Article 56
Compétence de l'autorité de contrôle chef de file
Mots clés liés à l'article 56
(124) Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant dans l'Union et que ce responsable du traitement ou ce sous-traitant est établi dans plusieurs États membres, ou que le traitement qui a lieu dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres, l'autorité de contrôle dont relève l'établissement principal ou l'établissement unique du responsable du traitement ou du sous-traitant devrait faire office d'autorité chef de file. Elle devrait coopérer avec les autres autorités concernées dans le cas où le responsable du traitement ou le sous-traitant a un établissement sur le territoire de l'État membre dont elles relèvent, dans le cas où les personnes concernées résidant sur le territoire dont elles relèvent sont affectées sensiblement ou encore dans le cas où une réclamation leur a été adressée. En outre, lorsqu'une personne concernée ne résidant pas dans cet État membre a introduit une réclamation, l'autorité de contrôle auprès de laquelle celle-ci a été introduite devrait également être une autorité de contrôle concernée. Dans le cadre de ses missions liées à la publication de lignes directrices sur toute question portant sur l'application du présent règlement, le comité devrait pouvoir publier des lignes directrices portant, en particulier, sur les critères à prendre en compte afin de déterminer si le traitement en question affecte sensiblement des personnes concernées dans plusieurs États membres et sur ce qui constitue une objection pertinente et motivée.
(125) L'autorité chef de file devrait être compétente pour adopter des décisions contraignantes concernant les mesures visant à mettre en oeuvre les pouvoirs qui lui sont conférés conformément au présent règlement. En sa qualité d'autorité chef de file, l'autorité de contrôle devrait associer de près les autorités de contrôle concernées au processus décisionnel et assurer une coordination étroite dans ce cadre. Lorsque qu'il est décidé de rejeter, en tout ou en partie, la réclamation introduite par la personne concernée, cette décision devrait être adoptée par l'autorité de contrôle auprès de laquelle la réclamation a été introduite.
(126) La décision devrait être adoptée conjointement par l'autorité de contrôle chef de file et les autorités de contrôle concernées, être adressée à l'établissement principal ou unique du responsable du traitement ou du sous-traitant et être contraignante pour le responsable du traitement et le sous-traitant. Le responsable du traitement ou le sous-traitant devraient prendre les mesures nécessaires pour garantir le respect du présent règlement et l'application de la décision notifiée par l'autorité de contrôle chef de file à l'établissement principal du responsable du traitement ou du sous-traitant en ce qui concerne les activités de traitement dans l'Union.
(127) Chaque autorité de contrôle qui ne fait pas office d’autorité de contrôle chef de file devrait être compétente pour traiter les cas de portée locale lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres mais que l'objet du traitement spécifique ne se rapporte qu'à un traitement effectué dans un seul État membre et ne porte que sur des personnes concernées de ce seul État membre, par exemple lorsqu'il s'agit de traiter des données à caractère personnel relatives à des employés dans le contexte des relations de travail propre à un État membre. Dans ces cas, l'autorité de contrôle devrait informer sans tarder l'autorité de contrôle chef de file de la question. Après avoir été informée, l'autorité de contrôle chef de file devrait décider si elle traitera le cas en vertu de la disposition relative à la coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées (ci-après dénommé "mécanisme de guichet unique"), ou si l'autorité de contrôle qui l'a informée devrait traiter le cas au niveau local. Lorsqu'elle décide si elle traitera le cas, l'autorité de contrôle chef de file devrait considérer s'il existe un établissement du responsable du traitement ou du sous-traitant dans l'État membre dont relève l'autorité de contrôle qui l'a informée, afin d'assurer l'exécution effective d'une décision à l'égard du responsable du traitement ou du sous-traitant. Lorsque l'autorité de contrôle chef de file décide de traiter le cas, l'autorité de contrôle qui l'a informée devrait avoir la possibilité de soumettre un projet de décision, dont l'autorité de contrôle chef de file devrait tenir le plus grand compte lorsqu'elle élabore son projet de décision dans le cadre de ce mécanisme de guichet unique.
(128) Les règles relatives à l'autorité de contrôle chef de file et au mécanisme de guichet unique ne devraient pas s'appliquer lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans l'intérêt public. Dans ce cas, la seule autorité de contrôle compétente pour exercer les pouvoirs qui lui sont conférés conformément au présent règlement devrait être l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.
