- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Article

RGPD : précisions sur la notion d’établissement principal dans le cadre du mécanisme du guichet unique
RGPD : précisions sur la notion d’établissement principal dans le cadre du mécanisme du guichet unique
À propos de l’avis n° 04/2024 du Comité européen de la protection des données.
par Fabienne Jault-Seseke, Professeur à l’Université de Paris-Saclay (UVSQ), Dante, IUFle 29 février 2024
La gouvernance mise en place par le règlement (UE) 2016/679 (RGPD) du 27 avril 2016 est, on le sait, originale. Le mécanisme du guichet unique, qui y est consacré, désigne comme autorité nationale compétente l’autorité de protection des données de l’État membre dans lequel le responsable de traitement a son principal établissement. Cette autorité, qualifiée d’autorité « chef de file », prend les décisions requises en coopération avec les autres autorités de protection des données concernées par un traitement transfrontalier. Le mécanisme permet aux responsables de traitement établis dans l’Union européenne d’avoir un interlocuteur unique dont les décisions s’appliquent sur l’ensemble du territoire européen. Pour autant, il ne devrait pas entraver les droits des personnes concernées par les traitements. En effet, elles peuvent toujours s’adresser à l’autorité de protection des données de leur résidence, à charge pour celle-ci d’en référer à l’autorité chef de file.
Le mécanisme du guichet unique permet d’éviter la fragmentation des solutions.
Celle-ci demeure, pour l’instant, lorsque sont en cause les opérations liées à l’utilisation des cookies qui relèvent non pas du RGPD mais de la directive e-commerce. La CNIL s’en est une nouvelle fois fait l’écho dans une récente décision Yahoo (Délib. de la formation restreinte n° SAN-2023-024 du 29 déc. 2023 concernant la société YAHOO EMEA LIMITED).
L’effectivité du mécanisme du guichet unique suppose que les différentes autorités de contrôle puissent identifier l’autorité chef de file de façon cohérente. Le critère de compétence, l’établissement principal, joue alors un rôle cardinal. La Cour de justice de l’Union européenne a eu l’occasion de se pencher sur le fonctionnement du mécanisme du guichet unique dans une des innombrables affaires Facebook (CJUE, gr. ch., 15 juin 2021, Facebook Ireland, aff. C-645/19, Dalloz actualité, 30 juin 2021, obs. B. Bertrand ; D. 2021. 1189 ; ibid. 2022. 915, obs. S. Clavel et F. Jault-Seseke
; RTD eur. 2022. 394, obs. F. Benoît-Rohmer
). Si elle a mis l’accent sur la nécessité de coopération loyale entre autorités, elle n’a pas eu à se prononcer sur le critère qui permet de désigner l’autorité chef de file.
La question a néanmoins fait l’objet de lignes directrices. Certaines traitent spécifiquement de la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant. Initialement adoptées par le groupe de travail « Article 29 » en 2016, elles ont été révisées en 2018 par le Comité européen de protection des données (CEPD) puis mises à...
Sur le même thème
-
Droit européen de l’insolvabilité : exécution au profit du débiteur
-
Efficacité d’une clause attributive de juridiction soumise au règlement Bruxelles I bis : l’indifférence d’un éventuel déséquilibre significatif
-
Petite pause printanière
-
La rectification de l’identité de genre ne peut être conditionnée à un traitement chirurgical
-
La qualification délictuelle de l’action en rupture brutale de nouveau défendue devant la Cour de justice
-
Interrogatoire d’un accusé dans le box vitré : pas de violation du droit à la présomption d’innocence. Et après ?
-
Exposition à des substances toxiques : la Cour européenne rappelle les exigences garanties par le droit à la vie
-
Diffusion d’une circulaire relative à la prise en charge des personnes de nationalité étrangère définitivement condamnées
-
Conventionnalité du transfert à une autorité de régulation de données accidentellement interceptées lors d’une enquête pénale
-
Les implications multiples des mesures d’adaptation au droit européen
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Alexandra Guérin-François, Jean Lessi, Jessica Eynard, Elodie Rançon