Les autorités de protection des données à caractère personnel, qui sont prévues à l’article 28 de la directive 95/46/CE de l’Union européenne, sont les mailles d’un réseau transgouvernemental qui non seulement met en œuvre les textes mais est à l’origine d’une part significative de la substance des politiques de protection des données1. Etudier et comprendre leur fonctionnement est donc un élément indispensable à qui veut comprendre les politiques de protection des données, tant dans leur formulation que dans leur implémentation.
Ces autorités ne fonctionnent cependant pas seules. Si elles se sont mises en réseau au niveau international, elles animent souvent au niveau national un réseau de professionnels de la protection des données avec lesquels elles sont en relation. Ces professionnels ont un statut plus ou moins réglementé2. En France, il s’agit des correspondants informatique et liberté, prévus à l’article 22-III de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Notons à des fins d’exhaustivité que d’autres institutions peuvent jouer un rôle comme les organismes privés de certification, les organisations professionnelles (comme la Confederation of European Data Protection Organisations) et agences gouvernementales à l’activité connexe (comme la Commission d’accès aux documents administratifs, la Commission nationale de contrôle des techniques de renseignement, ou l’Agence nationale pour la sécurité des systèmes d’information en France).
1 : voir à ce sujet : NEWMAN, Abraham. 2008. Protectors of Privacy Ithaca:Cornell University Press
2 : voir à ce sujet : ROSSI, Julien. 2015 « Les quatre modèles de data protection officer en Europe », in : RASLE, Bruno (dir.), 2015, Correspondant informatique et liberté, bien plus qu’un métier, Paris:AFCDP