jeudi 21 février 2019

Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union

Des règles actualisées et renforcées

 

 Dans le contexte de la protection des droits fondamentaux des personnes à l’ère numérique - la Charte des droits fondamentaux de l’Union européenne proclamant en son article 8 le droit fondamental à la protection des données à caractère personnel – le législateur européen a adopté un socle législatif entièrement renouvelé, entré en application le 25 mai 2018. Ainsi, pour répondre aux nécessités du marché intérieur dans son volet numérique, le nouveau règlement 2016/679 est venu remplacer et actualiser la directive 95/46/CE, afin d’assurer à la fois la protection et la libre circulation des données personnelles dans ce cadre. Ce texte étant inapplicable par définition au champ de l’Espace de Liberté, de Sécurité et de Justice (ELSJ), c’est une directive spécifique qui a été adoptée en même temps, la directive 2016/680, succédant pour sa part à la décision-cadre 2008/977/JAI, afin d’assurer la protection des données personnelles dans un domaine plus intrusif par nature dans les droits fondamentaux des individus. Il manquait dès lors de toiletter l’ancien règlement 45/2001, relatif à la protection des données par les institutions, organes et organismes de l’Union, afin de parachever cette vaste construction législative. C’est chose faite avec l’adoption le 23 octobre 2018 du nouveau règlement 2018/1725. La nécessité d’une approche cohérente en matière de protection des données, quelle que soit l’identité du responsable du traitement de celles-ci, justifie un alignement du contenu de ce nouveau texte sur les règles et principes contenus dans le nouveau règlement (Règlement Général sur la Protection des Données : RGPD) et la nouvelle directive. C’est effectivement le cas, aussi bien quant à la structure du texte (I) que quant à son contenu (II).

Lire la suite ici 

mercredi 10 octobre 2018

Cour de Justice de l’Union européenne, 2 octobre 2018, Ministerio fiscal : la paille et la poutre…


Les infractions pénales qui ne sont pas d’une particulière gravité peuvent justifier un accès aux données à caractère personnel conservées par des fournisseurs de services de communications électroniques dès lors que cet accès ne porte pas une atteinte grave à la vie privée

                                                                                                                      
                                                                                                                      Crédit photo



L’affaire Ministerio fiscal (aff. C-207/16) tranchée par la Cour de Justice le 2 octobre dernier apporte des développements intéressants, voire inattendus, à la jurisprudence Tele2 Sverige AB (C‑203/15) et Secretary of State for the Home Department (C‑698/15) (CJUE, 21 décembre 2016, voir ici). Il convient de rappeler que ces deux affaires portaient sur la question de la compatibilité avec le droit de l’Union de l’obligation générale imposée aux fournisseurs de services de télécommunications, en Suède et au Royaume-Uni, de conserver les données relatives aux communications électroniques. Dans l’affaire qui vient d’être tranchée, le contexte, bien que semblable,  a suscité une question différente.

En l’espèce, il s’agissait d’une enquête sur un vol avec violences d’un portefeuille et d’un téléphone mobile.  La police judiciaire espagnole a alors demandé au juge d’instruction de lui accorder l’accès aux données d’identification des utilisateurs des numéros de téléphone activés depuis le téléphone volé durant une période de douze jours à compter de la date du vol. Le juge d’instruction a rejeté cette demande au motif, notamment, que les faits à l’origine de l’enquête pénale n’auraient pas été constitutifs d’une infraction « grave » – c’est-à-dire, selon le droit espagnol, une infraction sanctionnée d’une peine de prison supérieure à cinq ans –, l’accès aux données d’identification n’étant en effet possible que pour ce type d’infractions. Le Ministerio Fiscal (ministère public espagnol) a interjeté appel de cette décision devant l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne).

Cette dernière a estimé d’abord que l’intérêt de l’État à réprimer les comportements délictuels ne pouvait justifier des ingérences disproportionnées dans les droits fondamentaux consacrés par la charte des droits fondamentaux de l’Union européenne. Elle a ensuite interrogé la Cour de justice sur la fixation du seuil de gravité des infractions à partir duquel une ingérence dans les droits fondamentaux, telle que l’accès par les autorités nationales compétentes aux données à caractère personnel conservées par les fournisseurs de services de communications électroniques, pouvait être justifiée.

