arrow_back Retour à tous les articles

Article 56
Compétence de l'autorité de contrôle chef de file

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 56 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 56 keyboard_arrow_up

(124) Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union et que ce responsable du traitement ou ce sous-traitant est établi dans plusieurs États membres, ou que le traitement qui a lieu dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres, l'autorité de contrôle dont relève l'établissement principal ou l'établissement unique du responsable du traitement ou du sous-traitant devrait faire office d'autorité chef de file. Elle devrait coopérer avec les autres autorités concernées dans le cas où le responsable du traitement ou le sous-traitant a un établissement sur le territoire de l'État membre dont elles relèvent, dans le cas où les personnes concernées résidant sur le territoire dont elles relèvent sont affectées sensiblement ou encore dans le cas où une réclamation leur a été adressée. En outre, lorsqu'une personne concernée ne résidant pas dans cet État membre a introduit une réclamation, l'autorité de contrôle auprès de laquelle celle-ci a été introduite devrait également être une autorité de contrôle concernée. Dans le cadre de ses missions liées à la publication de lignes directrices sur toute question portant sur l'application du présent règlement, le comité devrait pouvoir publier des lignes directrices portant, en particulier, sur les critères à prendre en compte afin de déterminer si le traitement en question affecte sensiblement des personnes concernées dans plusieurs États membres et sur ce qui constitue une objection pertinente et motivée.

(125) L'autorité chef de file devrait être compétente pour adopter des décisions contraignantes concernant les mesures visant à mettre en oeuvre les pouvoirs qui lui sont conférés conformément au présent règlement. En sa qualité d'autorité chef de file, l'autorité de contrôle devrait associer de près les autorités de contrôle concernées au processus décisionnel et assurer une coordination étroite dans ce cadre. Lorsque qu'il est décidé de rejeter, en tout ou en partie, la réclamation introduite par la personne concernée, cette décision devrait être adoptée par l'autorité de contrôle auprès de laquelle la réclamation a été introduite.

(126) La décision devrait être adoptée conjointement par l'autorité de contrôle chef de file et les autorités de contrôle concernées, être adressée à l'établissement principal ou unique du responsable du traitement ou du sous-traitant et être contraignante pour le responsable du traitement et le sous-traitant. Le responsable du traitement ou le sous-traitant devraient prendre les mesures nécessaires pour garantir le respect du présent règlement et l'application de la décision notifiée par l'autorité de contrôle chef de file à l'établissement principal du responsable du traitement ou du sous-traitant en ce qui concerne les activités de traitement dans l'Union.

(127) Chaque autorité de contrôle qui ne fait pas office d’autorité de contrôle chef de file devrait être compétente pour traiter les cas de portée locale lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres mais que l'objet du traitement spécifique ne se rapporte qu'à un traitement effectué dans un seul État membre et ne porte que sur des personnes concernées de ce seul État membre, par exemple lorsqu'il s'agit de traiter des données à caractère personnel relatives à des employés dans le contexte des relations de travail propre à un État membre. Dans ces cas, l'autorité de contrôle devrait informer sans tarder l'autorité de contrôle chef de file de la question. Après avoir été informée, l'autorité de contrôle chef de file devrait décider si elle traitera le cas en vertu de la disposition relative à la coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées (ci-après dénommé "mécanisme de guichet unique"), ou si l'autorité de contrôle qui l'a informée devrait traiter le cas au niveau local. Lorsqu'elle décide si elle traitera le cas, l'autorité de contrôle chef de file devrait considérer s'il existe un établissement du responsable du traitement ou du sous-traitant dans l'État membre dont relève l'autorité de contrôle qui l'a informée, afin d'assurer l'exécution effective d'une décision à l'égard du responsable du traitement ou du sous-traitant. Lorsque l'autorité de contrôle chef de file décide de traiter le cas, l'autorité de contrôle qui l'a informée devrait avoir la possibilité de soumettre un projet de décision, dont l'autorité de contrôle chef de file devrait tenir le plus grand compte lorsqu'elle élabore son projet de décision dans le cadre de ce mécanisme de guichet unique.

(128) Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans l'intérêt public. Dans ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.

