- Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants:
- ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions;
- mener des enquêtes sous la forme d’audits sur la protection des données;
- procéder à un examen des certifications délivrées en application de l’article 42, paragraphe 7;
- notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement;
- obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions;
- obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.
- Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes:
- avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement;
- rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement;
- ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement;
- ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
- ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel;
- imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement;
- ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19;
- retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites;
- imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;
- ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.
- Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants:
- conseiller le responsable du traitement conformément à la procédure de consultation préalable visée à l’article 36;
- émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel;
- autoriser le traitement visé à l’article 36, paragraphe 5, si le droit de l’État membre exige une telle autorisation préalable;
- rendre un avis sur les projets de codes de conduite et les approuver en application de l’article 40, paragraphe 5;
- agréer des organismes de certification en application de l’article 43;
- délivrer des certifications et approuver des critères de certification conformément à l’article 42, paragraphe 5;
- adopter les clauses types de protection des données visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d);
- autoriser les clauses contractuelles visées à l’article 46, paragraphe 3, point a);
- autoriser les arrangements administratifs visés à l’article 46, paragraphe 3, point b);
- approuver les règles d’entreprise contraignantes en application de l’article 47.
- L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte.
- Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement.
- Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L’exercice de ces pouvoirs n’entrave pas le bon fonctionnement du chapitre VII.
Source: https://eur-lex.europa.eu