La réponse apportée par la Cour de justice, si elle semble s’inscrire dans la logique de l’arrêt Tele2 Sverige (I), peut paraître toutefois à plusieurs égards comme symptomatique d’un certain glissement de la jurisprudence européenne, qui semble peu à peu équilibrer la balance vers plus de sécurité au détriment de la liberté (II)…

I) Un prolongement de la jurisprudence Tele2 Sverige

Si nous laissons de côté le raisonnement de la Cour relatif à sa compétence et à la recevabilité des demandes, on constate que la Cour s’interroge en premier lieu sur le point de savoir si l’article 15, paragraphe 1, de la directive 2002/58 (directive « vie privée et communications électroniques »)  lu à la lumière des articles 7 et 8 de la Charte – la disposition ayant donné lieu justement à l’interprétation délivrée dans son arrêt Tele2 Sverige – doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires, comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui présente une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave et, dans l’affirmative, à l’aune de quels critères la gravité de l’infraction en cause doit être appréciée (§ 48 de l’arrêt, c’est nous qui soulignons). 

Si l’accès des autorités aux données évoquées constitue bien une ingérence dans les droits fondamentaux des personnes (articles 7 et 8 de la Charte, droit au respect de la vie privée et droit à la protection des données personnelles), la Cour se penche dès lors sur les objectifs susceptibles de justifier une telle ingérence. Or, comme le note la Cour, l’analyse de l’article 15 § 1 de la directive en question montre que non seulement celle-ci contient une énumération exhaustive de tels objectifs, mais encore que « que le libellé de l’article 15, paragraphe 1, première phrase, de la directive 2002/58 ne limite pas cet objectif à la lutte contre les seules infractions graves, mais vise les « infractions pénales » en général » (§ 53). 

Mais la Cour se voit contrainte de rappeler sa jurisprudence Tele2 Sverige, qui elle-même complétait l’historique arrêt Digital Rights Ireland (aff. C-293/12 et C-594/12, 8 avril 2014), où la Cour de justice de l’UE avait procédé à l’annulation, intégrale et rétroactive, de la directive 2006/24/CE, « rétention des données de communications électroniques ». Elle remarque ainsi avoir «  certes, jugé que, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, seule la lutte contre la criminalité grave est susceptible de justifier un accès des autorités publiques à des données à caractère personnel conservées par les fournisseurs de services de communications qui, prises dans leur ensemble, permettent de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées » (§ 54, c’est nous qui soulignons). 

Dans le cadre de son contrôle de proportionnalité, la Cour rappelle dès lors qu’une ingérence grave dans les droits fondamentaux ne peut être justifiée que par un objectif de lutte contre la criminalité grave, solution issue de Tele2 Sverige. Mais poussant alors la logique de cette dernière jurisprudence jusqu’à son comble, elle en vient à conclure qu’une ingérence qui n’est pas grave pourra être justifiée dans le cadre de la lutte contre une infraction pénale en général. Le curseur de l’analyse qui portait sur la gravité de l’infraction pénale, seule susceptible de justifier une atteinte aux droits fondamentaux (selon sa propre jurisprudence) se déplace dès lors sur la gravité de l’ingérence, qui, si elle est faible, permettra d’entériner celle-ci pour la poursuite de toute infraction pénale, quelle que soit sa gravité. 

