3. Le renforcement du rôle des autorités de contrôle
a) La réaffirmation de l'indépendance des autorités de contrôle nationales par l'octroi de moyens supplémentaires
Le texte pose le principe général de l'indépendance des autorités de contrôle nationales et prévoit un renforcement de leurs moyens matériels (article 47), ainsi que de leurs moyens d'action (articles 51 et suivants).
Ainsi, chaque État membre devra veiller à ce que son autorité dispose de ressources humaines, techniques, et financières appropriées.
Les autorités de contrôle se voient reconnaître le pouvoir de mener des enquêtes, d'arrêter des décisions contraignantes et d'infliger des sanctions administratives.
b) Le renforcement de la coopération entre autorités de contrôle, pour assurer une application cohérente des règles de protection des données à caractère personnel sur tout le territoire
(1) Le guichet unique, un allégement des procédures pour les opérateurs de traitement de données
La proposition de règlement prévoit de mettre en place un système de « guichet unique », qui permet, lorsque le responsable de traitement est établi dans plusieurs États membres, de retenir la compétence de l'autorité de contrôle de « l'État membre où se situe l'établissement principal du responsable de traitement » (article 51).
L'application de ce critère peut conduire à ce qu'un citoyen voit sa réclamation traitée par une autre autorité que son autorité de contrôle nationale, parce que l'entreprise responsable du traitement est sise dans un autre État membre que celui où il réside. Ainsi, un Français formant une requête contre Facebook devrait l'adresser à l'autorité de contrôle irlandaise.
(2) L'obligation d'assistance mutuelle et de reconnaissance mutuelle des décisions des autorités de contrôle
La coopération est renforcée par l'obligation pour les autorités de se prêter assistance (article 55) et par la reconnaissance mutuelle des décisions qu'elles prennent (articles 45). En effet, chaque autorité a l'obligation de prendre toutes les mesures appropriées (enquêtes, inspections...) pour répondre à la demande d'une autre autorité de contrôle, au plus tard un mois après la réception de la demande (article 55). Une autorité de contrôle ne peut refuser de répondre à une demande d'assistance sauf si elle n'est pas compétente pour la traiter.
(3) La création du comité européen de la protection des données
Au centre de ce système de contrôle de cohérence se trouve le comité européen de la protection des données , créé par la proposition de règlement (article 64). Ce comité se compose des directeurs des autorités de contrôle de tous les États membres et du contrôleur européen à la protection des données , qui en est vice-président permanent, sauf s'il a été élu président (article 69) et qui en assure le secrétariat (article 71). Le comité a vocation à se substituer à l'actuel groupe de travail réunissant les « CNIL européennes », dit « G29 ».
Sa mission principale consiste à veiller à l'application cohérente du règlement. Toutefois ses attributions restent essentiellement consultatives : assistance de la commission sur toute interrogation sur la protection des données, examen des questions relatives à l'application du règlement, avis sur les projets de décision des autorités de contrôle (article 66).
(4) Le mécanisme de contrôle de la cohérence
Avant d'adopter une mesure destinée à produire des effets juridiques en matière de traitement des données, toute autorité de contrôle nationale communique le projet de mesure au comité européen de la protection des données et à la commission (articles 58 et suivants).
Ces deux autorités peuvent émettre un avis sur la mesure et, si la commission a des doutes sérieux sur la compatibilité de la mesure envisagée avec l'application du règlement, elle peut adopter une décision motivée enjoignant à l'autorité de contrôle concernée de suspendre le projet d'adoption (la durée de suspension ne peut excéder 12 mois) dans le but de rapprocher les positions si cela est possible, d'adopter un acte d'exécution.