Article 36 du RGPD

Consultation préalable


  1. Le responsable du traitement consulte l’autorité de contrôle préalablement au traitement lorsqu’une analyse d’impact relative à la protection des données effectuée au titre de l’article 35 indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque.
  2. Lorsque l’autorité de contrôle est d’avis que le traitement envisagé visé au paragraphe 1, constituerait une violation du présent règlement, en particulier lorsque le responsable du traitement n’a pas suffisamment identifié ou atténué le risque, l’autorité de contrôle fournit par écrit, dans un délai maximum de huit semaines à compter de la réception de la demande de consultation, un avis écrit au responsable du traitement et, le cas échéant, au sous-traitant, et peut faire usage des pouvoirs visés à l’article 58. Ce délai peut être prolongé de six semaines, en fonction de la complexité du traitement envisagé. L’autorité de contrôle informe le responsable du traitement et, le cas échéant, le sous-traitant de la prolongation du délai ainsi que des motifs du retard, dans un délai d’un mois à compter de la réception de la demande de consultation. Ces délais peuvent être suspendus jusqu’à ce que l’autorité de contrôle ait obtenu les informations qu’elle a demandées pour les besoins de la consultation.
  3. Lorsque le responsable du traitement consulte l’autorité de contrôle en application du paragraphe 1, il lui communique:
    • a) le cas échéant, les responsabilités respectives du responsable du traitement, des responsables conjoints et des sous-traitants participant au traitement, en particulier pour le traitement au sein d’un groupe d’entreprises;
    • b) les finalités et les moyens du traitement envisagé;
    • c) les mesures et les garanties prévues afin de protéger les droits et libertés des personnes concernées en vertu du présent règlement;
    • d) le cas échéant, les coordonnées du délégué à la protection des données;
    • e) l’analyse d’impact relative à la protection des données prévue à l’article 35; et
    • f) toute autre information que l’autorité de contrôle demande.
  4. Les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une proposition de mesure législative devant être adoptée par un parlement national, ou d’une mesure réglementaire fondée sur une telle mesure législative, qui se rapporte au traitement.
  5. Nonobstant le paragraphe 1, le droit des États membres peut exiger que les responsables du traitement consultent l’autorité de contrôle et obtiennent son autorisation préalable en ce qui concerne le traitement effectué par un responsable du traitement dans le cadre d’une mission d’intérêt public exercée par celui-ci, y compris le traitement dans le cadre de la protection sociale et de la santé publique.

Article 36 du RGPD : Ce qu'il faut comprendre

L’article 36 du RGPD impose aux responsables du traitement de consulter l’autorité de contrôle (comme la CNIL en France) avant de lancer un traitement si une analyse d’impact (AIPD) révèle qu’il présente un risque élevé pour les droits des personnes et que ces risques ne peuvent pas être atténués par des mesures appropriées.

Rôle de l’autorité de contrôle

Si l’autorité estime que le traitement envisagé pourrait violer le RGPD, elle doit fournir un avis écrit dans un délai de huit semaines à partir de la demande de consultation. Ce délai peut être prolongé de six semaines en fonction de la complexité du traitement. L’autorité peut suspendre le délai jusqu’à obtenir toutes les informations nécessaires de la part du responsable du traitement.

Informations à fournir lors de la consultation

Lorsque le responsable du traitement consulte l’autorité de contrôle, il doit lui transmettre plusieurs informations :

  1. Rôles et responsabilités : Les responsabilités respectives des différents acteurs impliqués (responsable du traitement, sous-traitants, etc.).
  2. Objectifs et moyens du traitement : Les finalités du traitement et la manière dont il sera réalisé.
  3. Garanties de protection : Les mesures prévues pour protéger les droits et libertés des personnes concernées.
  4. Coordonnées du délégué à la protection des données : Si un DPO est désigné, ses coordonnées doivent être fournies.
  5. Analyse d’impact : L’analyse d’impact effectuée conformément à l’article 35.
  6. Autres informations : Toute autre information demandée par l’autorité de contrôle.

Mesures législatives et consultations

Les États membres doivent consulter l’autorité de contrôle lorsqu’ils préparent des mesures législatives ou réglementaires concernant le traitement de données, surtout si ces mesures sont liées à des domaines sensibles comme la protection sociale ou la santé publique.

Article 36 du RGPD – Exemples concrets

  • Exemple 1 : Consultation pour un système de surveillance à grande échelle
    Si une entreprise veut installer un système de vidéosurveillance à grande échelle dans un espace public, et que l’analyse d’impact montre un risque élevé pour la vie privée des citoyens, elle doit consulter l’autorité de contrôle avant de mettre en place ce traitement, en fournissant les informations sur les objectifs, les mesures de protection et les résultats de l’AIPD.
  • Exemple 2 : Traitement automatisé des données de santé
    Un hôpital qui prévoit d’utiliser une nouvelle technologie pour analyser de manière automatisée les données de santé des patients doit consulter l’autorité de contrôle si l’AIPD montre que les risques pour les droits des patients sont élevés, par exemple si les mesures de sécurité prévues ne sont pas suffisantes.
  • Exemple 3 : Prolongation du délai de consultation
    Si l’autorité de contrôle reçoit une demande de consultation pour un traitement complexe et que les informations sont incomplètes, elle peut prolonger le délai initial de huit semaines pour s’assurer d’avoir toutes les informations nécessaires avant de donner son avis.