Article 59 Rapports d'activité

Contenu du rapport annuel

Le rapport annuel d'activité doit fournir une vision complète et fidèle de l'action de l'autorité de contrôle au cours de l'année écoulée. Il peut notamment inclure des statistiques sur le nombre de réclamations reçues et traitées, les types de violations notifiées par les responsables de traitement, les contrôles effectués, les mises en demeure prononcées, les amendes infligées, et les autres mesures correctrices adoptées.

Au-delà des données chiffrées, le rapport annuel présente généralement les orientations stratégiques de l'autorité, ses priorités d'action pour l'année écoulée et à venir, les évolutions législatives et réglementaires significatives, et les travaux de coopération européenne auxquels elle a participé. Il constitue ainsi un document de référence pour comprendre l'action de l'autorité et l'évolution du paysage de la protection des données.

Le rapport annuel peut également inclure des analyses thématiques sur des sujets d'actualité, des retours d'expérience sur des affaires marquantes, et des recommandations à l'intention des responsables de traitement, des sous-traitants, et des pouvoirs publics. Ces éléments qualitatifs enrichissent la compréhension des enjeux de la protection des données et orientent les acteurs dans leurs démarches de conformité.

Destinataires du rapport annuel

L'article 59 impose la transmission du rapport annuel à plusieurs catégories de destinataires. Au niveau national, le rapport doit être transmis au parlement, au gouvernement, et aux autres autorités désignées par le droit de l'État membre. Cette transmission garantit que les institutions démocratiques nationales disposent d'une information complète sur l'activité de l'autorité de contrôle et peuvent, le cas échéant, exercer leur fonction de contrôle ou adopter des mesures législatives en réponse aux difficultés identifiées.

Au niveau européen, le rapport doit être transmis au Comité européen de la protection des données (CEPD) et à la Commission européenne. Cette transmission permet au CEPD de disposer d'une vision d'ensemble de l'application du RGPD dans les différents États membres et d'identifier les besoins de coordination ou d'harmonisation. Elle permet également à la Commission d'évaluer l'effectivité de l'application du règlement et de préparer ses propres rapports au Parlement européen et au Conseil.

Enfin, le rapport annuel doit être mis à la disposition du public, conformément aux principes de transparence et de redevabilité qui caractérisent l'action des autorités de contrôle. La publication du rapport permet aux citoyens, aux organisations, aux chercheurs et aux médias de prendre connaissance de l'action de l'autorité et de contribuer au débat public sur la protection des données.

Fonction de redevabilité démocratique

L'obligation d'établir un rapport annuel constitue un mécanisme essentiel de redevabilité démocratique des autorités de contrôle. Bien qu'indépendantes dans l'exercice de leurs missions, ces autorités demeurent des institutions publiques financées par l'impôt et exerçant des prérogatives de puissance publique. Il est donc légitime qu'elles rendent compte de leur action devant les représentants élus et le public.

La redevabilité ne porte pas sur le contenu des décisions individuelles prises par l'autorité, qui relève de son indépendance et ne peut être remis en cause que par les voies de recours juridictionnelles. Elle porte sur l'activité globale de l'autorité, ses choix stratégiques, l'utilisation de ses ressources, et les résultats obtenus dans l'accomplissement de ses missions.

Articulation avec les rapports de la Commission européenne

L'article 59 s'articule avec l'article 97 du RGPD, qui impose à la Commission européenne de présenter un rapport d'évaluation et de réexamen du RGPD au Parlement européen et au Conseil. Les rapports annuels des autorités de contrôle constituent une source d'information essentielle pour l'élaboration de ce rapport de la Commission, permettant d'identifier les difficultés pratiques d'application du règlement et les besoins éventuels d'adaptation.

La transmission systématique des rapports annuels au CEPD permet également à cet organisme de disposer d'une vision consolidée de l'application du RGPD et d'identifier les domaines nécessitant des lignes directrices ou des recommandations communes pour harmoniser les pratiques des autorités de contrôle.

Pratique des autorités de contrôle

En France, la CNIL publie chaque année un rapport d'activité détaillé, accompagné de données statistiques et d'analyses thématiques. Ce rapport constitue un document de référence largement diffusé et commenté, tant par les professionnels de la protection des données que par les médias et le grand public. Il fait généralement l'objet d'une présentation publique et d'échanges avec les parlementaires et les parties prenantes.

La plupart des autorités de contrôle européennes adoptent une approche similaire, publiant des rapports annuels accessibles en ligne et organisant des événements de communication autour de leur publication. Ces rapports constituent un outil important de sensibilisation du public aux enjeux de la protection des données et de valorisation de l'action des autorités.

Jurisprudence relative à l'article 59

La jurisprudence spécifique à l'article 59 est limitée, cette disposition ayant principalement un caractère procédural et organisationnel. Toutefois, l'obligation de rendre compte de l'activité des autorités de contrôle et la transparence de leur action ont été soulignées par la Cour de justice de l'Union européenne comme des éléments essentiels de leur légitimité démocratique et de la confiance du public.

Les rapports annuels des autorités de contrôle sont régulièrement cités dans les travaux législatifs nationaux et européens, ainsi que dans les décisions de justice, comme source d'information sur les pratiques en matière de protection des données et sur l'interprétation du RGPD par les autorités compétentes.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) souligne l'importance de son rapport annuel comme outil de communication et de dialogue avec l'ensemble des parties prenantes. Elle encourage les organisations à consulter ce rapport pour identifier les priorités de l'autorité, comprendre son approche des différentes problématiques, et anticiper les évolutions de sa doctrine.

Le Comité européen de la protection des données (CEPD) utilise les rapports annuels des autorités de contrôle pour identifier les bonnes pratiques et les difficultés communes dans l'application du RGPD. Il encourage les autorités à harmoniser progressivement le contenu et la présentation de leurs rapports annuels afin de faciliter les comparaisons et de renforcer la cohérence de l'application du règlement.

Implications pratiques pour les responsables de traitement

Les responsables de traitement et les sous-traitants ont intérêt à consulter régulièrement les rapports annuels de leur autorité de contrôle nationale et des autres autorités européennes. Ces rapports fournissent des informations précieuses sur les priorités de contrôle, les secteurs d'activité sous surveillance, les types de manquements fréquemment sanctionnés, et les évolutions de la doctrine des autorités.

La consultation des rapports annuels permet aux organisations d'anticiper les attentes des autorités de contrôle, d'identifier les domaines dans lesquels des efforts particuliers de conformité sont nécessaires, et de bénéficier des enseignements tirés des affaires traitées au cours de l'année écoulée. Les statistiques et les analyses thématiques publiées dans ces rapports constituent également des outils utiles pour sensibiliser les dirigeants et les équipes aux enjeux de la protection des données.