Article 79 : Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant

  1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.
  2. Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

Article 78 : Droit à un recours juridictionnel effectif contre une autorité de contrôle

  1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
  2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.
  3. Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.
  4. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

Article 77 : Droit d’introduire une réclamation auprès d’une autorité de contrôle

  1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.
  2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78.

Article 76 : Confidentialité

  1. Lorsque le comité le juge nécessaire, ses débats sont confidentiels, comme le prévoit son règlement intérieur.
  2. L’accès aux documents présentés aux membres du comité, aux experts et aux représentants de tiers est régi par le règlement (CE) no 1049/2001 du Parlement européen et du Conseil (21).

Article 75 : Secrétariat

  1. Le comité dispose d’un secrétariat, qui est assuré par le Contrôleur européen de la protection des données.
  2. Le secrétariat accomplit ses tâches sous l’autorité exclusive du président du comité.
  3. Le personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité est soumis à une structure hiérarchique distincte de celle du personnel qui participe à l’exercice des missions confiées au Contrôleur européen de la protection des données.
  4. Le cas échéant, le comité et le Contrôleur européen de la protection des données établissent et publient un protocole d’accord mettant en œuvre le présent article, fixant les modalités de leur coopération et s’appliquant au personnel du Contrôleur européen de la protection des données qui participe à l’exercice des missions que le présent règlement confie au comité.
  5. Le secrétariat fournit un soutien analytique, administratif et logistique au comité.
  6. Le secrétariat est notamment chargé de:
    a) la gestion courante du comité;
    b) la communication entre les membres du comité, son président et la Commission;
    c) la communication avec d’autres institutions et le public;
    d) l’utilisation des voies électroniques pour la communication interne et externe;
    e) la traduction des informations utiles;
    f) la préparation et le suivi des réunions du comité;
    g) la préparation, la rédaction et la publication d’avis, de décisions relatives au règlement des litiges entre autorités de contrôle et d’autres textes adoptés par le comité.

Article 74 : Missions du président

  1. Le président a pour missions:
    a) de convoquer les réunions du comité et d’établir l’ordre du jour;
    b) de notifier les décisions adoptées par le comité en application de l’article 65 à l’autorité de contrôle chef de file et aux autorités de contrôle concernées;
    c) de veiller à l’accomplissement, dans les délais, des missions du comité, notamment en ce qui concerne le mécanisme de contrôle de la cohérence visé à l’article 63.
  2. Le comité fixe dans son règlement intérieur la répartition des tâches entre le président et les vice-présidents.

Article 71 : Rapports

  1. Le comité établit un rapport annuel sur la protection des personnes physiques à l’égard du traitement dans l’Union et, s’il y a lieu, dans les pays tiers et les organisations internationales. Le rapport est rendu public et communiqué au Parlement européen, au Conseil et à la Commission.
  2. Le rapport annuel présente notamment le bilan de l’application pratique des lignes directrices, recommandations et bonnes pratiques visées à l’article 70, paragraphe 1, point l), ainsi que des décisions contraignantes visées à l’article 65.

Article 70 : Missions du comité

  1. Le comité veille à l’application cohérente du présent règlement. À cet effet, le comité, de sa propre initiative ou, le cas échéant, à la demande de la Commission, a notamment pour missions:
    a) de surveiller et garantir la bonne application du présent règlement dans les cas prévus aux articles 64 et 65, sans préjudice des missions des autorités de contrôle nationales;
    b) de conseiller la Commission sur toute question relative à la protection des données à caractère personnel dans l’Union, y compris sur tout projet de modification du présent règlement;
    c) de conseiller la Commission, en ce qui concerne les règles d’entreprise contraignantes, sur la forme de l’échange d’informations entre les responsables du traitement, les sous-traitants et les autorités de contrôle, ainsi que les procédures qui s’y rapportent;
    d) de publier des lignes directrices, des recommandations et des bonnes pratiques sur les procédures de suppression des liens vers des données à caractère personnel, des copies ou des reproductions de celles-ci existant dans les services de communication accessibles au public, ainsi que le prévoit l’article 17, paragraphe 2;
    e) d’examiner, de sa propre initiative, à la demande de l’un de ses membres ou à la demande de la Commission, toute question portant sur l’application du présent règlement, et de publier des lignes directrices, des recommandations et des bonnes pratiques afin de favoriser l’application cohérente du présent règlement;
    f) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et conditions applicables aux décisions fondées sur le profilage en vertu de l’article 22, paragraphe 2;
    g) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir les violations de données à caractère personnel, de déterminer les meilleurs délais visés à l’article 33, paragraphes 1 et 2, et de préciser les circonstances particulières dans lesquelles un responsable du traitement ou un sous-traitant est tenu de notifier la violation de données à caractère personnel;
    h) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe concernant les circonstances dans lesquelles une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques comme le prévoit l’article 34, paragraphe 1;
    i) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, aux fins de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel fondés sur des règles d’entreprise contraignantes appliquées par les responsables du traitement et sur des règles d’entreprise contraignantes appliquées par les sous-traitants et concernant les autres exigences nécessaires pour assurer la protection des données à caractère personnel des personnes concernées visées à l’article 47;
    j) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue de préciser davantage les critères et exigences applicables aux transferts de données à caractère personnel sur la base de l’article 49, paragraphe 1;
    k) d’élaborer, à l’intention des autorités de contrôle, des lignes directrices concernant l’application des mesures visées à l’article 58, paragraphes 1, 2 et 3, ainsi que la fixation des amendes administratives en vertu de l’article 83;
    l) de faire le bilan de l’application pratique des lignes directrices, des recommandations et des bonnes pratiques;
    m) de publier des lignes directrices, des recommandations et des bonnes pratiques conformément au point e) du présent paragraphe, en vue d’établir des procédures communes pour le signalement par des personnes physiques de violations du présent règlement en vertu de l’article 54, paragraphe 2;
    n) d’encourager l’élaboration de codes de conduite et la mise en place de mécanismes de certification et de labels et de marques en matière de protection des données en vertu des articles 40 et 42;
    o) d’approuver les critères de certification en vertu de l’article 42, paragraphe 5, et de tenir un registre public des mécanismes de certification et des labels et marques en matière de protection des données en vertu de l’article 42, paragraphe 8, ainsi que des responsables du traitement ou des sous-traitants certifiés établis dans des pays tiers en vertu de l’article 42, paragraphe 7;
    p) d’approuver les exigences visées à l’article 43, paragraphe 3, aux fins de l’agrément des organismes de certification prévu à l’article 43;
    q) de rendre à la Commission un avis sur les exigences en matière de certification visées à l’article 43, paragraphe 8;
    r) de rendre à la Commission un avis sur les icônes visées à l’article 11, paragraphe 7;
    s) de rendre à la Commission un avis en ce qui concerne l’évaluation du caractère adéquat du niveau de protection assuré par un pays tiers ou une organisation internationale, y compris concernant l’évaluation visant à déterminer si un pays tiers, un territoire ou un ou plusieurs secteurs déterminés dans ce pays tiers, ou une organisation internationale n’assurent plus un niveau adéquat de protection. À cette fin, la Commission fournit au comité tous les documents nécessaires, y compris la correspondance avec le gouvernement du pays tiers, en ce qui concerne ledit pays tiers, territoire ou secteur déterminé ou avec l’organisation internationale;
    t) d’émettre des avis sur les projets de décisions des autorités de contrôle conformément au mécanisme de contrôle de la cohérence visé à l’article 64, paragraphe 1, sur les questions soumises en vertu de l’article 64, paragraphe 2, et d’émettre des décisions contraignantes en vertu de l’article 65, y compris dans les cas visés à l’article 66;
    u) de promouvoir la coopération et l’échange bilatéral et multilatéral effectif d’informations et de bonnes pratiques entre les autorités de contrôle;
    v) de promouvoir l’élaboration de programmes de formation conjoints et de faciliter les échanges de personnel entre autorités de contrôle, ainsi que, le cas échéant, avec les autorités de contrôle de pays tiers ou d’organisations internationales;
    w) de promouvoir l’échange, avec des autorités de contrôle de la protection des données de tous pays, de connaissances et de documentation sur la législation et les pratiques en matière de protection des données;
    x) d’émettre des avis sur les codes de conduite élaborés au niveau de l’Union en application de l’article 40, paragraphe 9; et
    y) de tenir un registre électronique, accessible au public, des décisions prises par les autorités de contrôle et les juridictions sur les questions traitées dans le cadre du mécanisme de contrôle de la cohérence.
  2. Lorsque la Commission demande conseil au comité, elle peut mentionner un délai, selon l’urgence de la question.
  3. Le comité transmet ses avis, lignes directrices, recommandations et bonnes pratiques à la Commission et au comité visé à l’article 93, et les publie.
  4. Le comité consulte, le cas échéant, les parties intéressées et leur permet de formuler des observations dans un délai raisonnable. Il met les résultats de la procédure de consultation à la disposition du public, sans préjudice de l’article 76.