(130) Lorsque l'autorité de contrôle auprès de laquelle la réclamation a été introduite n'est pas l'autorité de contrôle chef de file, l'autorité de contrôle chef de file devrait coopérer étroitement avec l'autorité de contrôle auprès de laquelle la réclamation a été introduite conformément aux dispositions relatives à la coopération et à la cohérence prévues par le présent règlement. Dans de tels cas, l'autorité de contrôle chef de file devrait, lorsqu'elle adopte des mesures visant à produire des effets juridiques, y compris des mesures visant à infliger des amendes administratives, tenir le plus grand compte de l'avis de l'autorité de contrôle auprès de laquelle la réclamation a été introduite, laquelle devrait rester compétente pour effectuer toute enquête sur le territoire de l'État membre dont elle relève, en liaison avec l'autorité de contrôle chef de file.
(131) Lorsqu'une autre autorité de contrôle devrait faire office d’autorité de contrôle chef de file pour les activités de traitement du responsable du traitement ou du sous-traitant mais que l'objet concret d'une réclamation ou la violation éventuelle ne concerne que les activités de traitement du responsable du traitement ou du sous-traitant dans l'État membre dans lequel la réclamation a été introduite ou dans lequel la violation éventuelle a été constatée et que la question n'affecte pas sensiblement ou n’est pas susceptible d’affecter sensiblement des personnes concernées dans d'autres États membres, l'autorité de contrôle qui est saisie d'une réclamation, ou qui constate des situations susceptibles de constituer des violations du présent règlement ou qui est informée d'une autre manière de telles situations devrait rechercher un règlement amiable avec le responsable du traitement et, en cas d'échec, exercer l'ensemble de ses pouvoirs. Ceci devrait comprendre: les traitements spécifiques qui sont effectués sur le territoire de l'État membre dont relève l'autorité de contrôle ou qui portent sur des personnes concernées se trouvant sur le territoire de cet État membre; les traitements effectués dans le cadre d'une offre de biens ou de services visant spécifiquement des personnes concernées se trouvant sur le territoire de l'État membre dont relève l'autorité de contrôle; ou encore les traitements qui doivent être évalués à l'aune des obligations légales pertinentes prévues par le droit d'un État membre.
Il n'y pas de considérant de la Directive 95/46 lié à l'article 56.
Le GDPR
L’introduction du mécanisme de « guichet unique » par l’article 56 du Règlement constitue immanquablement une innovation majeure du Règlement qui viendra sensiblement faciliter la vie des Responsables de traitement établis dans plusieurs États Membres confrontés à l’application de différentes législations protectrices des données à caractère personnel.
Le mécanisme est simple dans son principe : en cas de traitement transnational, le Règlement détermine l’autorité de contrôle « principale » (dite l’autorité de contrôle chef de file) pour les activités de traitement du responsable dans l’Union en fonction du lieu de l’établissement principal du responsable ou de son lieu d’établissement unique. L’autorité de contrôle chef de file sera le seul interlocuteur du responsable ou du sous-traitant pour leur traitement transfontalier (art. 56, § 6).
L’article 4, 23) du Règlement définit le "traitement transnational de données à caractère personnel" comme étant :
a) un traitement qui se déroule dans le cadre des activités, dans plusieurs États membres, d'établissements d'un responsable du traitement ou d'un sous-traitant dans l'Union qui est établi dans plusieurs États membres; ou
b) un traitement qui se déroule dans le cadre des activités d'un établissement unique d'un responsable du traitement ou d'un sous-traitant dans l'Union, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernées dans plusieurs États membres;
L’objectif est qu’une seule autorité de contrôle soit compétente pour surveiller les activités du responsable du traitement ou du sous-traitant dans toute l'Union et pour prendre les décisions y afférentes. Cette compétence reconnue à l’autorité de contrôle chef de file vise à favoriser une application cohérente de la réglementation européenne, à garantir la sécurité juridique et à réduire les charges administratives pour le responsable du traitement et ses sous-traitants. Cette autorité de contrôle chef de file sera d’ailleurs le seul interlocuteur du responsable du traitement ou du sous-traitant pour leur traitement transnational (article 56, § 3).