Il faut certes rappeler que ce qui avait été censuré dans les arrêts Digital Rights Ireland et Tele2 Sverige, était l’ingérence « particulièrement grave » que constituait la rétention des métadonnées de communications électroniques, permettant « de tirer des conclusions précises concernant la vie privée des personnes dont les données sont concernées ». Or en l’espèce, seul était visé l’accès aux numéros de téléphone correspondant aux cartes SIM activées avec le code IMEI du téléphone volé, ainsi qu’aux données relatives à l’identité civile des titulaires desdites cartes, telles que leurs nom, prénom et, le cas échéant, adresse. Ces données ne portaient  pas, comme l’ont confirmé le gouvernement espagnol et le ministère public, sur les communications effectuées avec le téléphone mobile volé ni sur la localisation de celui-ci. L’idée est ainsi que les seules données recueillies ne permettraient pas de dresser une « cartographie aussi fidèle qu’exhaustive (…) des comportements d’une personne relevant strictement de sa vie privée, voire d’un portrait complet et précis de son identité privée », comme le relevait l’avocat général Cruz Villalón dans ses conclusions très sévères dans l’affaire Digital Rights. Dans la mesure où  ni les données afférentes au contenu des communications ni les données de localisation n’étaient concernées, les données recueillies ne permettent de connaître ni la date, l’heure, la durée et les destinataires des communications, ni les endroits où ces communications ont eu lieu ou la fréquence de celles-ci avec certaines personnes pendant une période donnée,  « lesdites données ne permettent donc pas de tirer de conclusions précises concernant la vie privée des personnes dont les données sont concernées » (§ 60).

Par conséquent, l’ingérence dans les droits fondamentaux des personnes concernées n’est pas jugée « grave » et peut dès lors être justifiée par  l’objectif de prévention, de recherche, de détection et de poursuite d’« infractions pénales » en général, auquel se réfère l’article 15, paragraphe 1, première phrase, de la directive 2002/58 (§ 62).

Ce faisant, il est loisible de s’interroger sur l’évolution récente de la jurisprudence de la Cour en matière de protection des données, illustrant le récurrent débat sécurité versus liberté.

II) Un glissement progressif de la jurisprudence, vers plus de sécurité au détriment de la liberté ?

Il n’est pas inutile de rappeler que la Cour, dans l’arrêt Tele2 Sverige, avait noté dans un premier temps que l’article 15, paragraphe 1, de la directive 2002/5, qui est examiné dans l’affaire commentée,  devait être interprété en ce sens qu’il s’oppose à une réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ». Puis, dans un second temps, elle avait souligné que s’il appartient aux législations nationales de fixer les modalités selon lesquelles les autorités compétentes peuvent avoir accès aux données dont il est question, Il faut en tout état de cause que non seulement la conservation des données ne soit pas « généralisée et indifférenciée », c’est-à-dire qu’elle soit ciblée, mais encore que l’accès des autorités aux données conservées soit limité aux seules fins de lutte contre la criminalité grave, et qu’il soit subordonné à un contrôle préalable par une juridiction ou une autorité administrative indépendante. 

Or, il est intéressant de remarquer que le débat, dans l’affaire Ministerio fiscal, ne se situe à aucun moment sur le stockage et l’accès aux données de communication. Dans la logique de l’apport du retentissant arrêt Digital Rights, la Cour, dans l’affaire Tele2 Sverige, avait réitéré son interdiction de tout stockage de données de façon généralisée et indifférenciée, n’admettant qu’une conservation ciblée de données, dans le cadre de la lutte contre la criminalité grave, et en entourant celle-ci de conditions strictes (tenant à la catégorie des données conservées, aux moyens de communication visés, aux personnes concernées, à la durée de conservation etc.).

Or, illustrant l’allégorie de la paille et de poutre, la Cour, focalisée sur la question de la gravité de l’ingérence (la paille), semble en oublier que la législation espagnole autorise une rétention des données de communication générale et indifférenciée (la poutre), pourtant condamnée dans Digital Rights et Tele2 Sverige

