📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 56 du RGPD : Compétence de l’autorité de contrôle chef de file

Sommaire

Introduction

L’article 56 du RGPD introduit le mécanisme du guichet unique, une innovation majeure du règlement. Ce système vise à simplifier la gestion des traitements transfrontaliers en désignant une autorité de contrôle chef de file, compétente pour superviser l’ensemble des opérations dans l’Union européenne. 

Explication de l’article 

Concrètement, lorsqu’une entreprise traite des données dans plusieurs États membres de l’UE, l’autorité du pays où se trouve son établissement principal devient le point de contact unique pour le contrôle et la coordination des décisions. Cela évite les doublons et garantit une application homogène du RGPD à l’échelle européenne. Cependant, les autres autorités de contrôle concernées restent associées à la procédure, notamment lorsqu’un traitement touche spécifiquement leurs ressortissants.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60.

2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3. Dans les cas visés au paragraphe 2 du présent article, l’autorité de contrôle informe sans tarder l’autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.

4. Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3.

5. Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62.

6. L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. 

Article 28

(…)

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 27

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque la commission agit en tant qu’autorité de contrôle chef de file au sens de l’article 56 du règlement (UE) 2016/679 du 27 avril 2016 s’agissant d’un traitement transfrontalier au sein de l’Union européenne, elle communique sans tarder aux autres autorités de contrôle concernées le rapport du rapporteur mentionné au premier alinéa de l’article 22 ainsi que l’ensemble des informations utiles de la procédure ayant permis d’établir le rapport, avant l’éventuelle audition du responsable de traitement ou de son sous-traitant. Les autorités concernées sont mises en mesure d’assister, par tout moyen de retransmission approprié, à l’audition par la formation restreinte du responsable de traitement ou de son sous-traitant, ou de prendre connaissance d’un procès-verbal dressé à la suite de l’audition.

Après en avoir délibéré, la formation restreinte soumet son projet de décision aux autres autorités de contrôle concernées conformément à la procédure définie à l’article 60 du règlement (UE) 2016/679 du 27 avril 2016. A ce titre, elle se prononce sur la prise en compte des objections pertinentes et motivées émises par ces autorités et saisit, si elle décide d’écarter l’une des objections, le comité européen de la protection des données conformément à l’article 65 du même règlement.

Les conditions d’application du présent article sont définies par décret en Conseil d’Etat, après avis de la Commission nationale de l’informatique et des libertés.

Article 28

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Lorsque la commission agit en tant qu’autorité de contrôle concernée, au sens de l’article 4 du règlement (UE) 2016/679 du 27 avril 2016, le président de la commission est saisi des projets de mesures correctrices soumis à la commission par une autorité de contrôle chef de file.

Lorsque ces mesures sont d’objet équivalent à celles définies aux I et II de l’article 20 de la présente loi, le président décide, le cas échéant, d’émettre une objection pertinente et motivée, selon les modalités prévues à l’article 60 du même règlement.

Lorsque ces mesures sont d’objet équivalent à celles définies au III de l’article 20 de la présente loi, le président saisit la formation restreinte. Le président de la formation restreinte ou le membre de la formation restreinte qu’il désigne peut, le cas échéant, émettre une objection pertinente et motivée selon les mêmes modalités.

Analyse des 3 textes qui précèdent 

L’article 56 du RGPD introduit une véritable innovation structurelle : le mécanisme du guichet unique (one-stop-shop), qui rationalise la compétence des autorités de protection des données en cas de traitement transfrontalier.​
Désormais, l’autorité de contrôle chef de file – celle de l’État où se situe l’établissement principal du responsable du traitement ou du sous-traitant – devient le point de contact uniquepour l’ensemble de l’Union européenne.
Ce principe met fin à la dispersion de compétences qui existait sous la directive 95/46/CE, où chaque autorité nationale pouvait agir indépendamment au sein de son territoire.

Le RGPD encadre ce mécanisme par un processus de coopération prévu aux articles 60 à 62, garantissant la participation des autorités concernées et la cohérence des décisions. Cette structure vise une application uniforme du droit tout en favorisant la sécurité juridique des entreprises multinationales.

Sous la directive 95/46/CE, l’article 28, paragraphe 6, prévoyait que chaque autorité nationale demeurait compétente sur son territoire, indépendamment du lieu de l’établissement du responsable de traitement.​
Cette absence de répartition hiérarchisée des compétences entraînait des difficultés pratiques :

  • chevauchement des contrôles en cas d’activités transfrontalières ;
  • absence d’un interlocuteur unique pour le responsable de traitement ;
  • risque de décisions divergentes entre autorités.

Le RGPD, via son article 56, a donc corrigé cette faiblesse en instaurant une compétence « chef de file », créant une coordination obligatoire entre autorités. Il en résulte un renforcement de la cohérence au sein du marché unique numérique, dans la continuité de la transformation de la directive en règlement directement applicable.

Les articles 27 et 28 de la loi Informatique et Libertés transposent et complètent ce mécanisme au niveau national.