La notion d’établissement principal est définie à l’article 4, 16) selon qu’il s’agisse de l’établissement principal du responsable établi dans plusieurs États membres ou du sous-traitant établi dans plusieurs États membres :
- s’agissant du responsable, son établissement principal dépend du lieu de son administration centrale dans l’Union. Néanmoins, si les décisions relatives aux moyens et aux finalités du traitement sont prises dans un autre établissement dans l’Union et que cet établissement dispose du pouvoir de faire appliquer ces décisions, alors c’est cet établissement qui doit être considéré comme l’établissement responsable ;
- s’agissant du sous-traitant, son établissement principal est déterminé en fonction du lieu de son administration centrale dans l’Union. À défaut d’administration centrale dans l’Union, son établissement principal dépend du lieu où se déroule l'essentiel des activités de traitement effectuées dans le cadre des activités d'un établissement du sous-traitant, pour autant que le sous-traitant soit soumis à des obligations spécifiques en vertu du Règlement.
Par dérogation au 1er paragraphe, chaque autorité de contrôle reste compétente pour traiter d’une plainte ou d’une possible violation du Règlement, si l’objet ne concerne que l’établissement dans cet État membre ou affecte substantiellement les personnes concernées dans cet État membre (article 56, § 2). Dans ce cas, il lui appartient d’en informer l’autorité chef de file. Cette dernière devra décider dans un délai de trois semaines si elle traitera elle-même le dossier ou si l’autorité devrait le traiter au niveau local, en conformité avec la procédure prévue à l’article 60, compte tenu de l’existence ou non d’un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.
Si l’autorité de contrôle chef de file décide de prendre en charge le dossier, la procédure de coopération entre autorités de contrôle visée à l’article 60 est applicable (§4). L’autorité de contrôle qui l’a informée peut lui communiquer un projet de décision, dont le chef de file doit tenir compte lors de l’élaboration de son projet de décision, qu’il devra communiquer à l’autorité de contrôle conformément à l’article 60, § 2.
À défaut de prise en charge du dossier par le chef de file, l'autorité de contrôle qui l'a informée traite le cas conformément aux articles 61 relatif à l’assistance mutuelle et 62 relatif aux opérations conjointes des autorités de contrôle. Cette précision suppose une coopération étroite entre les autorités de contrôle (§ 5).
La Directive
Sous l’empire de l’article 28, paragraphe 1 et 6, Directive, chaque autorité était chargée d’exercer l’ensemble des pouvoirs qui lui ont été conférés sur le territoire de l’État membre dont elle relève, afin d’assurer sur ce territoire le respect des règles en matière de protection des données, et cela indépendamment du droit national applicable.
Toutefois, la Directive ne réglait pas la problématique de l’autorité compétente lorsque le responsable est établi sur le territoire de plusieurs États membres. La Directive précisait au contraire que le responsable de traitement présent sur le territoire de plusieurs États membres devait prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable (cfr. article 4, paragraphe 1er, b)).
L’absence d’obligation de coordination à charge des autorités de contrôle nationales dans la Directive a engendré de nombreux problèmes pour les sociétés opérant à un niveau transnational, en raison de l’application de différentes législations nationales. En effet, les sociétés devaient déterminer pour chaque établissement, le droit applicable et se conformer aux spécificités de la loi nationale compétente.
Ni la loi belge, ni la loi française n’apportent de solution lorsque le responsable du traitement est établi sur le territoire de plusieurs Etats membres.
Difficultés probables ?
La détermination d’une seule autorité de contrôle compétente en cas de traitement transnational est d’évidence une bonne chose. Elle ne sera pas toujours simple en pratique au vu de la complexité des règles d’identification contenues dans l’article 56 et de la notion d’établissement principal.
Surtout, sa prévisibilité n’est pas certaine. L’autorité compétente peut être différente en fonction du rattachement de la violation du Règlement à un État membre particulier et à la décision de répartition des compétences, qui revient à l’autorité de contrôle chef « de file ».