Si l’on considère la jurisprudence construite ces dernières années par la Cour de justice sur le droit fondamental à la protection des données (sans oublier celui au respect de la vie privée), il semble dès lors que s’opère progressivement un glissement vers un peu moins de liberté au profit d’un peu plus de sécurité. En effet dans ses arrêts Digital Rights Ireland et Schrems (aff. C-362/14, 6 octobre 2015), la Cour a dans un premier temps fermement condamné tout stockage de masse de données, de façon générale et indifférenciée, ce qui semblait marquer un coup d’arrêt aux multiples fichiers à visée sécuritaire mis en place aussi bien au niveau national qu’européen. Puis, infléchissant peu à peu sa jurisprudence, elle a par exemple, dans son avis 1/15 relatif à l’accord PNR entre l’UE et la Canada, validé le principe même du système PNR, qui correspond pourtant à un stockage de masse de données de tous les voyageurs aériens, même si elle entoure ses modalités de mise en œuvre de conditions strictes. L’arrêt Tele2 Sverige semble pour sa part se couler dans la logique des arrêts les plus protecteurs, en jugeant de façon identique que la conservation des données ne doit pas être « généralisée et indifférenciée », mais au contraire ciblée, et que l’accès des autorités aux données conservées soit en outre limité aux seules fins de lutte contre la criminalité grave. Par conséquent, l’arrêt Ministerio Fiscal, s’il se situe apparemment dans la logique de Tele2 Sverige, ressemble néanmoins à une remise en cause des acquis, permettant un stockage de masse de données, et leur utilisation à des fins de lutte contre toute infraction, quelle que soit sa gravité, dès lors que l’ingérence n’est pas jugée grave. Mais la question se pose de qui va juger de la gravité de l’ingérence ? En l’espèce en effet, soulignons que toutes les personnes contactées au moyen du téléphone volé, se trouvent impliquées dans une procédure judiciaire, alors qu’elles sont potentiellement étrangères au délit (le coiffeur ou le dentiste de l’auteur de l’infraction méritent-ils d’être ainsi stigmatisés et voir leurs données stockées dans des fichiers de police ?). Dans un contexte d’insécurité générale générée notamment par le terrorisme, et face à la montée des sirènes politiques chantres de l’ultra sécurité, aux chants desquelles les citoyens semblent de plus en plus sensibles, peut-être la Cour de justice juge t-elle indispensable de rééquilibrer la balance sécurité/liberté vers un peu plus de sécurité pour conjurer ces divers périls ?…Du reste, la Cour européenne des droits de l’homme semble jouer aussi finement la même partition, puisqu’elle vient de valider, dans l’arrêt Big Brother Watch contre Royaume-Uni du 13 septembre 2018, le système de surveillance de masse que constitue l’interception des communications électroniques, bien qu’elle en encadre étroitement les modalités de mise en œuvre. 

En tout état de cause, une chose est sûre, le législateur national a manifestement de moins en moins de latitude pour organiser son droit interne en la matière, la Cour de Justice s’affirmant comme le grand ordonnateur des législations d’application des directives européennes. La question de la protection des données semble ainsi désormais tout entière maîtrisée par Bruxelles et aujourd’hui Luxembourg. Espérons que ce soit pour son plus grand bienfait, car, comme le disait Benjamin Franklin, « une société prête à sacrifier un peu de liberté contre un peu de sécurité ne mérite ni l’une ni l’autre, et finit par perdre les deux ».


vendredi 5 octobre 2018

Big Brother Watch et autres c. Royaume-Uni, Cour EDH, 13 septembre 2018 : validation du principe de la surveillance de masse mais encadrement étroit de ses modalités




C’est un arrêt très attendu mais sans doute partiellement décevant pour les défenseurs des droits fondamentaux qu’a rendu la Cour de Strasbourg le 13 septembre dernier.
Si, face au système de surveillance massive des communications mis en place par le Royaume-Uni, la Cour conclut à la violation des articles 8 (droit au respect de la vie privée, protection des données à caractère personnel) et 10 (droit à la liberté d’expression, ici des journalistes) de la Convention, une lecture attentive de l’arrêt montre que le principe de la surveillance massive ne tombe pas sous les foudres des juges européens, qui sanctionnent en revanche ses modalités de mise en œuvre.
Après l’indignation, largement partagée dans le monde, soulevée par les révélations d’Edward Snowden, dévoilant le système de surveillance de masse organisé par les services de renseignement américains (NSA), c’est aujourd’hui à une généralisation, voire une banalisation de tels systèmes que nous assistons, notamment en Europe, dans le cadre de la lutte contre le terrorisme.
L’affaire Big Brother Watch était ainsi l’occasion pour la Cour européenne des droits de l’homme de se prononcer sur le débat récurrent relatif aux législations nationales de lutte contre le terrorisme jugées liberticides.
Il s’agit ici des recours d’une organisation de défense des libertés civiles et de la vie privée ainsi que de journalistes à propos de trois régimes de surveillance institués au Royaume-Uni : l’interception massive de communications électroniques, le partage de renseignements avec des Etats étrangers et l’obtention de données de communications auprès de fournisseurs de services. Si les solutions apportées par les juges de Strasbourg ne surprennent pas vraiment, les raisonnements menés méritent l’attention par leur singularité (le renvoi au droit de l’UE) ou leur faiblesse (sur le partage de renseignements)
(N.B. L’arrêt, qui compte 212 pages, ne sera abordé que sous certains aspects, parmi les plus importants)

