Certaines des interventions et décisions prises par les autorités de contrôle européennes, et notamment celles de la CNIL, sont prises dans le cadre des règles de coopération et de cohérence prévues au chapitre VII du RGPD. L’objectif est d’harmoniser l’application du RGPD au sein de l’UE voire de l’EEE. Sachant qu’une décision affectant un responsable de traitement ou sous-traitant établi en France peut résulter de ces procédures de coopération et cohérence, les intervenantes aborderont notamment les questions suivantes : Comment les autorités et le Comité Européen à la Protection des Données « CEPD » interagissent ils ? Et notamment, comment s’organise le travail sur les décisions telles que les lignes directrices, les BCR ou les codes de conduites ? Dans quels cas une autorité doit-elle ou peut-elle demander l’avis du CEPD et quelle est la force contraignante d’un tel avis ? Comment se résolvent les désaccords entre autorités nationales au sein du CEPD ? Comment cette coopération est-elle appliquée dans les enquêtes ou sanctions sur des traitements transfrontaliers et notamment en cas d’une décision contraignante du CEPD ? Tels ont été les questions posé à nos deuxc intervenantes durant cette session.

Sur ces sujets il y a un avant et un après avec le RGPD explique Stephanie Faber. La procédure de cohérence est une directive d’application directe. C’est un texte très dense avec la volonté d’avoir une interprétation commune pour les traitements intra européens. Louise Fauvel rappelle que l’EDPB a un président et un représentant de chaque pays européen d’organisation identique à celle de la CNIL. Il y a plusieurs sous-groupes dont un sur les questions de contentieux. L’organisation regroupe une trentaine de secrétaires qui travaillent sur ces questions. Le travail se fait en anglais avec une traduction par pays. Plusieurs sujets sont traités par les groupes de travail comme les recommandations, des codes de conduites, des avis encadré par l’article 64 du RGPD, des réunions sont programmées tous les mois pour discuter sur les textes de documents produits avant adoption. Les règles contraignantes sont soumises à l’avis du CEPD avec un circuit bien Précis pour être validées.
Karin Kiefer explique que pour la nouvelle, étude de l’EDPB à laquelle la CNIL a participé, elle a fait part des contrôles et des sanctions qu’elle a prononcé en France. Son apport portait uniquement sur 14 contrôles sur plus de 300 effectués en 2023.

Au niveau des manquements transfrontalier il y a eu 2.500 affaires. Du côté de la CNIL le nombre de dossiers transfrontaliers est minime mais sont très mobilisant en termes d’activité. 42 sanctions ont été prononcées dont 6 en coopération et la CNIL a dû se prononcer sur 5 projets de sanctions suite à des saisies par des pays européens tiers.

Des procédures avec des circuits de prises de décision courts

La procédure d’enquêtes pour des contrôles transfrontaliers se réalise suite à une plainte après par exemple des violations de données. Il y a dans ce cas un dépôt de plainte soit d’un ressortissant français soit d’un ressortissant d’un autre pays européen. Suite à la plainte une enquête est menée. Il arrive que la CNIL mène des contrôles en ligne à l’étranger dans le cadre de coopération.

La confrontation entre les CNIL européennes se déroule lors du projet de sanctions. Dans certaines occasions il y a une coordination avant la demande de sanctions. Des étapes sont donc établies. Des pré-projets sont réalisés pour éviter les blocages car les délais sont très courts. Une autorité peut émettre des commentaires voir des objections pertinentes et motivées dont on doit tenir compte. Ces objections peuvent porter sur le montant de l’amende, sur des manquements qui ne sont pas suffisamment qualifiés, des ajouts de mesures... Toutefois Karin Kiefer rappelle qu’il y en a eu très peu à ce jour. Par exemple sur 6 dossiers en 2023 il n’y en a pas eu.

Lorsqu’il n’y a pas de consensus par exemple si il y a un des cas sur la compétence ou encore le cas d’une autorité cheffe de file n’a pas suivi les modifications demandées de ce fait il y a une prise de décision par le secrétariat de l´EDPB et par les CNIL des autres pays sauf celle du pays demandeur et de celle qui a émise l’objection. La décision doit être prise dans les 4 semaines à la majorité des deux tiers voir deux semaines de plus pour que la décision soit adoptée à la majorité simple.

Karin Kiefer explique que pour le mise en cause une défense contradictoire devant la CNIL du pays plaignant est entendue avant l’adoption du projet de décision. Une fois que le projet de décision est adopté l’entreprise mise en cause ne reçoit pas d’information sur le motif de la sanction. S’il y a une observation par un pays tiers à ce moment le mise en cause est informé des causes de la sanction. Le plaignant n’est pas informé au début de la procédure par contre, il sera tenue informé de la décision prise qui peut par la suite en faire la publicité’

Stephanie Faber : Y a-t-il des recours possible ?

Louise Fauvel explique qu’il n’y a pas de possibilité de recours suite à une décision pour les plaignants. Par contre, l’organisation concernée par la sanction peut faire un recours devant la cours européenne de justice…