Union Européenne
Comité Européen de la Protection des Données (CEPD)
Lignes directrices sur la mise en œuvre pratique des règlements amiables - 06/2022 (12 mai 2022)
1. La pratique a montré que de nombreuses autorités de contrôle (ci-après les «autorités de contrôle») appliquent l’instrument de règlement amiable lorsqu’elles traitent des réclamations. Il convient également de noter que les règlements amiables varient d’un pays à l’autre et qu’ils sont donc traités différemment par les autorités de contrôle en raison de législations nationales différentes. Le RGPD utilise l’ex
2. Les pouvoirs des autorités de contrôle devraient être exercés conformément à des exigences spécifiques du droit procédural de leur État membre. Cela vaut également pour le traitement des cas. Toutefois, le droit procédural national doit respecter les principes d’équivalence et d’effectivité et ne peut donc pas rendre excessivement difficile ou pratiquement impossible l’exercice des droits conférés par le droit de l’Union (c’est-à-dire le RGPD). Par les présentes lignes directrices, le comité européen de la protection des données cherche donc à fournir les meilleures pratiques en vue d’une application cohérente du RGPD aux niveaux national et de l’UE, dans la mesure appropriée à l’application de l’instrument de règlement amiable, en tenant compte des différentes législations procédurales nationales — dans la mesure où un tel instrument a été mis en œuvre explicitement — de la procédure du mécanisme de guichet unique au titre du RGPD et de l’environnement technique (IMI).
3. Les cas traités par les autorités de contrôle peuvent avoir des origines autres que des réclamations, par exemple des cas fondés sur des reportages dans les médias ou des enquêtes d’office. Toutefois, les présentes orientations ne traiteront de la mise en œuvre pratique des règlements amiables que pour les cas ayant pour origine une réclamation d’une personne concernée, étant donné que la possibilité d’un règlement suppose l’existence d’un litige entre deux entités, en l’occurrence la réclamation introduite par une personne concernée contre un responsable du traitement (voir également le point 2.1 ci-dessous). En outre, ces réclamations peuvent être divisées en i) cas nationaux sans caractère transfrontière, ii) cas dans lesquels le mécanisme de guichet unique s’applique parce que le cas est de nature transfrontière et iii) cas transfrontières traités localement conformément à l’article 56, paragraphe 2, du RGPD. Là encore, même si la pratique montre que les règlements amiables constituent une voie d’action possible pour toutes les situations, les présentes orientations aborderont principalement les réclamations de nature transfrontière.
Lignes directrices concernant la désignation d'une autorité de contrôle chef de file d'un responsable de traitement ou d'un sous-traitant - 8/2022 (28 mars 2023)
1. Le 5 avril 2017, le groupe de travail «article 29» a adopté ses lignes directrices sur la désignation de l’autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (WP244 rév.01), qui ont été approuvées par le comité européen de la protection des données lors de sa première réunion plénière. Le présent document est une version légèrement actualisée de ces lignes directrices. Il convient désormais d’interpréter toute référence aux lignes directrices du groupe de travail «article 29» concernant la désignation de l’autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant (WP244 rév.01) comme une référence aux présentes directrices du comité européen de la protection des données.
2. Le comité européen de la protection des données a constaté qu’il était nécessaire d’apporter des précisions, notamment en ce qui concerne la notion d’établissement principal dans le contexte de la responsabilité conjointe du traitement et compte tenu des lignes directrices 07/2020 du comité européen de la protection des données concernant les notions de responsable du traitement et de sous-traitant dans le RGPD.
3. Le point relatif à ce sujet a été révisé et actualisé, le reste du document demeurant inchangé, à l’exception de modifications rédactionnelles. La révision concerne plus particulièrement la section 2.1.3 relative aux responsables conjoints du traitement.
Groupe 29
Lignes directrices concernant l'autorité de contrôle chef de file - wp244rev.01 (5 avril 2017)
(Approuvées par le CEPD)
Il n’est pertinent de désigner une autorité de contrôle chef de file que lorsque le traitement transfrontalier de données à caractère personnel est effectué par un responsable du traitement ou un sous-traitant. L’article 4, point 23), du règlement général sur la protection des données (ci-après le «règlement général») définit le «traitement transfrontalier» comme suit:
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres; ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres.
Cela signifie que, si une organisation a des établissements en France et en Roumanie, par exemple, et si le traitement de données à caractère personnel a lieu dans le cadre de l’activité de ceux-ci, ce traitement constituera un traitement transfrontalier.
L’organisation peut aussi exercer une activité de traitement dans le seul cadre de son établissement situé en France. Toutefois, si cette activité affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées en France et en Roumanie, elle sera également considérée comme un traitement transfrontalier.
