Le texte de l’article 36 – Consultation préalable
” Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque…. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique. ”
article 36
L’analyse de l’article : Consultation préalable
L’article 36 du RGPD fait état de la consultation préalable de l’autorité de contrôle (CNIL)avant l’utilisation de données personnelles. Il concerne particulièrement le responsable de traitement (ou le sous-traitant) et son interaction avec l’autorité de contrôle. Selon cet article, l’autorité de contrôle doit être consultée par le responsable de traitement lorsque l’analyse d’impact fait ressortir un risque important lié au traitement des données et que ce risque est tel qu’il nécessite une action par celui-ci pour être limité. Dans ce cas, un certain nombre d’informations listées dans l’article, dont l’analyse d’impact, doivent être communiquées à l’autorité de contrôle afin de pouvoir être analysées. L’autorité de contrôle est ensuite chargée d’écrire son avis, de conseiller sur les actions à prendre, et éventuellement d’exercer ses pouvoirs.
Qu’est-ce que l’analyse d’impact ?
L’analyse d’impact relative à la protection des données est détaillée dans l’article 35 du RGPD et doit être réalisée lorsque qu’un traitement des données est susceptible d’engendrer un risque élevé pour les personnes physiques. Elle doit notamment comporter des informations sur les traitements envisagés sur les données, évaluer les risques et proposer des mesures pour y faire face.
Délai de réponse
Dans le cas où l’autorité de contrôle considère que le risque n’est pas suffisamment atténué ou que le traitement des données pourrait comporter une entorse au règlement, celle-ci possède d’un délai de 8 semaines, à compter de la réception de la consultation préalable, pour donner son avis par écrit au responsable (ou au sous-traitant).
Cas complexes
Ce délai de 8 semaines peut cependant être prolongé de 6 semaines lors de cas complexes. Afin de prolonger le délai de réponse, l’autorité de contrôle doit informer le responsable du traitement ou le sous-traitant, en respectant les deux points suivants :
- L’autorité de contrôle doit indiquer le motif du retard
- Le responsable doit être informé par l’autorité dans le mois suivant la réception de la demande de consultation préalable
Le délai peut être prolongé plus longtemps lorsque l’autorité de contrôle est en attente d’informations complémentaires nécessaires au traitement.
Le pouvoir de l’autorité de contrôle
Dans son avis, l’autorité de contrôle peut user des pouvoirs développés dans l’article 58 du RGPD. Cet article lui permet par exemple d’imposer des limitations temporaires ou définitives, des rectifications, l’accès aux locaux du responsable de traitement ou d’ordonner des informations supplémentaires.
Enfin, dans certains pays, le règlement exige que dans le cadre d’une mission d’intérêt public, le responsable du traitement effectue aussi une consultation au préalable.
