Clarifications relatives à l'établissement principal et au guichet unique

La CNIL a saisi le Comité européen à la protection des données (CEPD) d’une demande d’avis sur la notion de l’établissement principal du responsable de traitement définie à l’article 4, §16 a) du RGPD, et sur le critère d’application du guichet unique. De cette demande découlent deux questions spécifiques :

• Le lieu considéré comme le lieu d’établissement principal du responsable de traitement doit-il avoir le pouvoir de prendre et appliquer les décisions concernant les finalités et les moyens du traitement des données personnelles pour être reconnu comme l'établissement principal ?
• Le mécanisme de guichet unique s'applique-t-il uniquement si l'on peut démontrer qu'un établissement du responsable de traitement dans l'UE prend les décisions sur les finalités et les moyens des traitements concernés et possède-t-il l'autorité pour mettre en œuvre ces décisions ?

Le CEPD répond d’abord que le lieu de l’administration centrale du responsable de traitement dans l’UE est considéré comme l’établissement principal selon l’article 4, §16 a) du RGPD si :

• l’établissement prend les décisions quant aux finalités et moyens du traitement de données personnelles ;
• l’établissement a le pouvoir de faire appliquer ces décisions.

Ces conditions strictes s’expliquent par le fait que le RGPD ne permet pas de « forum shopping », quant à la détermination de l’établissement principal.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

Le guichet unique, inauguré par le RGPD, a vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions facilitant ainsi les démarches des entreprises concernées, sans pour autant impacter les personnes concernées par ces traitements.

Par exemple, lors de ses investigations menées au sein de la société UBER qui a son établissement principal aux Pays-Bas, la CNIL a étroitement coopéré avec l’autorité néerlandaise de protection des données sur ce dossier, dans le cadre des contrôles et de l’analyse des preuves obtenues, puis lors de l’examen du projet de décision dans le cadre de la procédure du guichet unique.

Dans cette opinion, le CEPD ajoute que le mécanisme du guichet unique peut s’appliquer seulement s’il y a des preuves démontrant que l’un des établissements du responsable de traitement dans l’UE prend et a le pouvoir d’appliquer des décisions quant aux finalités et moyens du traitement de données personnelles en cause.

Par conséquent, lorsque ces décisions sont prises hors de l’UE, l’établissement en question n’est pas qualifié d’établissement principal concerné par l’article 4, §16 a) du RGPD et le mécanisme de guichet unique ne s’applique pas.

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

Le CEPD explique que les responsables de traitement doivent prouver que leur établissement dans l’UE prend les décisions concernant les finalités et les moyens du traitement des données personnelles et les applique. Cette preuve est nécessaire pour confirmer que l'établissement peut être considéré comme l'établissement principal selon le RGPD. Cette responsabilité s'ajoute à d'autres obligations réglementaires déjà imposées aux responsables de traitement. Le CEPD ne précise cependant pas les exigences pour les sous-traitants en ce qui concerne cette preuve.

Cela étant, le CEPD précise que les autorités de contrôle ont le droit de remettre en question les affirmations des responsables de traitement après avoir objectivement examiné les faits. Elles peuvent ainsi demander des informations supplémentaires et mener des évaluations visant à déterminer où les décisions clés sur le traitement des données sont prises et mises en œuvre.

Cet avis servira pour toute question relative à des traitements transfrontaliers pour lesquels le lieu d’établissement principal est en question, impliquant par la même des questions sur le guichet unique, question essentielle pour un contrôle efficace lors d’opérations de traitements portant sur plusieurs États membres.