Article Post on 04 May 2017

Les lignes directrices relatives à l’identification de l’autorité chef de file pour le responsable de traitement ou le sous-traitant adoptées

_ Le Groupe Article 29, qui rassemble les autorités nationales de protection des données personnelles en Europe, a adopté en date du 13 décembre 2016 des lignes directrices relatives à l’identification de l’autorité chef de file pour le responsable de traitement ou le sous-traitant.

Pour rappel, l’autorité chef de file est celle qui est en charge des traitements de données transfrontaliers d’un responsable de traitement (RT) ou d’un sous-traitant (ST). L’autorité chef de file sera le seul interlocuteur du responsable ou du sous-traitant.

Un traitement est transfrontalier selon le règlement général sur la protection des données (« RGPD ») pour :

  • les activités dans le cadre d’un établissement du RT ou ST dans plus d’un Etat Membre ; ou
  • les activités dans le cadre d’un établissement unique du RT ou ST qui affecte sensiblement ou est susceptible d’affecter sensiblement les personnes concernées dans plus d’un Etat Membre.

Les notions de « affecter sensiblement » ou « susceptible d’affecter sensiblement » sont censées exclure des traitements transfrontaliers ceux ayant peu ou aucun effet sur les individus d’un autre Etat Membre selon les lignes directrices.

Conformément au RGPD, l’autorité chef de file est celle de l’établissement principal du RT ou ST, signifiant celle de :

  • l’administration centrale du RT ou ST ; ou
  • un autre établissement prenant les décisions sur les moyens et les finalités du traitement et ayant la possibilité de les exécuter effectivement, ou pour les ST, l’établissement dans lequel les activités de traitement principales ont lieu.

Dans le cas d’établissements multiples dans l’Union européenne, le Groupe Article 29 recommande de prendre en considération les critères suivants :

  • Où les décisions sur les moyens et finalités du traitement sont-elles validées en dernier lieu ?
  • Où sont prises les décisions concernant les activités impliquant un traitement de données ?
  • Qui a le pouvoir d’exécuter effectivement les décisions prises ?
  • Où est situé le dirigeant (ou les dirigeants) en charge de l’ensemble du traitement de données transfrontalier ?
  • Où sont enregistrés les RT et ST en tant que société, s’ils le sont dans un seul territoire ?

Le RT identifie normalement lui-même où est localisé son établissement principal. Cependant, une telle désignation peut être contestée par les autorités nationales. Le RGPD ne permet pas le forum shopping.

Lorsqu’une entreprise n’a pas d’établissement principal dans l’Union européenne, les autorités nationales décident entre elles laquelle sera désignée comme autorité chef de file.

Enfin, les lignes directrices clarifient la notion d’autorité nationale, c’est-à-dire d’autorité compétente pour instruire une affaire qui a été refusée par l’autorité compétente.


 

Pour de plus amples renseignements sur ce sujet, nous vous remercions de contacter Emmanuelle Ragot, Partner et Head of IP/TMT.

Share this content