Fiche de révision : Introduction au RGPD et droits fondamentaux

📋 Plan du Cours

1. Données personnelles comme droit fondamental
2. Champ d’application et activités personnelles
3. Exclusions pour la prévention et répression pénales
4. Données de santé et notion d’état de santé
5. Établissement principal du responsable du traitement
6. Catégories particulières de données et dérogations
7. Responsabilité du responsable du traitement
8. Analyse des risques et impacts sur les droits
9. Délégué à la protection des données et indépendance
10. Voies de recours et réclamation auprès d’une autorité
11. Recours juridictionnel contre l’autorité de contrôle
12. Représentation des personnes concernées

📖 1. Données personnelles comme droit fondamental

🔑 Notions clés & Définitions

• Droit fondamental : Le droit à la protection des données personnelles est reconnu comme un droit fondamental de toute personne dans l’Union.
• Charte des droits fondamentaux : La Charte consacre le droit de toute personne à la protection des données personnelles la concernant.
• Article 16 TFUE : Le TFUE prévoit que toute personne a droit à la protection des données personnelles la concernant et habilite l’Union à fixer des règles.
• Règlement général sur la protection des données : Le RGPD est le règlement de l’Union qui encadre le traitement des données personnelles et vise la libre circulation de ces données.
• Principe de proportionnalité : Le droit à la protection des données n’est pas absolu et doit être mis en balance avec d’autres droits fondamentaux.

📝 Points essentiels

• La protection des personnes physiques contre le traitement de leurs données personnelles est un droit fondamental.
• La Charte et l’article 16 TFUE garantissent à toute personne le droit à la protection des données personnelles la concernant.
• Le droit à la protection des données n’est pas absolu et se concilie avec d’autres droits fondamentaux via la proportionnalité.
• Le RGPD vise à renforcer un espace de liberté, sécurité et justice et à soutenir le marché intérieur et le bien-être des personnes.
• Le RGPD cherche à instaurer un niveau élevé de protection tout en permettant le libre flux des données dans l’Union.
• Le RGPD impose une application cohérente et homogène des règles dans tous les États membres pour éviter la fragmentation et l’insécurité juridique.

💡 Astuce mémo

Données = droit fondamental, mais pas absolu : proportionnalité = équilibre avec les autres droits.

📖 2. Champ d’application et activités personnelles

🔑 Notions clés & Définitions

• Établissement principal : Notion désignant le lieu qui détermine les finalités et les moyens essentiels du traitement dans un dispositif stable, indépendamment du lieu où le traitement est réalisé.
• Moyens techniques : Éléments matériels ou technologiques utilisés pour traiter des données, qui ne suffisent pas à eux seuls à caractériser un établissement principal.
• Administration centrale : Lieu où se trouve la direction principale d’un sous-traitant dans l’Union, servant de critère pour identifier son établissement principal.
• Groupe d’entreprises : Ensemble composé d’une entreprise contrôlante et de ses entreprises contrôlées, lorsque la première peut exercer une influence dominante sur les autres.
• Protection spécifique des enfants : Principe imposant un niveau renforcé de protection des données d’enfants, notamment en cas de marketing, de profilage ou de collecte via des services directement offerts à un enfant.

📝 Points essentiels

• Le critère d’établissement principal vise les finalités et moyens déterminants du traitement dans un dispositif stable, et ne dépend pas du seul lieu d’exécution du traitement.
• La présence ou l’utilisation de moyens techniques et de technologies de traitement ne constitue pas, à elle seule, un critère déterminant d’établissement principal.
• Pour un sous-traitant, l’établissement principal est l’administration centrale dans l’Union, ou à défaut le lieu où se déroule l’essentiel des activités de traitement dans l’Union.
• Quand responsable du traitement et sous-traitant sont tous deux concernés, l’autorité de contrôle du responsable reste l’autorité chef de file, tandis que celle du sous-traitant est une autorité concernée participant à l
• Lorsque le traitement est effectué par un groupe, l’établissement principal de l’entreprise qui exerce le contrôle vaut pour le groupe, sauf si une autre entreprise fixe finalités et moyens.
• Le consentement du titulaire de la responsabilité parentale n’est pas requis pour des services de prévention ou de conseil proposés directement à un enfant.

💡 Astuce mémo

Finalités + moyens = établissement principal (pas le lieu du traitement).