Retour au sommaireBelgique
Autorité de protection des données
Recommandation relative à l’autorité chef de file - 04/2016 (19 décembre 2016)
1. La Commission prend acte des lignes de conduite adoptées par le groupe de l’article 29 le 13 décembre 2016 relatives à la désignation de l’autorité chef de file dans le cadre de l’application du RGPD (WP244).
2. La Commission recommande aux responsables de traitement et aux sous-traitants l’utilisation de ces lignes de conduite comme outil d’interprétation du RGPD.
Sommaire
Union Européenne
France
Union Européenne
Jurisprudence de la CJUE
C-230/14 (1 octobre 2015) - Weltimmo
1) L’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il permet l’application de la législation relative à la protection des données à caractère personnel d’un État membre autre que celui dans lequel le responsable du traitement de ces données est immatriculé, pour autant que celui‑ci exerce, au moyen d’une installation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle ce traitement est effectué.
Afin de déterminer, dans des circonstances telles que celles en cause au principal, si tel est le cas, la juridiction de renvoi peut, notamment, tenir compte du fait, d’une part, que l’activité du responsable dudit traitement, dans le cadre de laquelle ce dernier a lieu, consiste dans l’exploitation de sites Internet d’annonces immobilières concernant des biens immobiliers situés sur le territoire de cet État membre et rédigés dans la langue de celui‑ci et qu’elle est, par conséquent, principalement, voire entièrement, tournée vers ledit État membre et, d’autre part, que ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées.
En revanche, est dénuée de pertinence la question de la nationalité des personnes concernées par ce traitement de données.
2) Dans l’hypothèse où l’autorité de contrôle d’un État membre saisie de plaintes, conformément à l’article 28, paragraphe 4, de la directive 95/46, parviendrait à la conclusion que le droit applicable au traitement des données à caractère personnel concernées est non pas le droit de cet État membre, mais celui d’un autre État membre, l’article 28, paragraphes 1, 3 et 6, de cette directive doit être interprété en ce sens que cette autorité de contrôle ne pourrait exercer les pouvoirs effectifs d’interventions qui lui ont été conférés conformément à l’article 28, paragraphe 3, de ladite directive que sur le territoire de l’État membre dont elle relève. Partant, elle ne saurait infliger de sanctions sur la base du droit de cet État membre au responsable du traitement de ces données qui n’est pas établi sur ce territoire, mais devrait, en application de l’article 28, paragraphe 6, de la même directive, demander à l’autorité de contrôle relevant de l’État membre dont le droit est applicable d’intervenir.
3) La directive 95/46 doit être interprétée en ce sens que la notion d’«adatfeldolgozás» (opérations techniques de traitement des données), utilisée dans la version de cette directive en langue hongroise, en particulier aux articles 4, paragraphe 1, sous a), et 28, paragraphe 6, de celle‑ci, doit être comprise dans un sens identique à celui du terme «adatkezelés» (traitement de données).
Conclusions de l'Avocat général
C-645/19 (15 Juin 2021) - Facebook Ireland e.a.
1) L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.
2) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.
3) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée.
4) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.
5) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.
Conclusions de l'Avocat général
Retour au sommaire Retour au sommaireFrance
Jurisprudence française
CE Fr., n°430810 (19 juin 2020)
1. Il résulte clairement du 7) de l'article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est, en tant qu'autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.
a) Pour la détermination de l'autorité de contrôle compétente, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.
b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.
2. Dans l'hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu'il n'y dispose ni d'administration centrale, ni d'établissement doté d'un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l'autorité chef de file prévu à l'article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l'Etat membre dont elle relève, conformément à l'article 55 précité.
CE Fr., n°449209 (28 janvier 2022)
1. Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C-673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du guichet unique applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.