  • L’article 27 encadre la procédure de coopération lorsque la CNIL agit en tant qu’autorité chef de file : elle communique aux autres autorités concernées le rapport du rapporteur et leur permet d’assister aux auditions, conformément à l’article 60 du RGPD.
  • L’article 28 précise la procédure inverse : lorsque la CNIL agit en tant qu’autorité concernée, le président peut formuler une objection pertinente et motivée contre la décision proposée par l’autorité chef de file, toujours selon la procédure européenne de coopération.

Ainsi, la loi française s’intègre harmonieusement dans le cadre juridique du RGPD en institutionnalisant la collaboration européenne des autorités de contrôle, tout en préservant l’autonomie procédurale nationale.

Jurisprudences 

Européennes 

C-230/14 (1 octobre 2015) – Weltimmo

Cette décision  illustre la notion d’« établissement » en lien avec le RGPD, qui est centrale pour déterminer l’autorité de contrôle chef de file au titre de l’article 56. La CJUE a confirmé qu’une société est considérée comme établie dans un État membre dès lors qu’elle exerce une activité réelle et effective, même minime, via une installation stable, ici un site web immobilier en Hongrie géré par une société slovaque. La compétence de l’autorité hongroise a été retenue car le traitement de données affectait des personnes en Hongrie, et la société disposait d’un représentant et de moyens physiques et humains sur place. Cela montre l’importance de l’établissement physique et juridique pour appliquer le mécanisme du guichet unique prévu à l’article 56 RGPD. 

C-645/19 (15 Juin 2021) – Facebook Ireland e.a.

Cette décision précise les pouvoirs de l’autorité de contrôle dans un contexte transfrontalier, en lien avec l’article 56. La CJUE a confirmé que même lorsqu’une autorité de contrôle n’est pas l’autorité chef de file désignée (ex. en Irlande), elle peut agir en justice dans des cas où elle est compétente, notamment en matière de protection des droits des personnes physiques selon le RGPD, tout en respectant les procédures de coopération prévues (article 60). L’affaire a porté sur la collecte de données en Belgique par Facebook Ireland, responsable du traitement, et a examiné la validité du mécanisme du guichet unique et des exceptions. La Cour a ainsi reconnu un pouvoir d’action judiciaire plus large à plusieurs autorités, mais en respectant la coordination et cohérence imposées par l’article 56 et suivants.

Françaises 

CE Fr., n°430810 (19 juin 2020)

Cette décision constitue la première application marquante en France du mécanisme du guichet unique prévu à l’article 56 RGPD. Google soutenait que seule l’autorité irlandaise était compétente, son siège européen étant à Dublin. Le Conseil d’État a jugé que la CNIL demeurait compétente, car la filiale irlandaise n’exerçait aucun pouvoir décisionnel réel sur le traitement des données liées aux opérations Android. L’établissement principal, au sens de l’article 4(16) RGPD, se trouvait donc hors de l’Union, ce qui excluait l’application du guichet unique. Dès lors, la CNIL pouvait sanctionner seule la société pour manquement aux principes de transparence et de consentement. 

CE Fr., n°449209 (28 janvier 2022)

Cette décision précise la frontière entre le RGPD et la directive 2002/58/CE (ePrivacy). Le Conseil d’État a jugé que le mécanisme de guichet unique (article 56 RGPD) ne s’applique pas aux traitements couverts par la directive ePrivacy, notamment ceux relatifs aux cookies. En vertu de l’article 15 bis de cette directive, les autorités nationales (ici, la CNIL) conservent une compétence propre, même lorsque le traitement est transfrontalier. Cela signifie que la CNIL peut contrôler et sanctionner les pratiques de cookies d’un acteur établi à l’étranger, indépendamment de l’autorité chef de file prévue par le RGPD.

CE Fr., n°464445 (4 mai 2023)

Le Conseil d’État a affiné la portée de la compétence de l’autorité chef de file en cas de réclamation locale relative à un traitement transfrontalier. Il a rappelé que, par principe, l’autorité compétente est celle de l’établissement principal (article 56, §1), ici la CNIL pour le groupe Euronext, dont les décisions de traitement étaient prises en France. Toutefois, le Conseil d’État a constaté que la plainte ne concernait que la salariée d’une entité irlandaise et n’affectait pas d’autres personnes dans l’Union. En application du paragraphe 2 de l’article 56, il a jugé que l’autorité irlandaise restait seule compétente pour examiner cette plainte.​

Ce jugement illustre la dérogation locale à la compétence du chef de file : lorsqu’un cas ne concerne qu’un seul État membre ou ses résidents, l’autorité nationale peut agir sans passer par le mécanisme de coopération du guichet unique.

Recommandations 

CNIL

Le guichet unique 

CEPD 

Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant – 8/2022 (28 mars 2023) 

 

Ne restez pas seul face à vos obligations RGPD. Trouvez un DPO externe de confiance avec Mon Expert RGPD.

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.