Article 67 Échange d'informations

Pouvoir d'exécution de la Commission européenne

L'article 67 confère à la Commission européenne le pouvoir d'adopter des actes d'exécution de portée générale pour préciser les modalités de l'échange d'informations par voie électronique entre autorités de contrôle, ainsi qu'entre les autorités et le CEPD. Ce pouvoir vise à garantir l'interopérabilité des systèmes d'information utilisés par les différentes autorités et à faciliter une communication rapide et sécurisée.

Les actes d'exécution adoptés par la Commission peuvent notamment définir les formats types à utiliser pour certaines communications, les protocoles de sécurité à respecter, les délais de transmission des informations, et les modalités d'archivage et de traçabilité des échanges. Ils contribuent ainsi à l'harmonisation des pratiques de coopération entre autorités.

Format type pour les échanges d'informations

L'article 67 fait expressément référence au format type visé à l'article 64, relatif aux avis du Comité européen de la protection des données. Ce format type vise à standardiser la présentation des informations soumises au CEPD dans le cadre du mécanisme de contrôle de la cohérence, facilitant ainsi l'examen des dossiers et la comparaison entre différentes situations.

La standardisation des formats d'échange présente plusieurs avantages : elle réduit les délais de traitement en permettant une identification rapide des informations pertinentes, elle facilite la traduction des documents entre les différentes langues de l'Union, et elle améliore la traçabilité des échanges en permettant un archivage structuré des communications.

Système d'information du marché intérieur (IMI)

Bien que l'article 67 ne le mentionne pas expressément, le système d'information du marché intérieur (IMI) constitue le principal outil informatique utilisé pour les échanges d'informations entre autorités de contrôle dans le cadre de l'application du RGPD. Ce système, initialement développé pour d'autres domaines de coopération administrative au sein de l'Union, a été adapté aux besoins spécifiques de la protection des données.

Le système IMI permet aux autorités de contrôle d'échanger de manière sécurisée des demandes d'assistance mutuelle, des informations sur des traitements transfrontaliers, des projets de décision soumis au mécanisme de cohérence, et toute autre information nécessaire à l'exercice de leurs missions. Il garantit la confidentialité des échanges et assure la traçabilité de toutes les communications.

Procédure d'examen pour l'adoption des actes d'exécution

L'article 67 précise que les actes d'exécution relatifs aux modalités d'échange d'informations sont adoptés conformément à la procédure d'examen visée à l'article 93, paragraphe 2, du RGPD. Cette procédure implique la consultation d'un comité composé de représentants des États membres, garantissant ainsi que les modalités pratiques de coopération soient définies en concertation avec les autorités nationales concernées.

La procédure d'examen offre un équilibre entre l'efficacité de l'action de la Commission et le respect des prérogatives des États membres en matière d'organisation de leurs autorités de contrôle. Elle permet aux États membres de s'assurer que les actes d'exécution adoptés sont techniquement réalisables et compatibles avec leurs systèmes nationaux.

Confidentialité des informations échangées

Bien que l'article 67 ne traite pas directement de la confidentialité des informations échangées, cette question est régie par d'autres dispositions du RGPD, notamment l'article 76 relatif à la confidentialité, et par les règles nationales applicables aux autorités de contrôle. Les informations échangées entre autorités dans le cadre de leur coopération sont couvertes par le secret professionnel et ne peuvent être utilisées qu'aux fins de l'application du RGPD.

Cette protection de la confidentialité est essentielle pour garantir la confiance mutuelle entre autorités de contrôle et pour permettre des échanges francs et complets d'informations, y compris sur des affaires sensibles ou en cours d'investigation. Elle protège également les intérêts légitimes des responsables de traitement faisant l'objet d'enquêtes, en évitant une divulgation prématurée d'informations confidentielles.

Articulation avec les autres dispositions du RGPD

L'article 67 s'articule avec l'ensemble des dispositions du chapitre VII relatives à la coopération et à la cohérence. Il fournit la base juridique permettant les échanges d'informations nécessaires à la mise en œuvre de l'assistance mutuelle (article 61), des opérations conjointes (article 62), et du mécanisme de contrôle de la cohérence (articles 63 à 66).

Il doit également être lu en lien avec l'article 76, qui impose aux membres et au personnel des autorités de contrôle, ainsi qu'aux membres du CEPD, une obligation de confidentialité couvrant toutes les informations confidentielles dont ils ont eu connaissance dans l'exercice de leurs fonctions. Cette obligation s'applique également aux informations échangées en application de l'article 67.

Enfin, l'article 67 s'inscrit dans le cadre plus large de l'article 93, qui organise la procédure de comité pour l'adoption des actes d'exécution de la Commission dans le domaine de la protection des données.

Jurisprudence relative à l'article 67

La jurisprudence spécifique à l'article 67 du RGPD est très limitée, cette disposition ayant principalement un caractère technique et procédural. Toutefois, la mise en œuvre pratique de l'échange d'informations entre autorités de contrôle a fait l'objet de développements importants depuis l'entrée en application du RGPD.

La Commission européenne a adopté plusieurs actes d'exécution et documents d'orientation relatifs au système IMI et aux modalités d'échange d'informations dans le cadre de l'application du RGPD. Ces actes précisent les formats à utiliser, les délais de communication, et les procédures de traitement des demandes d'assistance mutuelle.

Le Comité européen de la protection des données a également publié des documents d'orientation sur l'utilisation du système IMI et sur les bonnes pratiques en matière d'échange d'informations entre autorités. Ces documents contribuent à harmoniser les pratiques de coopération et à garantir l'efficacité du système européen de protection des données.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données encourage les autorités de contrôle à utiliser systématiquement le système IMI pour leurs échanges d'informations dans le cadre de l'application du RGPD. Il recommande également aux autorités de répondre rapidement aux demandes d'informations reçues via ce système, afin de garantir l'efficacité de la coopération transfrontalière.

La CNIL souligne l'importance d'une communication proactive avec les autres autorités européennes, notamment dans le cadre des affaires transfrontalières. Elle encourage le partage d'informations sur les enquêtes en cours, les décisions adoptées, et les bonnes pratiques identifiées, contribuant ainsi à la construction d'une culture européenne commune de protection des données.

Le CEPD recommande également aux autorités de contrôle de veiller à la sécurité des informations échangées, en utilisant des canaux de communication chiffrés et en limitant l'accès aux informations aux seules personnes ayant besoin d'en connaître pour l'exercice de leurs missions.

Implications pratiques pour les responsables de traitement

Pour les responsables de traitement, l'article 67 et les échanges d'informations qu'il permet entre autorités de contrôle impliquent que les informations communiquées à une autorité dans le cadre d'une enquête ou d'une procédure peuvent être partagées avec d'autres autorités européennes. Cette circulation d'informations est toutefois strictement encadrée et limitée aux besoins de l'application du RGPD.

Les organisations doivent être conscientes que les autorités de contrôle disposent de moyens de coopération efficaces pour enquêter sur des traitements transfrontaliers et pour partager des informations sur des pratiques problématiques. La cohérence des informations communiquées aux différentes autorités et la transparence vis-à-vis des autorités de contrôle constituent donc des éléments essentiels d'une démarche de conformité.

Les responsables de traitement peuvent également s'appuyer sur les décisions et avis du CEPD, rendus publics conformément aux articles 64 et 65, pour anticiper l'interprétation du RGPD retenue au niveau européen et adapter leurs pratiques en conséquence. Ces documents constituent une source d'information précieuse sur les attentes des autorités de contrôle.