles et quel est leur rôle ?
autorités de protection des données rôle

Autorités de protection des données : qui sont-elles et quel est leur rôle ?

Les autorités de protection des données ont pour rôle d’assurer la protection des données personnelles. Découvrez qui sont ces autorités à l’échelle nationale ou européenne, et quels sont leurs missions et leur fonctionnement.

Avec l’essor du Big Data, les données personnelles sont de plus en plus convoitées et utilisées par les entreprises et les institutions. Dans ce contexte, la protection de ces données est devenue un enjeu crucial. Au lendemain de l’entrée en vigueur du RGPD dans l’Union européenne, découvrez qui sont les autorités chargées d’assurer la protection de vos données et quel est leur rôle.

APD : les autorités publiques de protection des données des États membres de l’UE

cnil apd france

Dans l’Union européenne, les APD ou Autorités de Protection des Données sont des autorités publiques indépendantes, dont le rôle est de contrôler l’application des législations relatives à la protection des données telles que le RGPD.

Pour contrôler cette application des lois, les APD bénéficient de pouvoirs d’enquête et d’adoption de mesures correctrices. Leur rôle est également de prodiguer aux entreprises des conseils d’experts sur les questions relatives à la protection des données. Elles se chargent aussi de traiter les réclamations liées à d’éventuelles violations du RGPD ou des législations nationales.

Chaque État membre de l’Union européenne dispose de sa propre Autorité de Protection des Données. En France, il s’agit de la CNIL (Commission Nationale de l’Informatique et des Libertés. Elle est basée au 8 rue Vivienne, à Paris, et présidée par Isabelle Falque-Pierrotin.

Dans la plupart des cas, c’est à la CNIL que les entreprises françaises doivent adresser leurs questions sur la protection des données. Cependant, pour les entreprises qui traitent des données dans différents États membres de l’UE, ou les groupes implémentés dans plusieurs États membres, les questions peuvent être adressées à l’APD d’un autre État membre en fonction de la provenance des données concernées.

Cliquez ici pour un accompagnement sur le RGPD

CEPD : le contrôleur européen de la protection des données

cepd protection données europe

À l’échelle de l’Union européenne, l’autorité chargée de la protection des données pour les institutions, organes et organismes est le CEPD (Contrôleur européen de la protection des données). Son rôle principal est de surveiller que les institutions de l’UE appliquent le RGPD de façon irréprochable.

En effet, les institutions européennes sont soumises aux mêmes obligations que les organisations employant plus de 40000 personnes. Elles se doivent mettre en place des procédures de gestion des données personnelles.

Dans ce but, le CEPD surveille toutes les activités qui impliquent un traitement de données personnelles, aussi bien pour les données des citoyens de l’UE que pour les visiteurs, les contractants ou les bénéficiaires de subventions. Le CEPD se charge aussi de superviser Europol, l’organe de l’UE qui coopère avec les autorités répressives pour lutter contre la criminalité internationale et le terrorisme.

Pour aider les institutions à assurer la protection des données personnelles, le CEPD leur fournit des conseils et des orientations sur la façon de se conformer à la réglementation. Il veille également à ce que la réglementation soit appliquée correctement.

Concrètement, le CEPD publie des lignes directrices, réalise des enquêtes suite à des réclamations, et vérifie les traitements à risque. Cet organe effectue sa mission de contrôle de la même façon que les autorités nationales de protection des données ou que les autorités de contrôle des différents États membres de l’UE.

Les institutions consultent le CEPD par le biais de leur délégué à la protection des données (DPD), afin d’obtenir un avis lorsqu’elles élaborent des mesures ou des règles internes impliquant le traitement de données personnelles. Elles reçoivent alors un avis écrit ou oral de la part du CEPD.

Si les règles ne sont pas respectées, le CEPD peut adresser un avertissement ou une admonestation à l’institution européenne concernée. Il peut aussi lui ordonner de satisfaire les demandes d’exercice des droits des citoyens, interdire un traitement de données, ou porter une affaire devant la Cour de justice de l’Union européenne.

DPD : le responsable de la protection des données personnelles au sein d’une entreprise

dpd protection données

Au sein d’une entreprise ou d’une institution, la personne chargée de veiller à l’application du RGPD et plus généralement à la protection des données personnelles est le DPD (Délégue à la Protection des Données) ou DPO en anglais (Data Protection Officer). Il s’agit d’une évolution du métier de Correspndant Informatique et Libertés (CIL).

Les conditions de désignation d’un DPD, son rôle et ses missions sont décrites dans les articles 37, 38 et 39 du RGPD. Le délégué à la protection des données est notamment chargé d’informer les responsables de son entreprise ou de son institution des règles relatives au traitement des données personnelles, de contrôler l’application de ces règles, et de prendre en charge les éventuelles réclamations relatives aux données personnelles.

Son rôle est également d’avertir les autorités en cas de violation du RGPD. Il est donc le point de transition entre l’entreprise ou le groupe d’entreprise pour lequel il officie et les autorités de contrôle de la protection des données personnelles.

La désignation d’un délégué à la protection des données personnelles compte parmi les pratiques à adopter dans le cadre d’une stratégie de gouvernance des données réussie. Pour en savoir plus sur les différents éléments d’une stratégie de gouvernance de l’information efficace, vous pouvez consulter un livre blanc dans lequel sont énumérés les quatre piliers d’une gouvernance d’environnement hybride réussie.

Cliquez ici pour un accompagnement sur le RGPD

Les autorités de protection des données personnelles dans le reste du monde

autorités protection données monde

Comme évoqué précédemment, le CEPD est l’autorité chargée de la protection des données personnelles dans l’Union européenne. Toutefois, les autres groupes d’États disposent également d’autorités chargées d’assurer cette protection.

On peut notamment citer le RIPD (réseau ibéro-américain de protection des données). En mai 2008, lors de sa sixième réunion, cet organisme a appelé les conférences internationales à la protection des données et à la vie privée à poursuivre leurs efforts en vue de l’adoption d’un instrument juridique commun.

Un autre exemple est celui des Autorités de protection des données d’Europe centrale et orientale (APDCO). Ce réseau cherche à élaborer des solutions communes et à assister les nouveaux membres dans la mise en place d’une législation de protection des données.

En Afrique, plusieurs pays francophones ont formé en 2007 une autorité de protection des données personnelles : l’Association Francophone des Autorités de Protection des Données Personnelles (AFAPDP). Elle est fondée par le Bénin, le Burkina Faso, la Côte d’Ivoire, le Gabon, le Mali, le Maroc, le Sénégal et la Tunisie. En 2015, le Mali a mis en place une autorité de protection des données personnelles : l’APDP.

Le CNIL a réalisé une carte très intéressante détaillant le niveau de protection des données personnelles dans les différents pays du monde. Vous pouvez consulter cette carte interactive à cette adresse. On constate qu’il existe de grandes disparités d’un pays à l’autre. Malheureusement, pour le moment, la mise en place d’une autorité mondiale de protection des données personnelles relève de l’utopie.

Cliquez ici pour un accompagnement sur le RGPD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Send this to a friend