IV. UNE SUPERVISION CONFIÉE À DES AUTORITÉS NATIONALES
La mise en oeuvre et l'application du règlement est confiée à des autorités nationales compétentes, qui devront agir en coordination avec les autorités compétentes en matière de protection des données à caractère personnel et les autorités sectorielles.
A. UNE SUPERVISION ORGANISÉE À L'ÉCHELLE NATIONALE
Les missions et pouvoirs des autorités que les États membres devront désigner devront être clairement définis par les États membres et inclure un ensemble d'éléments (art. 31§3) en matière :
- d'information des utilisateurs ;
- de traitement des réclamations ;
- de suivi du respect des obligations prévues par le règlement (en particulier la réalisation d'enquêtes, y compris sur le respect de la suppression des frais de sortie en cas de changement de fournisseur de services de traitement des données) ;
- de sanctions (y compris la possibilité d'engager des procédures judiciaires) ;
- de coopération avec les autorités compétentes des autres États membres.
Un volet répressif devra également être prévu, comportant des sanctions administratives (financières), éventuellement assorties d'astreintes, et des amendes.
Pour plus d'efficacité, le pouvoir des autorités nationales de contrôle de prononcer des injonctions éventuellement assorties d'astreintes en cas de persistance d'un comportement constituant un manquement aux obligations prévues par le règlement pourrait utilement être complété par la possibilité d'imposer des remèdes aux professionnels défaillants. |
B. UNE ARTICULATION DIFFICILE ENTRE LES DIFFÉRENTES AUTORITÉS NATIONALES CONCERNÉES
La désignation des autorités nationales compétentes sera complexe, dans la mesure où les données visées par la proposition de règlement peuvent contenir certaines données à caractère personnel. Or, le recueil et l'utilisation de celles-ci sont soumis à des règles européennes spécifiques, sous le contrôle des autorités indépendantes nationales créées à cet effet.
Il en est de même, comme le rappelle la proposition de règlement, pour les données sectorielles qui relèvent de la compétence d'autorités nationales sectorielles.
Ainsi que l'a souligné la CNIL (Commission nationale de l'informatique et des libertés) lors de son audition par les rapporteurs, les États membres devront organiser avec précision les modalités de coopération entre ces différentes autorités, dans le respect de leurs attributions respectives, particulièrement s'ils décident que l'autorité indépendante nationale chargée de veiller à la protection des données à caractère personnel n'est pas compétente pour contrôler l'application du règlement sur les données.