Lire la suite ici.

vendredi 25 mai 2018

Le nouveau RGPD

            Le nouveau texte, Règlement Général sur la Protection des Données N° 2016/679,  entré en application le 25 mai 2018, qui remplace désormais la directive 95/46/CE, opère une actualisation des règles européennes en matière de protection des données à caractère personnel selon une approche "technologiquement neutre" : il s'agit en effet d'assurer l'efficacité des règles nouvelles sans entraver l'essor de l'économie numérique (le marché intérieur dans son volet économie numérique).

Il constitue une remarquable avancée en matière de garantie du droit à la protection des données à caractère personnel, droit fondamental inscrit à l'article 8 de la Charte des droits fondamentaux de l'Union européenne. En effet, ce sont des droits renforcés (pour les personnes) et des obligations étendues (pour les responsables de traitement de données) qui sont inscrits dans ce texte. Ces nouveaux droits et obligations sont par ailleurs assortis de contrôles plus performants, grâce notamment aux importants pouvoirs de sanction dont sont dotées les diverses autorités de protection des données.  



1. Des droits renforcés

 Tout d'abord, les principes de base qui figuraient dans la directive 95/46 sont évidemment maintenus mais précisés.
Ainsi, le traitement des données à caractère personnel obéit toujours aux principes de licéité et de loyauté, auxquels le nouveau règlement ajoute le principe de transparence, décliné ultérieurement en des articles spécifiques inédits.

