Sommaire
Union Européenne
Belgique
Union Européenne
Comité Européen de la Protection des Données (CEPD)
Guidelines 8/2022 on identifying a controller or processor’s lead supervisory authority (28 mars 2023) (Anglais)
Link
Retour au sommaire
Groupe 29
Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)
(Approuvées par le CEPD)
Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.
L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.
Lien
Retour au sommaire
Belgique
Autorité de protection des données
Recommandation relative à l’autorité chef de file - 04/2016 (19 décembre 2016)
1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.
Lien
Retour au sommaire
Sommaire
Union Européenne
Union Européenne
Jurisprudence de la CJUE
C-230/14 (1 octobre 2015) - Weltimmo
1) L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.
Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.
En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.
2) Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.
3) La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).
Conclusions de l'Avocat général
Arrêt rendu
Retour au sommaire
France
Jurisprudence française
CE Fr., n°430810 (19 juin 2020)
1. Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.
a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.
b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.
2. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
Arrêt rendu
CE Fr., n°449209 (28 janvier 2022)
1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.
2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.
b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.
c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.
d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.
e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.
Arrêt rendu
Retour au sommaire
Le GDPR
L’introduction du mécanisme de « guichet unique » par l’article 56 du Règlement constitue immanquablement une innovation majeure du Règlement qui viendra sensiblement faciliter la vie des Responsables de traitement établis dans plusieurs États Membres confrontés à l’application de différentes législations protectrices des données à caractère personnel.
Le mécanisme est simple dans son principe : en cas de traitement transnational, le Règlement détermine l’autorité de contrôle « principale » (dite l’autorité de contrôle chef de file) pour les activités de traitement du responsable dans l’Union en fonction du lieu de l’établissement principal du responsable ou de son lieu d’établissement unique. L’autorité de contrôle chef de file sera le seul interlocuteur du responsable ou du sous-traitant pour leur traitement transfontalier (art. 56, § 6).
L’article 4, 23) du Règlement définit le "traitement transnational de données à caractère personnel" comme étant :
a) un traitement qui se déroule dans le cadre des activités, dans plusieurs États membres, d'établissements d'un responsable du traitement ou d'un sous-traitant dans l'Union qui est établi dans plusieurs États membres; ou
b) un traitement qui se déroule dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;
L’objectif est qu’une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes. Cette compétence reconnue à l’autorité de contrôle chef de file vise à favoriser une application cohérente de la réglementation européenne, à garantir la sécurité juridique et à réduire les charges administratives pour le responsable du traitement et ses sous-traitants. Cette autorité de contrôle chef de file sera d’ailleurs le seul interlocuteur du responsable du traitement ou du sous-traitant pour leur traitement transnational (article 56, § 3).
La notion d’établissement principal est définie à l’article 4, 16) selon qu’il s’agisse de l’établissement principal du responsable établi dans plusieurs États membres ou du sous-traitant établi dans plusieurs États membres :
- s’agissant du responsable, son établissement principal dépend du lieu de son administration centrale dans l’Union. Néanmoins, si les décisions relatives aux moyens et aux finalités du traitement sont prises dans un autre établissement dans l’Union et que cet établissement dispose du pouvoir de faire appliquer ces décisions, alors c’est cet établissement qui doit être considéré comme l’établissement responsable ;
- s’agissant du sous-traitant, son établissement principal est déterminé en fonction du lieu de son administration centrale dans l’Union. À défaut d’administration centrale dans l’Union, son établissement principal dépend du lieu où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, pour autant que le sous-traitant soit soumis à des obligations spécifiques en vertu du Règlement.
Par dérogation au 1er paragraphe, chaque autorité de contrôle reste compétente pour traiter d’une plainte ou d’une possible violation du Règlement, si l’objet ne concerne que l’établissement dans cet État membre ou affecte substantiellement les personnes concernées dans cet État membre (article 56, § 2). Dans ce cas, il lui appartient d’en informer l’autorité chef de file. Cette dernière devra décider dans un délai de trois semaines si elle traitera elle-même le dossier ou si l’autorité devrait le traiter au niveau local, en conformité avec la procédure prévue à l’article 60, compte tenu de l’existence ou non d’un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.
Si l’autorité de contrôle chef de file décide de prendre en charge le dossier, la procédure de coopération entre autorités de contrôle visée à l’article 60 est applicable (§4). L’autorité de contrôle qui l’a informée peut lui communiquer un projet de décision, dont le chef de file doit tenir compte lors de l’élaboration de son projet de décision, qu’il devra communiquer à l’autorité de contrôle conformément à l’article 60, § 2.
À défaut de prise en charge du dossier par le chef de file, l'autorité de contrôle qui l'a informée traite le cas conformément aux articles 61 relatif à l’assistance mutuelle et 62 relatif aux opérations conjointes des autorités de contrôle. Cette précision suppose une coopération étroite entre les autorités de contrôle (§ 5).
La Directive
Sous l’empire de l’article 28, paragraphe 1 et 6, Directive, chaque autorité était chargée d’exercer l’ensemble des pouvoirs qui lui ont été conférés sur le territoire de l’État membre dont elle relève, afin d’assurer sur ce territoire le respect des règles en matière de protection des données, et cela indépendamment du droit national applicable.
Toutefois, la Directive ne réglait pas la problématique de l’autorité compétente lorsque le responsable est établi sur le territoire de plusieurs États membres. La Directive précisait au contraire que le responsable de traitement présent sur le territoire de plusieurs États membres devait prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable (cfr. article 4, paragraphe 1er, b)).
L’absence d’obligation de coordination à charge des autorités de contrôle nationales dans la Directive a engendré de nombreux problèmes pour les sociétés opérant à un niveau transnational, en raison de l’application de différentes législations nationales. En effet, les sociétés devaient déterminer pour chaque établissement, le droit applicable et se conformer aux spécificités de la loi nationale compétente.
Ni la loi belge, ni la loi française n’apportent de solution lorsque le responsable du traitement est établi sur le territoire de plusieurs Etats membres.
Difficultés probables
La détermination d’une seule autorité de contrôle compétente en cas de traitement transnational est d’évidence une bonne chose. Elle ne sera pas toujours simple en pratique au vu de la complexité des règles d’identification contenues dans l’article 56 et de la notion d’établissement principal.
Surtout, sa prévisibilité n’est pas certaine. L’autorité compétente peut être différente en fonction du rattachement de la violation du Règlement à un État membre particulier et à la décision de répartition des compétences, qui revient à l’autorité de contrôle chef « de file ».