📖 3. Exclusions pour la prévention et répression pénales

🔑 Notions clés & Définitions

• Droit à l’oubli : Le droit à l’effacement permet d’obtenir la suppression des données lorsque leur conservation viole le règlement ou le droit applicable, ou n’est plus nécessaire au regard des finalités.
• Limitation du traitement : La limitation du traitement consiste à restreindre temporairement ou durablement les opérations sur des données, afin d’empêcher des traitements ultérieurs et de préserver leur intégrité.
• Portabilité des données : La portabilité permet de recevoir des données fournies au responsable du traitement dans un format structuré et de les transmettre à un autre responsable, sous conditions.
• Droit d’opposition : Le droit d’opposition permet à la personne concernée de refuser certains traitements liés à sa situation particulière, et notamment la prospection à tout moment.
• Décision automatisée : La décision automatisée est une décision fondée uniquement sur un traitement automatisé produisant des effets juridiques ou un effet significatif, incluant le profilage.

📝 Points essentiels

• Le droit d’accès ne doit pas porter atteinte aux droits et libertés d’autrui, mais ne doit pas conduire à refuser toute communication d’informations à la personne concernée.
• Le responsable du traitement doit vérifier l’identité du demandeur et ne doit pas conserver des données uniquement pour pouvoir répondre à des demandes d’accès.
• Le droit à l’effacement s’applique notamment quand les données ne sont plus nécessaires, quand le consentement est retiré, quand la personne s’oppose au traitement, ou quand le traitement n’est pas conforme au règlement.
• La conservation ultérieure peut rester licite malgré l’effacement si elle est nécessaire à la liberté d’expression et d’information, à une obligation légale, à une mission d’intérêt public, à la santé publique, à l’archi
• Le droit à l’effacement s’étend au «droit à l’oubli» numérique : le responsable qui a rendu les données publiques doit informer les autres responsables de l’effacement des liens et copies, via des mesures raisonnables.
• La limitation du traitement peut passer par l’inaccessibilité des données ou le retrait temporaire de contenus publiés, et doit être indiquée clairement dans le fichier ; dans les traitements automatisés, elle doit en pr

💡 Astuce mémo

Accès→Rectif→Oubli→Portabilité→Opposition→Décision automatisée (A R O P O D).

📖 4. Données de santé et notion d’état de santé

🔑 Notions clés & Définitions

• Données de santé : Données de santé : informations personnelles liées à la santé d’une personne, utilisées pour évaluer, suivre ou décider à propos de son état ou de sa prise en charge.
• État de santé : État de santé : situation médicale d’une personne à un moment donné, qui peut être déduite ou décrite à partir d’informations de santé.
• Données biométriques : Données biométriques : données personnelles issues de caractéristiques physiques ou comportementales permettant d’identifier une personne de manière spécifique.
• Données relatives aux condamnations pénales : Données relatives aux condamnations pénales : informations personnelles portant sur des condamnations et infractions, traitées avec un niveau de risque accru.
• Profilage : Profilage : traitement automatisé permettant d’évaluer des aspects personnels d’une personne sur la base de données la concernant.

📝 Points essentiels

• Une analyse d’impact relative à la protection des données est requise quand le traitement vise des décisions sur des personnes après une évaluation systématique et approfondie fondée sur le profilage.
• Une analyse d’impact est aussi exigée pour le traitement de catégories particulières de données, de données biométriques ou de données relatives aux condamnations pénales et aux infractions.
• Une analyse d’impact est requise pour la surveillance à grande échelle de zones accessibles au public, notamment avec des dispositifs opto-électroniques.
• Le traitement n’est pas considéré comme « à grande échelle » si des données de patients ou de clients sont traitées par un médecin, un autre professionnel de santé ou un avocat exerçant à titre individuel.
• Si l’analyse montre un risque élevé sans garanties suffisantes et que le responsable estime le risque non atténuable raisonnablement, une consultation de l’autorité de contrôle doit avoir lieu avant le traitement.
• L’absence de réaction de l’autorité de contrôle dans le délai ne retire pas ses pouvoirs, y compris celui d’interdire des opérations de traitement.

💡 Astuce mémo

Risque élevé = Profilage + données sensibles + grande échelle : si ça coche, l’analyse d’impact puis consultation avant de traiter.