Est rappelé également l’important principe de limitation des finalités, selon lequel des données ne peuvent être collectées que pour des finalités déterminées et ne peuvent être traitées ultérieurement d’une manière incompatible avec ces finalités.
Le principe du consentement de la personne intéressée au traitement de ses données est réaffirmé, mais sa portée change dans la mesure où il appartient désormais au responsable de traitement d’apporter la preuve du consentement, et où il est précisé que la personne peut « à tout moment » retirer son consentement.
Le traitement de données à caractère personnel dites « sensibles » (celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données concernant la santé ou la vie sexuelle, ou l’orientation sexuelle d’une personne) demeure interdit sauf exceptions précisées par le texte. Il est à noter que le législateur a ajouté à la liste des données sensibles les données génétiques et les données biométriques.
A signaler ensuite l'apparition dans le règlement de nouveaux principes.
Le nouveau règlement s'attache notamment à éviter les dangers que représentent la publicité et les réseaux sociaux pour les mineurs, qui divulguent facilement nombre de données personnelles les concernant ou concernant leurs parents. Ainsi, s’agissant de « l’offre directe de services de la société de l’information aux enfants » (article 8 § 1), une autorisation parentale est désormais nécessaire pour les mineurs de moins de 16 ans afin de collecter et traiter leurs données personnelles. Les Etats membres peuvent prévoir un âge inférieur par la loi, pour autant qu’il ne soit pas en-dessous de 13 ans.
 Le règlement insiste ensuite sur le nouveau principe de transparence, qui doit permettre à tout usager de l’internet d’être informé « d’une façon concise, transparente, compréhensible et aisément accessible [et] en des termes clairs et simples », s’agissant des politiques des sites relatives à la vie privée.
Le règlement formule par ailleurs les droits d’accès et de rectification de la personne concernée sont  formulés de façon très détaillée, créant de nouvelles exigences s’agissant des informations à fournir par le responsable de traitement, comme la durée de conservation des données envisagée ou l’existence d’un profilage. Les articles 21 et 22 précisent que la personne concernée dispose d’un droit d’opposition au traitement de ses données, y compris un profilage, « pour des raisons tenant à sa situation particulière ».
Le règlement institue en outre un principe inédit, qui est celui du droit à la portabilité des données. Il permet à toute personne de retirer ses données d’une application ou d’un service, de sorte que les données qui avaient été fournies « dans un format structuré, couramment utilisé et lisible par machine », puissent être transférées vers une autre application ou un autre service. Ces données peuvent être transmises directement d’un responsable de traitement à l’autre lorsque cela est techniquement possible. 
Le droit à l'oubli trouve également une place de choix dans le nouveau texte, après avoir été consacré par le juge européen dans l'arrêt Google Spain du 13 mai 2014. Il donne à toute personne concernée le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant, lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, lorsque la personne retire son consentement, lorsque les données ont fait l’objet d’un traitement illicite, ou lorsque la personne exerce son droit d’opposition. Toutefois, il est possible de faire échec à une telle demande d’effacement pour des raisons tenant à l’exercice du droit à la liberté d’expression et d’information ou au respect d’une obligation légale (ce qu'avait déjà précisé la Cour de justice dans l'arrêt Google Spain précité).
2. De nouvelles obligations pour les responsables de traitement des données 
Un nouveau  principe général figure dans le règlement qui est celui d' "accountability". Il s'agit, pour les responsables de traitement, de mettre en oeuvre "des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au (…) règlement » (article 24).
Les nouveaux principes de "privacy by design" et "by default" ont également été inscrits dans le règlement. Dès lors, selon le premier principe, la protection de la vie privée doit être « prise en compte tout au long du cycle de vie des technologies, depuis le stade de leur conception jusqu’à leur déploiement, utilisation et élimination définitive », comme l'a expliqué la Commission européenne. Pour répondre au second, il va s'agir par exemple d'effectuer « un paramétrage par défaut favorable au respect de la vie privée et [de créer] des outils indispensables aux utilisateurs pour mieux protéger leurs données (par exemple les contrôles d’accès ou le cryptage), selon les termes du Groupe de l'article 29. 
Le responsable du traitement doit par ailleurs répondre à une obligation de sécurité, selon laquelle il doit garantir la confidentialité, l’intégrité et la disponibilité des données, et éviter la perte, la destruction, l’altération ou la divulgation non autorisée de données à caractère personnel transmises. Figure à cet égard dans le règlement un droit inédit d'être informé en cas de piratage de données, et ce "dans les meilleurs délais".
  A noter que le responsable du traitement doit tenir un registre des activités de traitement effectuées sous sa responsabilité. Cette obligation ne concerne que les entreprises ou organisations de plus de 250 employés. Le responsable du traitement doit aussi réaliser une analyse d’impact dès lors que le traitement envisagé « est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »(par exemple en cas de profilage)(article 35). Et si cette analyse d’impact s’avère défavorable, le responsable du traitement doit alors consulter au préalable l’autorité de contrôle,qui sera au demeurant informée dans ce cas par le délégué à la protection des données, qui doit être désigné par tout responsable du traitement.