(130) Lorsque l'autorité de contrôle auprès de laquelle la réclamation a été introduite n'est pas l'autorité de contrôle chef de file, l'autorité de contrôle chef de file devrait coopérer étroitement avec l'autorité de contrôle auprès de laquelle la réclamation a été introduite conformément aux dispositions relatives à la coopération et à la cohérence prévues par le présent règlement. Dans de tels cas, l'autorité de contrôle chef de file devrait, lorsqu'elle adopte des mesures visant à produire des effets juridiques, y compris des mesures visant à infliger des amendes administratives, tenir le plus grand compte de l'avis de l'autorité de contrôle auprès de laquelle la réclamation a été introduite, laquelle devrait rester compétente pour effectuer toute enquête sur le territoire de l'État membre dont elle relève, en liaison avec l'autorité de contrôle chef de file.

(131) Lorsqu'une autre autorité de contrôle devrait faire office d’autorité de contrôle chef de file pour les activités de traitement du responsable du traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la violation éventuelle ne concerne que les activités de traitement du responsable du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation a été introduite ou dans lequel la violation éventuelle a été constatée et que la question n'affecte pas sensiblement ou n’est pas susceptible d’affecter sensiblement des personnes concernées dans d'autres États membres, l'autorité de contrôle qui est saisie d'une réclamation, ou qui constate des situations susceptibles de constituer des violations du présent règlement ou qui est informée d'une autre manière de telles situations devrait rechercher un règlement amiable avec le responsable du traitement et, en cas d'échec, exercer l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques qui sont effectués sur le territoire de l'État membre dont relève l'autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le territoire de cet État membre; les traitements effectués dans le cadre d'une offre de biens ou de services visant spécifiquement des personnes concernées se trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle; ou encore les traitements qui doivent être évalués à l'aune des obligations légales pertinentes prévues par le droit d'un État membre.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 56.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Sous l’empire de l’article 28, paragraphe 1 et 6, Directive, chaque autorité était chargée d’exercer l’ensemble des pouvoirs qui lui ont été conférés sur le territoire de l’État membre dont elle relève, afin d’assurer sur ce territoire le respect des règles en matière de protection des données, et cela indépendamment du droit national applicable.

Toutefois, la Directive ne réglait pas la problématique de l’autorité compétente lorsque le responsable est établi sur le territoire de plusieurs États membres. La Directive précisait au contraire que le responsable de traitement présent sur le territoire de plusieurs États membres devait prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable (cfr. article 4, paragraphe 1er, b)).

L’absence d’obligation de coordination à charge des autorités de contrôle nationales dans la Directive a engendré de nombreux problèmes pour les sociétés opérant à un niveau transnational, en raison de l’application de différentes législations nationales. En effet, les sociétés devaient déterminer pour chaque établissement, le droit applicable et se conformer aux spécificités de la loi nationale compétente.

Ni la loi belge, ni la loi française n’apportent de solution lorsque le responsable du traitement est établi sur le territoire de plusieurs Etats membres.

Où va-t-on ?

L’introduction du mécanisme de « guichet unique » par l’article 56 du Règlement constitue immanquablement une innovation majeure du Règlement qui viendra sensiblement faciliter la vie des Responsables de traitement établis dans plusieurs États Membres confrontés à l’application de différentes législations protectrices des données à caractère personnel.

Le mécanisme est simple dans son principe : en cas de traitement transnational, le Règlement détermine l’autorité de contrôle « principale » (dite l’autorité de contrôle chef de file) pour les activités de traitement du responsable dans l’Union en fonction du lieu de l’établissement principal du responsable ou de son lieu d’établissement unique. L’autorité de contrôle chef de file sera le seul interlocuteur du responsable ou du sous-traitant pour leur traitement transfontalier (art. 56, § 6).

L’article 4, 23) du Règlement définit le "traitement transnational de données à caractère personnel" comme étant :

 

a) un traitement qui se déroule dans le cadre des activités, dans plusieurs États membres, d'établissements d'un responsable du traitement ou d'un sous-traitant dans l'Union qui est établi dans plusieurs États membres; ou

 

b) un traitement qui se déroule dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;

L’objectif est qu’une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes. Cette compétence reconnue à l’autorité de contrôle chef de file vise à favoriser une application cohérente de la réglementation européenne, à garantir la sécurité juridique et à réduire les charges administratives pour le responsable du traitement et ses sous-traitants. Cette autorité de contrôle chef de file sera d’ailleurs le seul interlocuteur du responsable du traitement ou du sous-traitant pour leur traitement transnational (article 56, § 3).