📖 5. Établissement principal du responsable du traitement

🔑 Notions clés & Définitions

• Autorité de contrôle chef de file : Autorité de contrôle désignée pour coordonner la prise de décisions contraignantes dans les dossiers transfrontaliers relevant du règlement.
• Mécanisme de guichet unique : Mécanisme de coopération qui centralise, via l’autorité chef de file, l’instruction et la décision lorsque plusieurs autorités de contrôle sont concernées.
• Établissement principal : Lieu d’établissement du responsable du traitement ou du sous-traitant auquel une décision contraignante est adressée pour produire ses effets.
• Portée locale : Situation où, malgré plusieurs États d’établissement, le traitement visé ne concerne qu’un seul État membre et relève donc d’une autorité locale.
• Traitement dans l’intérêt public : Traitement réalisé par des autorités publiques ou des organismes privés agissant dans l’intérêt public, avec une compétence de contrôle simplifiée.

📝 Points essentiels

• La décision de rejet totale ou partielle d’une réclamation est adoptée par l’autorité de contrôle auprès de laquelle la réclamation a été introduite.
• La décision est adoptée conjointement par l’autorité chef de file et les autorités concernées, puis adressée à l’établissement principal ou unique du responsable du traitement ou du sous-traitant.
• Le responsable du traitement ou le sous-traitant doit prendre les mesures nécessaires pour assurer le respect du règlement et l’exécution de la décision notifiée.
• Chaque autorité qui n’est pas chef de file traite les cas de portée locale lorsque l’objet du traitement ne concerne qu’un seul État membre et des personnes de cet État.
• L’autorité locale informe sans tarder l’autorité chef de file, qui décide ensuite si elle traite le cas via le guichet unique ou si l’autorité locale le traite.
• Pour décider, l’autorité chef de file tient compte de l’existence d’un établissement dans l’État membre de l’autorité informante afin d’assurer l’exécution effective de la décision.

💡 Astuce mémo

Chef de file + guichet unique = décision adressée à l’établissement principal : local si le traitement ne vise qu’un seul État.

📖 6. Catégories particulières de données et dérogations

🔑 Notions clés & Définitions

• Données à caractère personnel des employés : Données à caractère personnel traitées dans le cadre des relations de travail, pouvant faire l’objet de règles spécifiques prévues par le droit des États membres ou des accords collectifs.
• Traitement archivistique dans l’intérêt public : Traitement de données à caractère personnel visant la conservation d’archives dans l’intérêt public, soumis à des garanties appropriées pour protéger les droits des personnes concernées.
• Recherche scientifique : Traitement de données à caractère personnel réalisé pour des finalités de recherche, interprété largement et encadré par des conditions et garanties prévues par le droit de l’Union ou des États membres.
• Recherche historique et généalogique : Traitement de données à caractère personnel pour des finalités historiques, incluant la généalogie, avec une exclusion des personnes décédées.
• Fins statistiques : Opérations de collecte et de traitement de données à caractère personnel nécessaires à des enquêtes statistiques ou à la production de résultats statistiques, aboutissant à des données agrégées.

📝 Points essentiels

• Les règles d’accès excluant ou limitant l’accès pour des motifs de protection des données peuvent empêcher l’application de certaines dispositions relatives à la réutilisation des données personnelles.
• Le droit des États membres ou des accords d’entreprise peuvent prévoir des règles spécifiques pour le traitement des données des employés, notamment quand le traitement repose sur le consentement de l’employé.
• Les traitements à des fins archivistiques, de recherche scientifique ou historique et de fins statistiques doivent respecter des garanties appropriées, dont des mesures techniques et organisationnelles liées à la minimis
• Le traitement ultérieur à ces finalités n’est permis que si le responsable a évalué la possibilité d’atteindre les finalités avec des données ne permettant plus d’identifier les personnes, avec garanties appropriées (ex.

💡 Astuce mémo

Archivage/Recherche/Statistiques = Garanties + minimisation + (si possible) données non identifiantes.

