Conseil d'État
N° 464445
Mentionné aux tables du recueil Lebon
Lecture du jeudi 4 mai 2023
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Contrôle du respect des exigences du RGPD en cas de traitement transfrontalier de données personnelles au sein de l'UE - 1) Autorité de contrôle compétente - a) Principe - Autorité de l'établissement principal dans l'Union du responsable du traitement - b) Exception - Autorité d'un autre Etat, lorsque la réclamation concerne uniquement un établissement de cet Etat ou affecte sensiblement des personnes concernées dans cet Etat uniquement (2 de l'art. 56 du RGPD) - 2) Modalités de détermination de l'établissement principal - a) Principe - Lieu du siège réel - b) Exception - Etablissement doté d'un pouvoir décisionnel quant aux finalités et moyens du traitement (1).
1) a) Il résulte clairement des 7, 16 et 23 de l'article 4 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) et de ses articles 51, 55 et 56 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne (UE), l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en tant qu'autorité chef de file, pour contrôler le respect des exigences du RGPD, b) sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l'Etat membre dont relève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet Etat membre uniquement. 2) a) Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.
(1) Cf., en précisant le cas prévu au paragraphe 2 de l'article 56 du RGPD, CE, 19 juin 2020, Société Google LLC, n° 430810, p. 229.
N° 464445
Mentionné aux tables du recueil Lebon
Lecture du jeudi 4 mai 2023
26-07-10 : Droits civils et individuels- Protection des données à caractère personnel- Commission nationale de l'informatique et des libertés-
Contrôle du respect des exigences du RGPD en cas de traitement transfrontalier de données personnelles au sein de l'UE - 1) Autorité de contrôle compétente - a) Principe - Autorité de l'établissement principal dans l'Union du responsable du traitement - b) Exception - Autorité d'un autre Etat, lorsque la réclamation concerne uniquement un établissement de cet Etat ou affecte sensiblement des personnes concernées dans cet Etat uniquement (2 de l'art. 56 du RGPD) - 2) Modalités de détermination de l'établissement principal - a) Principe - Lieu du siège réel - b) Exception - Etablissement doté d'un pouvoir décisionnel quant aux finalités et moyens du traitement (1).
1) a) Il résulte clairement des 7, 16 et 23 de l'article 4 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) et de ses articles 51, 55 et 56 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne (UE), l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en tant qu'autorité chef de file, pour contrôler le respect des exigences du RGPD, b) sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l'Etat membre dont relève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet Etat membre uniquement. 2) a) Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.
(1) Cf., en précisant le cas prévu au paragraphe 2 de l'article 56 du RGPD, CE, 19 juin 2020, Société Google LLC, n° 430810, p. 229.