L’option du guichet unique a été l’un des points les plus discutés lors de la négociation du nouveau règlement sur la protection des données (GDPR). Il a pour objet de réduire la charge administrative des entreprises lorsqu’elles effectuent des activités de traitement de données dans plus d’un État membre.
En effet, dès lors qu’elles mettent en œuvre un «traitement transfrontalier de données», les entreprises ne traiteront qu’avec une seule autorité de protection des données appelée Autorité de contrôle chef de file, et non plus avec chacune des Autorités des États membres dans lesquels le traitement des données est mis en oeuvre.
Dans quels cas les dispositions relatives au guichet unique s’appliquent-elles?

Les dispositions relatives au guichet unique concernent à la fois les responsables et les sous-traitants et s’appliquent uniquement aux traitements transfrontaliers de données personnelles.

Selon le GDPR, un traitement transfrontalier de données est soit:

  • un traitement de données à caractère personnel mise en oeuvre dans le cadre des activités de plusieurs établissements d’un responsable de traitement ou d’un sous-traitant situés dans plus d’un État membre de l’Union; OU
  •  un traitement de données à caractère personnel mis en oeuvre dans le cadre des activités d’un établissement unique d’un responsable de traitement ou d’un sous-traitant situé dans l’Union, mais qui affecte substantiellement ou est susceptible d’affecter sensiblement les personnes concernées dans plus d’un État membre.

Dès lors les dispositions relatives au guichet unique trouvent  à s’appliquer dans les cas suivants :

  • Si une entreprise est établie dans plusieurs États membres et qu’un ou plusieurs traitements de données sont utiles à l’activité de ses établissement situés dans différents Etat membres
  • Si une entreprise ne dispose que d’un seul établissement au sein de l’Union mais que des traitements de données ciblent des individus d’autres États membres

En revanche, elles ne s’appliquent pas lorsqu’une entreprise n’a aucun établissement dans l’Union européenne.

(Autres exceptions: les autorités publiques sont exclues du champ d’application des dispositions relatives au guichet unique)

Que se passe-t-il si les dispositions du guichet unique s’appliquent à l’activité d’une entreprise ?

Si les dispositions relatives au guichet unique s’appliquent à un traitement de données, l’autorité de contrôle chef de file sera le seul interlocuteur pour toute question, plainte ou autre question relative au traitement assujetti à ces dispositions.

Toutefois, d’autres autorités de contrôle sont compétentes pour les plaintes ou la violation du règlement, si elles concernent uniquement un établissement situé dans son État membre ou ne concernent que des particuliers dans son État membre.

(Remarques: les traitements de données qui ne sont pas transfrontaliers ne seront donc pas concernés et une même entreprise peut avoir à faire à plusieurs autorités en fonction des traitements concernés)

Comment déterminer quelle autorité est l’autorité de contrôle chef de file?

L’autorité de contrôle chef de file doit être l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable de traitement ou du sous-traitant.

Dans les cas où le responsable de traitement et le sous-traitant sont impliqués et qu’ils ont des autorités chef de file d’Etats membres différents, l’autorité chef de file est celle du responsable de traitement, l’autorité chef de file du sous-traitant ne devant être impliquée dans la procédure de coopération qu’en tant qu’autorité de contrôle concernée.

Partage

Guichet Unique : comment ça fonctionne ?
Étiqueté avec :        

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *