L'article 36 du Règlement général sur la protection des données (RGPD) établit une obligation spécifique de consultation préalable de l'autorité de contrôle avant la mise en œuvre de certains traitements présentant un risque élevé pour les droits et libertés des personnes. Cette disposition constitue un mécanisme de contrôle ex ante, permettant à l'autorité compétente d'intervenir avant qu'un traitement potentiellement problématique ne soit déployé.
Cette consultation préalable s'inscrit dans la continuité de l'analyse d'impact relative à la protection des données (AIPD) prévue à l'article 35 du RGPD. Lorsqu'une AIPD révèle un risque élevé résiduel que le responsable du traitement ne peut pas réduire par des mesures appropriées, la consultation de l'autorité de contrôle devient obligatoire. L'article 36 garantit ainsi un contrôle renforcé sur les traitements les plus sensibles.
L'objectif de cette disposition est de prévenir les atteintes graves aux droits et libertés des personnes avant qu'elles ne se produisent, en permettant à l'autorité de contrôle de formuler des recommandations ou des exigences contraignantes avant la mise en œuvre du traitement. Il s'agit d'un outil essentiel de la régulation préventive en matière de protection des données.
Texte officiel de l'article 36 du RGPD
L'article 36 du RGPD dispose notamment que :
« 1. Le responsable du traitement consulte l'autorité de contrôle préalablement au traitement lorsqu'une analyse d'impact relative à la protection des données en application de l'article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
2. Lorsque l'autorité de contrôle est d'avis que le traitement envisagé, visé au paragraphe 1, ne respecterait pas le présent règlement, en particulier lorsque le responsable du traitement n'a pas suffisamment identifié ou atténué le risque, elle fournit, dans un délai de huit semaines à compter de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage de l'ensemble de ses pouvoirs visés à l'article 58. Ce délai peut être prolongé de six semaines, compte tenu de la complexité du traitement envisagé. L'autorité de contrôle informe le responsable du traitement ou le sous-traitant de cette prolongation dans un délai d'un mois à compter de la réception de la demande de consultation, en indiquant les motifs du retard. Ces délais peuvent être suspendus jusqu'à ce que l'autorité de contrôle ait obtenu les informations qu'elle a demandées aux fins de la consultation.
3. Lorsqu'il consulte l'autorité de contrôle en application du paragraphe 1, le responsable du traitement lui communique les informations suivantes : a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints du traitement et des sous-traitants participant au traitement, en particulier dans le cas d'un traitement au sein d'un groupe d'entreprises ; b) les finalités et les moyens du traitement envisagé ; c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en application du présent règlement ; d) le cas échéant, les coordonnées du délégué à la protection des données ; e) l'analyse d'impact relative à la protection des données prévue à l'article 35 ; et f) toute autre information demandée par l'autorité de contrôle.
4. Les États membres consultent l'autorité de contrôle dans le cadre de l'élaboration d'une proposition d'acte législatif national à adopter par un parlement national, ou d'une mesure réglementaire fondée sur un tel acte législatif, qui a trait au traitement.
5. Nonobstant le paragraphe 1, le droit des États membres peut imposer aux responsables du traitement de consulter l'autorité de contrôle et d'obtenir son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d'une mission d'intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. »
Ce texte établit une procédure formelle de consultation obligatoire permettant à l'autorité de contrôle d'émettre un avis sur les traitements présentant un risque élevé résiduel, dans un délai encadré de 8 semaines, pouvant être prolongé de 6 semaines supplémentaires en cas de complexité.
Champ d'application de la consultation préalable
La consultation préalable de l'autorité de contrôle n'est obligatoire que dans des cas spécifiques, strictement encadrés par l'article 36. Elle intervient lorsqu'une analyse d'impact relative à la protection des données (AIPD), réalisée conformément à l'article 35, révèle que le traitement envisagé présenterait un risque élevé pour les droits et libertés des personnes, si aucune mesure d'atténuation n'était prise par le responsable du traitement.
En d'autres termes, la consultation préalable ne concerne pas tous les traitements nécessitant une AIPD, mais uniquement ceux pour lesquels l'AIPD a mis en évidence un risque élevé résiduel, c'est-à-dire un risque qui subsiste malgré les mesures envisagées par le responsable du traitement. Cette condition garantit que l'autorité de contrôle concentre son examen sur les traitements présentant les enjeux les plus critiques en matière de protection des données.
Il est important de noter que la consultation préalable doit intervenir avant la mise en œuvre du traitement. Un responsable de traitement qui déploierait un traitement à risque élevé sans avoir consulté l'autorité de contrôle s'expose à des sanctions administratives sur le fondement de l'article 83, paragraphe 4, point b du RGPD.
Procédure et délais de consultation
L'article 36 prévoit une procédure formelle encadrée par des délais stricts. Le responsable du traitement doit fournir à l'autorité de contrôle un ensemble d'informations détaillées, comprenant notamment les finalités et moyens du traitement, les responsabilités des acteurs impliqués, les mesures et garanties prévues, les coordonnées du délégué à la protection des données (DPO), ainsi que l'analyse d'impact réalisée conformément à l'article 35.
Une fois la demande de consultation reçue, l'autorité de contrôle dispose d'un délai de 8 semaines pour rendre son avis écrit. Ce délai peut être prolongé de 6 semaines supplémentaires en raison de la complexité du traitement envisagé, sous réserve que l'autorité en informe le responsable du traitement dans un délai d'un mois à compter de la réception de la demande. Les délais peuvent également être suspendus si l'autorité sollicite des informations complémentaires nécessaires à l'examen du dossier.
L'avis de l'autorité de contrôle peut contenir des recommandations, des mises en garde ou des exigences contraignantes. Si l'autorité estime que le traitement ne respecterait pas le RGPD, elle peut exercer l'ensemble de ses pouvoirs prévus à l'article 58, y compris limiter temporairement ou définitivement le traitement, voire l'interdire.
Consultation des autorités publiques dans le cadre législatif
Le paragraphe 4 de l'article 36 impose aux États membres une obligation de consulter l'autorité de contrôle lors de l'élaboration de projets d'actes législatifs ou réglementaires nationaux portant sur des traitements de données personnelles. Cette disposition garantit que le législateur national intègre les exigences du RGPD dès la conception des textes normatifs.
Cette consultation législative constitue un mécanisme de contrôle préventif visant à éviter l'adoption de dispositions nationales incompatibles avec le RGPD. Elle permet à l'autorité de contrôle de formuler des observations et recommandations avant l'adoption des textes, contribuant ainsi à une meilleure cohérence du cadre juridique national avec le droit européen de la protection des données.
Articulation avec les autres dispositions du RGPD
L'article 36 s'inscrit dans un dispositif cohérent de gestion des risques prévu par le RGPD. Il constitue le prolongement logique de l'article 35 relatif à l'analyse d'impact. Lorsque l'AIPD révèle un risque élevé résiduel, le responsable du traitement doit impérativement consulter l'autorité de contrôle avant de poursuivre le déploiement du traitement.
Cette consultation s'articule également avec les pouvoirs des autorités de contrôle définis à l'article 58, qui leur permettent de formuler des avertissements, des rappels à l'ordre, ou d'imposer des limitations ou des interdictions de traitement. Enfin, l'article 36 renvoie implicitement au rôle du délégué à la protection des données (DPO), dont les coordonnées doivent être transmises à l'autorité dans le cadre de la consultation préalable.
Jurisprudence relative à l'article 36
À ce jour, peu de décisions jurisprudentielles portent spécifiquement sur l'article 36, en raison de son caractère procédural et préventif. Toutefois, plusieurs autorités de contrôle européennes ont sanctionné des responsables de traitement pour défaut de consultation préalable alors qu'une AIPD avait révélé un risque élevé résiduel. Ces décisions rappellent que la consultation n'est pas une simple formalité, mais une obligation contraignante assortie de sanctions en cas de méconnaissance.
La CNIL a également publié plusieurs délibérations relatives à des consultations préalables portant sur des projets de traitement dans le secteur public, notamment en matière de vidéosurveillance intelligente ou de fichiers de police. Ces décisions montrent que l'autorité examine en détail la proportionnalité des mesures envisagées et formule des recommandations visant à renforcer les garanties pour les personnes concernées.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 3/2019 relatives au traitement des données à caractère personnel par des moyens vidéo, dans lesquelles il précise les conditions d'application de l'article 36. Le CEPD recommande aux responsables de traitement de ne pas attendre la finalisation de l'AIPD pour engager un dialogue avec l'autorité de contrôle, notamment lorsque le traitement présente des caractéristiques innovantes ou complexes.
La CNIL, de son côté, encourage les responsables de traitement à solliciter un accompagnement méthodologique en amont de la consultation formelle, afin de faciliter l'instruction du dossier et d'identifier rapidement les points d'attention. Elle rappelle également que la consultation préalable ne dispense pas le responsable du traitement de ses autres obligations, notamment la tenue du registre des activités de traitement et la mise en œuvre de mesures de sécurité appropriées.
Implications pratiques pour les responsables de traitement
Pour les organisations, l'article 36 impose une vigilance accrue dans la gestion des projets de traitement à risque élevé. Il est impératif d'intégrer la consultation préalable dans le calendrier du projet, en prévoyant un délai suffisant pour l'instruction du dossier par l'autorité de contrôle, soit au minimum 8 semaines, voire 14 semaines en cas de complexité.
Le dossier de consultation doit être complet, précis et documenté, comprenant l'AIPD réalisée, la description détaillée du traitement, les mesures de sécurité et de protection envisagées, ainsi que les coordonnées du DPO. Une préparation rigoureuse et une coopération active avec l'autorité de contrôle sont essentielles pour garantir la conformité du traitement et éviter tout retard ou blocage du projet.
L'article 36 du RGPD constitue un mécanisme de contrôle préventif essentiel pour garantir la protection des droits et libertés des personnes face aux traitements présentant un risque élevé. Il impose une consultation obligatoire de l'autorité de contrôle lorsque l'analyse d'impact révèle un risque résiduel significatif, dans un délai strictement encadré. Pour les responsables de traitement, cette obligation nécessite une anticipation rigoureuse, une documentation complète et une coopération active avec l'autorité compétente, afin de garantir la conformité et la sécurité juridique des projets de traitement.