2. a) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi n° 78-17 du 6 janvier 1978.
b) Il résulte de l'article 82 de la loi n° 78-17 du 6 janvier 1978 que toute opération de recueil ou de dépôt d'informations stockées dans le terminal d'un utilisateur doit faire l'objet d'une information préalable, claire et complète relative à la finalité des cookies ou autres traceurs et aux moyens dont les utilisateurs disposent pour s'y opposer.
c) La CNIL ayant, par une délibération en date du 4 juillet 2019, postérieure à l'entrée en application, le 25 mai 2018, du RGPD, adopté des lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d'un utilisateur et abrogé sa recommandation antérieure du 5 décembre 2013. CNIL ayant, par deux communiqués publiés sur son site internet les 28 juin et 18 juillet 2019, et afin de permettre aux acteurs d'intégrer ces nouvelles lignes directrices, annoncé la mise en place d'une période d'adaptation pendant laquelle elle s'abstiendrait de poursuivre et de sanctionner les responsables de traitement au titre de la nouvelle réglementation applicable aux cookies et autres traceurs, qui devait s'achever six mois après l'adoption de sa nouvelle délibération relative aux modalités opérationnelles de recueil du consentement en la matière.
d) Toutefois, ces nouvelles lignes directrices du 4 juillet 2019, destinées à adapter le cadre de référence du consentement compte tenu de la modification de la loi du 6 janvier 1978 par l'ordonnance n° 2018-1125 du 12 décembre 2018 en conséquence du RGPD, n'ont pas remis en cause le régime préexistant, prévu au II de l'article 32 de cette même loi, lequel posait déjà le principe d'un consentement préalable au dépôt des cookies, celui d'une information claire et complète de l'utilisateur, ainsi que d'un droit d'opposition.
e) Il s'ensuit, dès lors que la procédure engagée par la CNIL ne portait que sur des règles antérieures au RGPD et encadrées par la CNIL dès 2013, que la formation restreinte de la CNIL a pu, sans méconnaître le principe de légalité des délits et des peines, engager une procédure de contrôle et de sanction quant au respect, par des sociétés, des obligations prévues à l'article 82 de la loi du 6 janvier 1978, dont la portée n'a pas été modifiée à cet égard par la mise en conformité de la loi du 6 janvier 1978 avec le RGPD, s'agissant en particulier du caractère préalable du consentement.
CE Fr., n°464445 (4 mai 2023)
Il ressort des pièces du dossier que le système d'information des ressources humaines utilisé par certaines entités du groupe Euronext, notamment par sa filiale située à Dublin, fait l'objet d'un pilotage central par un service situé en France, dont les employés sont habilités à consulter et modifier les données des salariés de ces entités. A cet égard, le dossier fait notamment ressortir que des opérations portant sur les données de la requérante ont été enregistrées dans ce système d'information dès le 27 mars 2018, date d'acquisition de la société Irish Stock Exchange par Euronext N.V, que, le 12 avril 2018, un employé de la filiale irlandaise a intégré dans ce système un ensemble de données à caractère personnel relatif aux salariés de la filiale irlandaise, faisant notamment état, à tort, du sexe masculin de la requérante et que des modifications ont été par la suite apportées aux données par le service en charge du pilotage du système d'information à Paris, notamment le sexe de la requérante, le 27 août 2018. Le traitement des données à caractère personnel relatifs à la gestion des ressources humaines des entités du groupe Euronext situées à l'étranger, incluant les opérations relatives à la requérante, a lieu dans l'Union dans le cadre d'activités d'établissements dans plusieurs Etats membres du groupe Euronext N.V., responsable de traitement établi dans plusieurs Etats membres, et présente ainsi un caractère transfrontalier au sens du RGPD. Dès lors que l'établissement du groupe Euronext situé en France, qui emploie également le responsable des ressources humaines du groupe, détermine les finalités et les moyens de ce traitement de données à caractère personnel et dispose du pouvoir de les faire appliquer dans les autres établissements qui sont utilisateurs de ce même système, et qu'il doit ainsi être regardé comme l'établissement principal du groupe Euronext pour ce qui concerne ce traitement, la CNIL est en principe compétente pour agir en tant qu'autorité chef de file concernant ce traitement transfrontalier.
Toutefois, la réclamation introduite par Mme D... auprès de la CNIL ne porte que sur la mise en œuvre du traitement de données à caractère personnel précédemment mentionné en ce qui concerne sa situation et son activité de salariée au sein de la société Irish Stock Exchange et est insusceptible d'affecter des personnes concernées dans d'autres Etats membres que l'Irlande. Par suite, et par dérogation à la compétence d'autorité chef de file de la CNIL, laquelle n'a pas décidé de faire usage du pouvoir que lui reconnaît le paragraphe 3 de l'article 56 du RGPD, l'autorité de contrôle irlandaise, qui a d'ailleurs été saisie parallèlement par Mme D..., est seule compétente pour traiter sa réclamation, sur le fondement du paragraphe 2 du même article.