📖 7. Responsabilité du responsable du traitement

🔑 Notions clés & Définitions

• Responsabilité : La responsabilité impose au responsable du traitement de respecter les règles applicables et d’être capable de prouver ce respect.
• Mesures techniques et organisationnelles : Les mesures techniques et organisationnelles sont les actions choisies pour assurer l’intégrité et la confidentialité des données et limiter certains risques.
• Licéité du traitement : La licéité du traitement signifie que le traitement n’est autorisé que si au moins une condition légale prévue est remplie.
• Consentement : Le consentement est un fondement du traitement lorsque la personne concernée accepte le traitement pour des finalités spécifiques.
• Intérêts légitimes : Les intérêts légitimes sont un fondement possible du traitement, sauf si les droits et libertés fondamentaux de la personne concernée exigent une protection renforcée.

📝 Points essentiels

• Le responsable du traitement doit mettre en place des mesures appropriées pour protéger contre le traitement non autorisé ou illicite et contre la perte, destruction ou dégâts accidentels.
• Le responsable du traitement est responsable du respect du paragraphe 1 et doit pouvoir démontrer que ce respect est effectif.
• Le traitement n’est licite que si au moins une condition de l’article 6, paragraphe 1, est remplie (ex. consentement, contrat, obligation légale, intérêts vitaux, mission d’intérêt public, intérêts légitimes).
• Le fondement « intérêts légitimes » ne s’applique pas aux traitements des autorités publiques dans l’exercice de leurs missions.
• Lorsque le traitement change de finalité, le responsable du traitement évalue notamment le lien entre finalités, le contexte, la nature des données, les conséquences et l’existence de garanties (ex. chiffrement ou pseud.

💡 Astuce mémo

Responsabilité = « prouver » + « protéger » : prouver la conformité et protéger l’intégrité/confidentialité.

📖 8. Analyse des risques et impacts sur les droits

🔑 Notions clés & Définitions

• Droit à la limitation du traitement : Droit de la personne concernée d’obtenir que le traitement soit restreint dans des situations précises, tout en encadrant les usages possibles des données.
• Droit d’opposition : Droit de la personne concernée de refuser, pour raisons liées à sa situation, certains traitements fondés sur des intérêts publics ou légitimes, y compris le profilage.
• Décision individuelle automatisée : Droit de ne pas subir une décision produite uniquement par traitement automatisé, y compris le profilage, lorsqu’elle a des effets juridiques ou un impact significatif.
• Limitation des droits et obligations : Possibilité pour le droit de l’Union ou d’un État membre de restreindre certains droits et obligations, sous conditions strictes et proportionnées.
• Responsabilité du responsable du traitement : Obligation pour le responsable du traitement de mettre en place des mesures adaptées aux risques et d’être en mesure de prouver la conformité.

📝 Points essentiels

• La limitation du traitement s’applique notamment quand l’exactitude des données est contestée, pendant la vérification, ou quand le traitement est illicite avec demande de limitation plutôt que d’effacement.
• En cas de limitation, les données ne peuvent être traitées (hors conservation) qu’avec le consentement, pour des droits en justice, pour protéger les droits d’autrui, ou pour un important intérêt public.
• La personne ayant obtenu une limitation est informée avant la levée de cette limitation.
• Le responsable du traitement notifie aux destinataires toute rectification, effacement ou limitation, sauf si cette communication est impossible ou exigerait des efforts disproportionnés.
• Le droit d’opposition vise les traitements fondés sur l’intérêt public (e) ou l’intérêt légitime (f), y compris le profilage lié à ces bases.
• Après opposition, le responsable ne continue que s’il démontre des motifs légitimes et impérieux qui prévalent, ou pour la constatation, l’exercice ou la défense de droits en justice.

💡 Astuce mémo

Limitation = “données en pause” (vérif, illicite, justice, opposition en cours). Opposition = “je refuse” sauf motifs impérieux ou justice.

📖 9. Délégué à la protection des données et indépendance

🔑 Notions clés & Définitions

• Délégué à la protection des données : Personne chargée de veiller au respect des règles de protection des données et d’être un point de contact pour les questions liées au traitement.
• Désignation obligatoire : Obligation de nommer un délégué à la protection des données dans certains cas prévus, notamment pour les traitements à grande échelle ou par des organismes publics.
• Indépendance du délégué : Principe selon lequel le délégué ne reçoit pas d’instructions pour l’exercice de ses missions et ne peut pas être sanctionné pour celles-ci.
• Rapport au plus haut niveau : Modalité d’organisation imposant que le délégué rende directement compte à la direction la plus élevée du responsable du traitement ou du sous-traitant.

