Directive 95/46

La Directive 95/46 n’abordait que très brièvement la question de la coopération entre les différentes autorités de contrôle lorsqu’un traitement de données à caractère personnel relevait de la compétente de plusieurs autorités de contrôle nationales. Les modalités de ladite coopération n’étaient certainement pas abordées par la Directive, et encore moins la problématique de l’autorité compétente dans l’hypothèse d’une multinationale établie sur le territoire de plusieurs Etats membres de l Union européenne.

Mécanismes correctifs dans le RGPD

Afin de parer à cette absence de coordination, et afin que ses dispositions soient appliquées de manière cohérente partout dans l Union européenne, le RGPD a mis en place plusieurs mécanismes, et notamment le mécanisme de l’ « autorité chef de file » et du « guichet unique » (ou « one-stop-shop »).

Ce principe a des implications importantes pours les multinationales, qui disposent de plusieurs établissements au sein de l Union européenne. En effet, pour les entreprises établies dans plusieurs pays de l Union européenne, plusieurs autorités de contrôle nationales peuvent être impliquées. Laquelle est alors compétente ?

Autorité chef de file

Afin de facilité l’application des règles qu’il contient et le contrôle de celle-ci, le RGPD a tout d’abord mis en place un système d’ « autorité chef de file ».

Ainsi, dans l’hypothèse où le responsable de traitement ou le sous-traitant est établi dans plusieurs Etats membres, l’autorité de contrôle dont relève l’établissement principal sera considérée comme l’ « autorité chef de file » pour les traitements de données à caractère personnel dits transfrontaliers (par ex. un système déterminé qui est utilisé par toutes les entités du groupe dans tous les pays et dans le cadre duquel des données à caractère personnel sont traitées).

Cet établissement principal est, en principe, le lieu de l’administration centrale de l’entreprise dans l Union européenne (siège central), sauf si des décisions quant aux finalités et aux moyens du traitement des données à caractère personnel sont prises dans un autre établissement, auquel cas ce dernier sera considéré comme étant l’établissement principal.

Prenons l’exemple d’une banque ayant son siège social à Francfort et dont toutes les activités de traitement sont organisées depuis cet endroit, à l’exception de son département assurance, localisé à Vienne. Si ce dernier a le pouvoir de prendre des décisions concernant les traitements de données à caractère personnel liés à cette activité et dispose de la compétence d’implémenter celles-ci dans toute l Union européenne, ce sera l’autorité de contrôle autrichienne qui sera l’ « autorité chef de file » pour ces traitements à finalité d’assurance.

Lorsque le traitement est mis en œuvre par un groupe d’entreprises dont le siège se situe dans l Union européenne, le lieu de l’établissement ayant le contrôle global doit être considéré comme l’établissement principal du responsable du traitement, c’est-à-dire la maison mère ou le siège opérationnel du groupe, à moins que les finalités et moyens soient décidés par d’autres établissements.

Il est important de noter que les activités de traitement locales, pour lesquelles la société locale d’un groupe assume la responsabilité du traitement, ce qui est, par exemple, souvent le cas dans le cadre des RH, ne tombent pas sous la compétence de l’autorité chef de file. Pour ces traitements, l’autorité de contrôle locale restera toujours compétente.

Guichet unique

Par ailleurs, en vertu du principe du « guichet unique », les entreprises auront désormais le droit de traiter avec une seule autorité de contrôle, celle de l’État membre où se trouve leur établissement principal, c’est-à-dire l’ « autorité chef de file ».

Les entreprises bénéficieront ainsi d’un interlocuteur unique au sein de l Union européenne en matière de protection des données à caractère personnel, lorsqu’elles procèderont à des traitements transfrontaliers de données à caractère personnel.

Il convient toutefois de préciser que ces règles relatives à l' « autorité chef de file » et au mécanisme du « guichet unique » ne s'appliquent pas lorsque le traitement est effectué par des autorités publiques ou des organismes privés dans le cadre d’une mission d'intérêt public. En effet, dans cette hypothèse, la seule autorité de contrôle compétente est l'autorité de contrôle de l'État membre dans lequel l'autorité publique ou l'organisme privé est établi.

Par ailleurs, le Groupe de travail Article 29 précise également que les responsables de traitement qui n’ont pas d’établissement dans l Union européenne sont exclus du mécanisme du « guichet unique » et doivent traiter avec les autorités de contrôle nationales de chacun des Etats membres dans lesquels ils sont actifs, via leurs représentants locaux.

• Conclusion

Bien que les intentions du législateur européen en adoptant les mécanismes de l’ « autorité chef de file » et du « guichet unique » soient louables, et peuvent, dans une certaine mesure, et d’un point de vue général, faciliter les démarches administratives des entreprises dans leurs contacts avec les autorités de contrôle nationales, les implications de ces mécanismes seront assez limitées en matière de RH, étant donné que les activités de traitement dans ce cadre ne peuvent, la plupart du temps, pas être considérées comme transfrontalières.