Il suit de là que Mme D... n'est pas fondée à soutenir qu'en clôturant sa plainte en raison de son incompétence, la CNIL a méconnu ce règlement. Par suite, la requête de Mme D... doit être rejetée, y compris ses conclusions à fin d'injonction.
|
Art. 56 1. Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. 2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement. 3. Dans les cas visés au paragraphe 2 du présent article, l'autorité de contrôle informe sans tarder l'autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l'autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l'article 60, en considérant s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l'autorité de contrôle qui l'a informée. 4. Si l'autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 60 s'applique. L'autorité de contrôle qui a informé l'autorité de contrôle chef de file peut lui soumettre un projet de décision. L'autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 60, paragraphe 3. 5. Lorsque l'autorité de contrôle chef de file décide de ne pas traiter le cas, l'autorité de contrôle qui l'a informée le traite conformément aux articles 61 et 62. 6. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. |
Proposition 1
close
1. Chaque autorité de contrôle exerce, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au présent règlement. 2. Lorsque le traitement des données à caractère personnel a lieu dans le cadre des activités d'un responsable du traitement ou d'un sous-traitant établis dans l’Union, et lorsque le responsable du traitement ou le sous-traitant sont établis dans plusieurs États membres, l'autorité de contrôle de l'État membre où se situe l'établissement principal du responsable du traitement ou du sous-traitant est compétente pour contrôler les activités de traitement du responsable du traitement ou du sous-traitant dans tous les États membres, sans préjudice des dispositions du chapitre VII du présent règlement. 3. L’autorité de contrôle n'est pas compétente pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle. |
Proposition 2
close
1. Sans préjudice de l'article 51, l'autorité de contrôle de l'établissement principal ou de l'unique établissement du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transnational de ce responsable du traitement ou de ce sous-traitant conformément à la procédure prévue à l'article 54 bis. 2. (...) 2 bis. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si l'objet en concerne uniquement un établissement dans son État membre ou affecte sensiblement des personnes concernées dans son État membre uniquement. 2 ter. Dans les cas visés au paragraphe 2 bis, l'autorité de contrôle informe sans tarder l'autorité de contrôle chef de file de la question. Dans les trois semaines suivant le moment où elle a été informée, l'autorité de contrôle chef de file décide si elle traite ou non le cas conformément à la procédure prévue à l'article 54 bis, en tenant compte du point de savoir s'il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l'État membre de l'autorité de contrôle qui l'a informée. 2 quater. Si l'autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l'article 54 bis s'applique. L'autorité de contrôle qui a informé l'autorité de contrôle chef de file peut lui soumettre un projet de décision. L'autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu'elle élabore le projet de décision visé à l'article 54 bis, paragraphe 2. 2 quinquies. Lorsque l'autorité de contrôle chef de file décide de ne pas le traiter, l'autorité de contrôle qui l'a informée traite le cas conformément aux articles 55 et 56. 3. L'autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour leur traitement transnational. 4. (…). |
Directive close
Art. 28 (...) 6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l'État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d'une autorité d'un autre État membre. Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l'accomplissement de leurs missions, notamment en échangeant toute information utile.
|
France
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Art. 27 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Lorsque la commission agit en tant qu'autorité de contrôle chef de file au sens de l'article 56 du règlement (UE) 2016/679 du 27 avril 2016 s'agissant d'un traitement transfrontalier au sein de l'Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l'article 22 ainsi que l'ensemble des informations utiles de la procédure ayant permis d'établir le rapport, avant l'éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d'assister, par tout moyen de retransmission approprié, à l'audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d'un procès-verbal dressé à la suite de l'audition. Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l'article 60 du règlement (UE) 2016/679 du 27 avril 2016. A ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d'écarter l'une des objections, le comité européen de la protection des données conformément à l'article 65 du même règlement. Art. 28 Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018 Lorsque la commission agit en tant qu'autorité de contrôle concernée, au sens de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file. Lorsque ces mesures sont d'objet équivalent à celles définies aux I et II de l'article 20 de la présente loi, le président décide, le cas échéant, d'émettre une objection pertinente et motivée, selon les modalités prévues à l'article 60 du même règlement. |
Ancienne loi
close
Pas de disposition correspondante |
Portugal close
|