📝 Points essentiels

• Le responsable du traitement et le sous-traitant doivent désigner un délégué notamment si le traitement est réalisé par une autorité publique (hors juridictions agissant en fonction juridictionnelle).
• La désignation est aussi requise quand les activités de base impliquent un suivi régulier et systématique à grande échelle des personnes concernées.
• La désignation est également requise quand les activités de base portent à grande échelle sur des catégories particulières de données (art. 9 §1) ou sur des données relatives aux condamnations pénales et infractions (art
• Un groupe d’entreprises peut désigner un seul délégué si celui-ci est facilement joignable depuis chaque lieu d’établissement.
• Le délégué doit être choisi sur la base de ses qualités professionnelles, notamment ses connaissances spécialisées en droit et pratiques de protection des données, et sa capacité à accomplir les missions prévues.
• Le responsable du traitement et le sous-traitant doivent publier les coordonnées du délégué et les communiquer à l’autorité de contrôle.

💡 Astuce mémo

Indépendance = pas d’instructions + pas de sanctions + rapport direct au sommet.

📖 10. Voies de recours et réclamation auprès d’une autorité

🔑 Notions clés & Définitions

• Autorité de contrôle : Autorité publique indépendante chargée de surveiller l’application du règlement et de protéger les droits des personnes à l’égard des traitements.
• Réclamation : Demande adressée à une autorité de contrôle par une personne concernée (ou un organisme/association) pour signaler et faire examiner un objet lié au règlement.
• Autorité de contrôle chef de file : Autorité compétente pour coordonner le traitement d’un cas transfrontalier, en tant qu’unique interlocuteur du responsable ou du sous-traitant pour ce traitement.
• Pouvoirs d’enquête : Prérogatives permettant à l’autorité de contrôle de demander des informations, mener des audits, accéder aux données et locaux, et notifier des violations alléguées.
• Mesures correctrices : Décisions de l’autorité de contrôle visant à faire cesser ou corriger des manquements, y compris en ordonnant la mise en conformité et l’exercice des droits.

📝 Points essentiels

• Chaque État membre prévoit une ou plusieurs autorités publiques indépendantes chargées de surveiller l’application du règlement et de faciliter le libre flux des données dans l’Union.
• Les autorités de contrôle coopèrent entre elles et avec la Commission pour une application cohérente du règlement.
• Une autorité de contrôle n’est pas compétente pour contrôler les opérations de traitement réalisées par les juridictions dans l’exercice de leur fonction juridictionnelle.
• En cas de traitement transfrontalier, l’autorité de l’établissement principal ou unique agit comme autorité chef de file selon la procédure prévue à l’article 60.
• Une autorité de contrôle traite une réclamation si son objet concerne uniquement un établissement dans son État membre ou affecte sensiblement des personnes uniquement dans cet État.
• L’autorité chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier concerné.

💡 Astuce mémo

Chef de file = seul interlocuteur : « un dossier transfrontalier, un pilote ».

📖 11. Recours juridictionnel contre l’autorité de contrôle

🔑 Notions clés & Définitions

• Droit à un recours effectif : Droit fondamental garantissant qu’une personne puisse contester utilement une décision ou une action d’une autorité de contrôle devant un juge.
• Procédure régulière : Exigence procédurale imposant que le traitement d’un recours respecte des règles de forme et de respect des droits.
• Pouvoir de porter une violation : Prérogative légale permettant à l’autorité de contrôle de transmettre une violation du règlement aux autorités judiciaires.
• Ester en justice : Action en justice que l’autorité de contrôle peut engager, si le droit national le prévoit, pour faire appliquer le règlement.

📝 Points essentiels

• Les pouvoirs de l’autorité de contrôle sont encadrés par des garanties, dont le droit à un recours juridictionnel effectif et une procédure régulière, conformément à la Charte.
• Chaque État membre doit prévoir par la loi que son autorité de contrôle peut porter toute violation du règlement à l’attention des autorités judiciaires.
• Chaque État membre doit prévoir par la loi que, le cas échéant, l’autorité de contrôle peut ester en justice pour faire appliquer les dispositions du règlement.
• Les États membres peuvent ajouter des pouvoirs à ceux prévus, sans gêner le bon fonctionnement du chapitre VII.
• Les garanties de recours et de procédure s’appliquent à l’exercice des pouvoirs conférés à l’autorité de contrôle par l’article concerné.

