Dernière mise à jour: 6 novembre 2018
L'entrée en vigueur, le 25 mai 2018, du Règlement (UE) 2016/679 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données, a déterminé non seulement des efforts soutenus de la part des responsables du traitement pour se conformer aux nouvelles règles, mais également la réglementation du fonctionnement de l'organe de contrôle national, à savoir l'Autorité Nationale de Surveillance du Traitement des Données à Caractère Personnel (ANSPDCP), censée investiguer les potentielles violations de la législation spécifique.
La procédure d'investigation qu'effectuera l'ANSPDCP vient d'être publiée au Journal Officiel n° 892 du 23 octobre 2018.
La procédure d'investigation
L'ANSPDCP est autorisée à démarrer des investigations de surveillance et de contrôle de la légalité soit d'office, soit comme suite à une plainte préalable formulée par les personnes intéressées contre un responsable du traitement.Les investigations d'office peuvent être effectuées comme suite aux notifications de violation de la sécurité des données à caractère personnel ou afin de vérifier certaines données et informations relatives au traitement des données personnelles, obtenues par l'ANSPDCP à partir de sources autres que celles faisant l'objet des plaintes. Les investigations d'office peuvent être menées y compris sur la base des saisies ou informations fournies par une autre autorité de surveillance ou autorité publique. De même, les investigations d'office peuvent également prendre la forme des audits relatifs à la protection des données.
Les investigations comme suite à une plainte sont démarrées par l'autorité comme suite à la réception d'une plainte relative à une possible violation de la législation par un responsable du traitement.
Dans les deux situations, les investigations peuvent avoir lieu : sur site, au siège de l'institution, par écrit ou au siège des autorités/organes publics.
Il existe des procédures détaillées concernant la tenue de chaque type d'investigation. Ces procédures prévoient également les droits et les obligations des entités investiguées et la modalité d'application des sanctions pour la violation des dispositions régissant la protection des données personnelles.
Ainsi, lors des investigations sur site (tenues au siège, domicile, point de travail de l'entité investiguée ou dans d'autres locaux où ladite entité exerce son activité), les inspecteurs peuvent proposer :
- Qu'une expertise soit effectuée
- Que les personnes dont les déclarations sont considérées pertinentes et nécessaires aux fins de l'investigation soient entendues
- Que l'une des sanctions contraventionnelles prévues par la législation soit appliquée. A cette fin, le procès-verbal d'investigation vaut titre de créance et notification de paiement.
Les investigations effectuées au siège de l'Autorité de surveillance sont menées sur la base d'une convocation envoyée aux représentants du responsable du traitement investigué. Ladite convocation doit mentionner l'obligation de l'entité investiguée de présenter au siège de l'ANSPDCP des documents, des registres pertinents, des équipements informatiques, en fonction de l'objet de l'investigation.
A titre d'exception, la loi autorise la conclusion du procès-verbal de constat/sanction au siège de l'autorité sans la convocation des représentants de l'entité contrôlée lorsqu'il est décidé qu'il existe de preuves suffisantes pour finaliser l'enquête.
Les investigations écrites sont menées sur la base d'un courrier transmis par l'autorité à l'entité investiguées, demandant les informations, les données et les documents nécessaires pour résoudre le cas faisant l'objet de l'investigation.
L'entité investiguée est tenue de répondre par écrit et de joindre les éléments de preuve dans le délai imparti par l'Autorité de surveillance nationale. En fonction de la réponse reçue, cette autorité peut décider de poursuivre l'investigation par écrit ou sur site, voire même de finaliser l'investigation, en concluant un procès-verbal de constat/sanction, au siège de l'ANSPDCP.
Sanctions
Les principales sanctions contraventionnelles appliquées par l'Autorité Nationale de Surveillance du Traitement des Données à Caractère Personnel sont l'avertissement et l'amende.
De même, l'Autorité Nationale de Surveillance peut émettre un avertissement à l'entité investiguée, s'il est possible que le responsable du traitement viole la législation applicable par les opérations de traitement de données personnelles qu'il envisage effectuer.
Les sanctions sont appliquées en vertu du procès-verbal de constat/sanction conclu par les inspecteurs. Si le montant de l'amende dépasse l'équivalent en Lei de 300.000 Euros, la sanction sera appliquée en vertu de la décision du Président de l'ANSPDCP.
Outre les sanctions contraventionnelles prévues par la loi, l'Autorité National de Surveillance du Traitement des Données à Caractère Personnel peut ordonner d'autres mesures correctives et formuler des recommandations.