La notion d’établissement principal est définie à l’article 4, 16) selon qu’il s’agisse de l’établissement principal du responsable établi dans plusieurs États membres ou du sous-traitant établi dans plusieurs États membres :

- s’agissant du responsable, son établissement principal dépend du lieu de son administration centrale dans l’Union. Néanmoins, si les décisions relatives aux moyens et aux finalités du traitement sont prises dans un autre établissement dans l’Union et que cet établissement dispose du pouvoir de faire appliquer ces décisions, alors c’est cet établissement qui doit être considéré comme l’établissement responsable ;

- s’agissant du sous-traitant, son établissement principal est déterminé en fonction du lieu de son administration centrale dans l’Union. À défaut d’administration centrale dans l’Union, son établissement principal dépend du lieu où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, pour autant que le sous-traitant soit soumis à des obligations spécifiques en vertu du Règlement.

Par dérogation au 1er paragraphe, chaque autorité de contrôle reste compétente pour traiter d’une plainte ou d’une possible violation du Règlement, si l’objet ne concerne que l’établissement dans cet État membre ou affecte substantiellement les personnes concernées dans cet État membre (article 56, § 2). Dans ce cas, il lui appartient d’en informer l’autorité chef de file. Cette dernière devra décider dans un délai de trois semaines si elle traitera elle-même le dossier ou si l’autorité devrait le traiter au niveau local, en conformité avec la procédure prévue à l’article 60, compte tenu de l’existence ou non d’un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.

Si l’autorité de contrôle chef de file décide de prendre en charge le dossier, la procédure de coopération entre autorités de contrôle visée à l’article 60 est applicable (§4). L’autorité de contrôle qui l’a informée peut lui communiquer un projet de décision, dont le chef de file doit tenir compte lors de l’élaboration de son projet de décision, qu’il devra communiquer à l’autorité de contrôle conformément à l’article 60, § 2.

À défaut de prise en charge du dossier par le chef de file, l'autorité de contrôle qui l'a informée traite le cas conformément aux articles 61 relatif à l’assistance mutuelle et 62 relatif aux opérations conjointes des autorités de contrôle. Cette précision suppose une coopération étroite entre les autorités de contrôle (§ 5).

Difficultés probables

La détermination d’une seule autorité de contrôle compétente en cas de traitement transnational est d’évidence une bonne chose. Elle ne sera pas toujours simple en pratique au vu de la complexité des règles d’identification contenues dans l’article 56 et de la notion d’établissement principal.

Surtout, sa prévisibilité n’est pas certaine. L’autorité compétente peut être différente en fonction du rattachement de la violation du Règlement à un État membre particulier et à la décision de répartition des compétences, qui revient à l’autorité de contrôle chef « de file ».

Règlement
1e 2e

Art. 56

1. Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60.

2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3. Dans les cas visés au paragraphe 2 du présent article, l'autorité de contrôle informe sans tarder l'autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l'autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l'article 60, en considérant s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l'autorité de contrôle qui l'a informée.

4. Si l'autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 60 s'applique. L'autorité de contrôle qui a informé l'autorité de contrôle chef de file peut lui soumettre un projet de décision. L'autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 60, paragraphe 3.

5. Lorsque l'autorité de contrôle chef de file décide de ne pas traiter le cas, l'autorité de contrôle qui l'a informée le traite conformément aux articles 61 et 62.

6. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant.

Proposition 1 close

1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au présent règlement.

2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement.

3. L’autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle.

Proposition 2 close

1. Sans préjudice de l'article 51, l'autorité de contrôle de l'établissement principal ou de l'unique établissement du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transnational de ce responsable du traitement ou de ce sous-traitant conformément à la procédure prévue à l'article 54 bis.

2. (...)

2 bis. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si l'objet en concerne uniquement un établissement dans son État membre ou affecte sensiblement des personnes concernées dans son État membre uniquement.

2 ter. Dans les cas visés au paragraphe 2 bis, l'autorité de contrôle informe sans tarder l'autorité de contrôle chef de file de la question. Dans les trois semaines suivant le moment où elle a été informée, l'autorité de contrôle chef de file décide si elle traite ou non le cas conformément à la procédure prévue à l'article 54 bis, en tenant compte du point de savoir s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l'autorité de contrôle qui l'a informée.

2 quater. Si l'autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 54 bis s'applique. L'autorité de contrôle qui a informé l'autorité de contrôle chef de file peut lui soumettre un projet de décision. L'autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 54 bis, paragraphe 2.

2 quinquies. Lorsque l'autorité de contrôle chef de file décide de ne pas le traiter, l'autorité de contrôle qui l'a informée traite le cas conformément aux articles 55 et 56.

3. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour leur traitement transnational.

4. (…).

Directive

Art. 28

(...)

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.

 

France

Pas de disposition correspondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK