Article 54

Règles relatives à l'établissement de l'autorité de contrôle

Règlement général sur la protection des données · UE 2016/679

Règles relatives à l'établissement de l'autorité de contrôle

1.   Chaque État membre prévoit, par la loi, tous les éléments suivants:

a)

la création de chaque autorité de contrôle;

b)

les qualifications et les conditions d'éligibilité requises pour être nommé membre de chaque autorité de contrôle;

c)

les règles et les procédures pour la nomination du ou des membres de chaque autorité de contrôle;

d)

la durée du mandat du ou des membres de chaque autorité de contrôle, qui ne peut être inférieure à quatre ans, sauf pour le premier mandat après le 24 mai 2016, dont une partie peut être d'une durée plus courte lorsque cela est nécessaire pour protéger l'indépendance de l'autorité de contrôle au moyen d'une procédure de nominations échelonnées;

e)

le caractère renouvelable ou non du mandat du ou des membres de chaque autorité de contrôle et, si c'est le cas, le nombre de mandats;

f)

les conditions régissant les obligations du ou des membres et des agents de chaque autorité de contrôle, les interdictions d'activités, d'emplois et d'avantages incompatibles avec celles-ci, y compris après la fin de leur mandat, et les règles régissant la cessation de l'emploi.

2.   Le ou les membres et les agents de chaque autorité de contrôle sont soumis, conformément au droit de l'Union ou au droit des États membres, au secret professionnel concernant toute information confidentielle dont ils ont eu connaissance dans l'exercice de leurs missions ou de leurs pouvoirs, y compris après la fin de leur mandat. Pendant la durée de leur mandat, ce secret professionnel s'applique en particulier au signalement par des personnes physiques de violations du présent règlement.

Spécificité Luxembourg
loi luxembourgeoise du 1er aout 2018 portant organisation de la CNPD et loi du 16 mai 2023 sur la protection des lanceurs d'alerte

Au Luxembourg, l'autorité de contrôle competente est la CNPD (Commission nationale pour la protection des données), établie et organisee par la loi du 1er aout 2018 portant organisation de la CNPD et du regime general sur la protection des données, qui transpose les exigences d'établissement et d'independance de l'article 54. La protection des lanceurs d'alerte qui signalent une violation est completee par la loi du 16 mai 2023 transposant la directive (UE) 2019/1937, qui impose des canaux internes sécurisés et interdit toute represaille.

Pratique Luxgap : verifiez que votre canal de signalement interne respecte a la fois le secret de l'article 54(2) cote CNPD et les garanties de la loi du 16 mai 2023 cote entreprise, deux regimes distincts qu'un seul dispositif etanche doit couvrir.