3. Des contrôles renforcés et plus efficaces
 A noter tout d'abord que le règlement a envisagé l'hypothèse selon laquelle le traitement des données personnelles a lieu dans le cadre des activités d’un responsable du traitement dans l’Union, mais que ce dernier est établi dans plusieurs États membres. Il s’agit ici de pouvoir désigner l’autorité de contrôle compétente. Le règlement a prévu l’existence d’un « guichet unique » : sera compétente l’autorité de contrôle de l’État membre où se situe l’établissement principal ou l’établissement unique du responsable du traitement, en tant qu’ « autorité de contrôle chef de file ». La procédure organise cependant une coopération étroite entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées. Toutefois, une autorité nationale de contrôle pourra être compétente dès lors qu’il existe un établissement du responsable du traitement sur son territoire, ou que des citoyens sont affectés dans cet État membre.
Un point majeur du nouveau règlement figure ensuite dans son application extraterritoriale. Ainsi, le nouveau texte s’applique au traitement de données à caractère personnel appartenant à des personnes ayant leur résidence sur le territoire de l’UE, par un responsable du traitement qui n’est pas établi dans l’UE, dès lors que les activités de traitement sont liées à « l’offre de biens ou de services » aux personnes concernées ou « au suivi du comportement de ces personnes » (profilage). Désormais, un fournisseur de services non basé dans l’UE est donc soumis à la législation de l’Union en matière de protection des données, dès lors qu’il offre des biens ou des services à des personnes résidant à l’intérieur de l’Union. 
Le règlement a le mérite par ailleurs non seulement renforcer les autorités de contrôle, en précisant leur statut (axé sur l'indépendance), mais aussi d'accroître leur rôle par le biais des nouveaux pouvoirs dont elles sont dotées.
 L'indépendance du nouveau Comité Européen de Protection des Données, qui remplace le Groupe de l’Article 29 (composé du chef d’une autorité de contrôle de chaque État membre ainsi que du Contrôleur Européen de la Protection des Données), est ainsi garantie par le règlement.
Quant au rôle des autorités de protection des données (les autorités nationales mais aussi l'autorité européenne), il est défini de façon très détaillée dans le règlement. 
IL s’agit pour elles en premier lieu de veiller à l’application et au respect du règlement de manière générale, ce pour quoi elles sont dotées de toute une gamme de prérogatives : conseil (pour le parlement et le gouvernement de l’État membre en matière de législation relative à la protection des données), sensibilisation (des responsables du traitement quant à leurs obligations), informations (sur les droits conférés par le règlement), traitement des réclamations, enquêtes (sur l’application du règlement), encouragement à l’élaboration de codes de conduite ou mécanismes de certification, autorisation de clauses contractuelles, approbation de règles d’entreprise contraignantes (Binding Corporate Rules) etc. A noter que les autorités de contrôle nationales disposent de pouvoirs d’enquête à l’égard des responsables du traitement, et doivent être dotées par la loi du pouvoir de porter toute violation du règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du règlement. 
Le règlement met en place divers mécanismes afin d'assurer la coopération et l'assistance mutuelle entre les diverses autorités de contrôle. L'autorité européenne assure quant à elle un rôle général de coordination et dispose de compétences semblables à celles des autorités nationales : pouvoirs de conseil (à l’égard de la Commission), publication de lignes directrices, de recommandations ou de bonnes pratiques sur des questions diverses (profilage, délai de notification de la rupture de sécurité, mise en place de régimes de certification etc.), prise de décisions en cas de conflit entre autorité de contrôle « chef de file » et autres autorités de contrôle etc.
Mais ce sont surtout d'importants moyens de sanction dont sont dotés les autorités de contrôle, sachant que  toute personne dispose du droit d’introduire une réclamation auprès d’une autorité de contrôle dès lors qu’elle excipe d’une violation du règlement s’agissant d’un traitement de données à caractère personnel la concernant.
Les autorités de contrôle peuvent ordonner des mesures correctrices, passant de l’avertissement au rappel à l’ordre, pour aller jusqu’à ordonner des mises en conformité, imposer des limitations voire une interdiction, du traitement de données, ordonner la rectification ou l’effacement de données etc. Mais surtout, elles peuvent imposer des sanctions administratives, dont le montant  peut s’élever jusqu’à 20 000 000 d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise ayant violé les règles européennes de protection des données (le montant le plus élevé étant retenu). 
Les personnes en tout état de cause peuvent à tout moment exercer un recours juridictionnel contre un responsable du traitement, en cas de violation de leurs droits garantis par le règlement. La juridiction compétente est celle de l’État membre dans lequel le responsable du traitement dispose d’un établissement, ou bien celle de l’État membre dans lequel la personne réside habituellement. 

C'est donc au total un régime substantiel et très protecteur pour les données à caractère personnel.