Article 77 Droit d'introduire une réclamation auprès d'une autorité de contrôle

Conditions d'exercice du droit de réclamation

L'article 77 confère à toute personne concernée le droit d'introduire une réclamation auprès d'une autorité de contrôle si elle considère que le traitement de ses données personnelles constitue une violation du RGPD. Ce droit s'exerce de manière autonome, sans qu'il soit nécessaire de démontrer préalablement l'existence d'une violation ou d'avoir subi un préjudice. Il suffit que la personne concernée estime raisonnablement qu'une violation a été commise.

La réclamation peut être introduite par la personne concernée elle-même ou, conformément à l'article 80, par un organisme, une organisation ou une association à but non lucratif agissant en son nom. La gratuité de la procédure garantit l'accessibilité effective de ce droit pour tous les citoyens, indépendamment de leur situation économique.

Le RGPD ne prévoit pas de délai strict pour introduire une réclamation, mais les autorités de contrôle peuvent appliquer des règles de prescription raisonnables conformément aux législations nationales. Il est toutefois recommandé d'agir rapidement après la découverte de la violation présumée pour faciliter l'enquête de l'autorité.

Choix de l'autorité de contrôle compétente

L'article 77 offre à la personne concernée plusieurs options pour choisir l'autorité de contrôle auprès de laquelle introduire sa réclamation. Elle peut saisir l'autorité de l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail, ou le lieu où la violation aurait été commise. Cette flexibilité vise à faciliter l'accès au droit de réclamation en permettant aux personnes de choisir l'autorité avec laquelle elles ont le plus de liens ou qui est la plus accessible.

Dans les situations transfrontalières impliquant un responsable de traitement disposant d'établissements dans plusieurs États membres, le mécanisme de guichet unique prévu aux articles 56 et suivants s'applique. L'autorité de contrôle saisie coopère alors avec l'autorité de contrôle chef de file conformément aux procédures de coopération et de cohérence établies par le RGPD.

Si plusieurs autorités sont compétentes, la personne concernée conserve le libre choix de l'autorité qu'elle souhaite saisir. Ce choix ne peut être remis en cause par le responsable de traitement ou par les autorités elles-mêmes, garantissant ainsi l'effectivité du droit de réclamation.

Traitement de la réclamation par l'autorité de contrôle

Une fois la réclamation introduite, l'autorité de contrôle doit l'examiner et mener les investigations nécessaires pour déterminer si une violation du RGPD a été commise. L'autorité dispose pour ce faire de l'ensemble des pouvoirs d'enquête prévus à l'article 58, incluant notamment le pouvoir de demander des informations au responsable de traitement, de procéder à des audits et d'accéder aux locaux et aux systèmes d'information.

Le paragraphe 2 de l'article 77 impose à l'autorité de contrôle d'informer l'auteur de la réclamation de l'état d'avancement et de l'issue de celle-ci. Cette obligation d'information garantit la transparence de la procédure et permet au réclamant de suivre le traitement de sa demande. L'autorité doit également informer le réclamant de la possibilité d'exercer un recours juridictionnel conformément à l'article 78, que ce soit contre la décision de l'autorité ou en cas d'absence de décision dans un délai raisonnable.

Bien que le RGPD n'impose pas de délai strict pour le traitement des réclamations, l'article 57 précise que l'autorité de contrôle doit traiter les réclamations avec diligence. Les autorités nationales ont généralement établi des délais indicatifs, variant généralement entre trois et six mois selon la complexité de l'affaire.

Articulation avec les autres dispositions du RGPD

L'article 77 s'articule étroitement avec l'article 78, qui prévoit le droit à un recours juridictionnel effectif contre une décision de l'autorité de contrôle ou en cas d'absence de décision. Ces deux articles forment un système de recours à deux niveaux : un recours administratif devant l'autorité de contrôle, suivi d'un éventuel recours juridictionnel devant les tribunaux.

Il se combine également avec l'article 79, qui permet aux personnes concernées d'introduire directement un recours juridictionnel contre un responsable de traitement ou un sous-traitant, et avec l'article 80, qui prévoit la possibilité pour des organismes de représenter les personnes concernées dans l'exercice de leurs droits. L'article 57 complète ce dispositif en précisant les missions des autorités de contrôle, incluant le traitement des réclamations.

Jurisprudence relative à l'article 77

La Cour de justice de l'Union européenne a eu l'occasion de préciser la portée de l'article 77 dans plusieurs affaires importantes. Dans l'affaire Schrems II (C-311/18), la CJUE a confirmé que le droit de réclamation prévu à l'article 77 est un droit fondamental qui doit être exercé de manière effective, et que les autorités de contrôle ont l'obligation d'examiner toute réclamation avec diligence, même lorsqu'elle soulève des questions complexes de droit international.

Les juridictions nationales ont également développé une jurisprudence abondante sur les modalités d'exercice du droit de réclamation. Elles ont notamment précisé que le droit de réclamation ne peut être soumis à des conditions procédurales excessives qui rendraient son exercice excessivement difficile, conformément au principe d'effectivité des droits garantis par le RGPD. La gratuité de la procédure et l'absence d'obligation de représentation par un avocat contribuent à garantir l'accessibilité effective de ce droit.

Recommandations de la CNIL et du CEPD

La CNIL a publié des lignes directrices détaillées sur le traitement des réclamations, précisant les informations qui doivent être fournies par le réclamant et les délais de traitement applicables. Elle encourage les personnes concernées à exercer d'abord leurs droits directement auprès du responsable de traitement avant d'introduire une réclamation, afin de permettre une résolution amiable du litige, mais rappelle que cette démarche préalable n'est pas une condition d'exercice du droit de réclamation.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur le mécanisme de guichet unique et la coopération entre autorités de contrôle dans le traitement des réclamations transfrontalières. Il insiste sur la nécessité d'une coopération étroite entre les autorités pour garantir un traitement efficace et cohérent des réclamations à l'échelle européenne, tout en respectant le choix de l'autorité effectué par la personne concernée.

Implications pratiques pour les responsables de traitement

Les responsables de traitement doivent être conscients que leurs pratiques en matière de protection des données peuvent faire l'objet de réclamations auprès des autorités de contrôle. Pour limiter ce risque, ils doivent mettre en place des mécanismes efficaces de traitement des demandes d'exercice des droits et résoudre les plaintes des personnes concernées de manière proactive et transparente.

Lorsqu'une réclamation est introduite auprès d'une autorité de contrôle, le responsable de traitement sera généralement contacté par l'autorité et invité à fournir des explications et des éléments de preuve. Il est essentiel de coopérer pleinement avec l'autorité et de répondre rapidement à ses demandes d'information. Une coopération constructive peut conduire à une résolution favorable de la réclamation et éviter des sanctions.

Les organisations doivent informer les personnes concernées de leur droit d'introduire une réclamation auprès d'une autorité de contrôle dans leurs politiques de confidentialité et dans leurs réponses aux demandes d'exercice des droits. Cette information contribue à la transparence et permet aux personnes concernées de connaître les voies de recours disponibles en cas de désaccord avec le responsable de traitement.