💡 Astuce mémo

Recours = Charte : recours effectif + procédure régulière ; ensuite l’autorité peut saisir la justice (si prévu).

📖 12. Représentation des personnes concernées

🔑 Notions clés & Définitions

• Organisme mandaté : Organisme à but non lucratif valablement constitué dans un État membre, chargé d’agir au nom d’une personne concernée pour faire valoir ses droits.
• Objectifs d’intérêt public : Critère imposant que les objectifs statutaires de l’organisme mandaté soient d’intérêt public et liés à la protection des droits et libertés des personnes concernées.
• Droit d’agir sans mandat : Droit que les États membres peuvent accorder à certains organismes, indépendamment d’un mandat individuel, pour introduire des réclamations et exercer des recours.
• Réclamation au nom d’autrui : Mécanisme permettant à l’organisme mandaté d’introduire une réclamation et d’exercer, au nom de la personne, les droits de recours prévus par le règlement.

📝 Points essentiels

• La personne concernée peut mandater un organisme à but non lucratif pour introduire une réclamation en son nom et exercer les droits des articles 77, 78 et 79.
• L’organisme mandaté peut aussi demander la réparation prévue à l’article 82 si le droit de l’État membre le prévoit.
• Les États membres peuvent prévoir qu’un organisme visé peut, sans mandat, introduire une réclamation et exercer les droits des articles 78 et 79 s’il estime que les droits d’une personne ont été violés.
• Le mandat doit porter sur un organisme valablement constitué selon le droit d’un État membre et actif dans le domaine de la protection des droits et libertés des personnes concernées.
• Le droit d’agir sans mandat est une faculté laissée aux États membres, pas une obligation uniforme pour tous.
• Le champ d’action de l’organisme mandaté couvre la réclamation, les recours contre une autorité de contrôle et contre le responsable ou le sous-traitant, ainsi que la réparation si prévue par le droit national.

💡 Astuce mémo

Mandat = agir pour toi (77-79) ; Sans mandat = agir pour tous (78-79) si l’État l’autorise.

📅 Repères chronologiques

📊 Tableaux de synthèse

Bases de licéité du traitement (article 6)

⚠️ Pièges & confusions fréquents

1. Confondre le droit à l’effacement (art. 17) avec la limitation du traitement (art. 18) : l’effacement supprime, la limitation “met en pause” et encadre les usages.
2. Croire que le consentement est toujours requis pour les enfants : le cours distingue l’offre directe de services de la société de l’information et les cas où le consentement du titulaire de la responsabilité parentale n’

✅ Checklist Examen

1. Identifier le droit fondamental à la protection des données et le fait qu’il n’est pas absolu (principe de proportionnalité).
2. Expliquer le champ d’application matériel et territorial du RGPD (traitement automatisé/non automatisé en fichier ; établissement dans l’UE ; personnes dans l’UE).
3. Définir l’“établissement principal” et appliquer le critère finalités + moyens déterminants (et non le lieu d’exécution).
4. Distinguer les droits liés au traitement : accès, rectification, effacement (“droit à l’oubli”), limitation, portabilité, opposition, décision automatisée.
5. Savoir quand une analyse d’impact relative à la protection des données (AIPD) est requise (profilage avec décisions significatives, catégories particulières à grande échelle, surveillance à grande échelle).
6. Maîtriser la consultation préalable en cas de risque élevé non atténuable et le rôle de l’autorité de contrôle.
7. Connaître la responsabilité du responsable du traitement : mesures techniques/organisationnelles, responsabilité et capacité de démontrer la conformité.
8. Comprendre le rôle du délégué à la protection des données : désignation obligatoire dans les cas prévus, indépendance, rapport au plus haut niveau, missions.
9. Savoir comment une réclamation est traitée par les autorités de contrôle et la logique “chef de file” + guichet unique en cas transfrontalier.
10. Maîtriser les voies de recours : réclamation (art. 77), recours juridictionnel contre l’autorité de contrôle (art. 78), recours contre responsable/sous-traitant (art. 79).
11. Expliquer la représentation des personnes concernées : organisme mandaté (art. 80 §1) et droit d’agir sans mandat si l’État l’autorise (art. 80 §2).