RGPD : précisions sur la notion d’établissement principal dans le cadre du mécanisme du guichet unique

La gouvernance mise en place par le règlement (UE) 2016/679 (RGPD) du 27 avril 2016 est, on le sait, originale. Le mécanisme du guichet unique, qui y est consacré, désigne comme autorité nationale compétente l’autorité de protection des données de l’État membre dans lequel le responsable de traitement a son principal établissement. Cette autorité, qualifiée d’autorité « chef de file », prend les décisions requises en coopération avec les autres autorités de protection des données concernées par un traitement transfrontalier. Le mécanisme permet aux responsables de traitement établis dans l’Union européenne d’avoir un interlocuteur unique dont les décisions s’appliquent sur l’ensemble du territoire européen. Pour autant, il ne devrait pas entraver les droits des personnes concernées par les traitements. En effet, elles peuvent toujours s’adresser à l’autorité de protection des données de leur résidence, à charge pour celle-ci d’en référer à l’autorité chef de file.

Le mécanisme du guichet unique permet d’éviter la fragmentation des solutions.

Celle-ci demeure, pour l’instant, lorsque sont en cause les opérations liées à l’utilisation des cookies qui relèvent non pas du RGPD mais de la directive e-commerce. La CNIL s’en est une nouvelle fois fait l’écho dans une récente décision Yahoo (Délib. de la formation restreinte n° SAN-2023-024 du 29 déc. 2023 concernant la société YAHOO EMEA LIMITED).

L’effectivité du mécanisme du guichet unique suppose que les différentes autorités de contrôle puissent identifier l’autorité chef de file de façon cohérente. Le critère de compétence, l’établissement principal, joue alors un rôle cardinal. La Cour de justice de l’Union européenne a eu l’occasion de se pencher sur le fonctionnement du mécanisme du guichet unique dans une des innombrables affaires Facebook (CJUE, gr. ch., 15 juin 2021, Facebook Ireland, aff. C-645/19, Dalloz actualité, 30 juin 2021, obs. B. Bertrand ; D. 2021. 1189 ; ibid. 2022. 915, obs. S. Clavel et F. Jault-Seseke ; RTD eur. 2022. 394, obs. F. Benoît-Rohmer ). Si elle a mis l’accent sur la nécessité de coopération loyale entre autorités, elle n’a pas eu à se prononcer sur le critère qui permet de désigner l’autorité chef de file.

La question a néanmoins fait l’objet de lignes directrices. Certaines traitent spécifiquement de la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant. Initialement adoptées par le groupe de travail « Article 29 » en 2016, elles ont été révisées en 2018 par le Comité européen de protection des données (CEPD) puis mises à...