Guichet Unique : comment ça fonctionne ?

L’option du guichet unique a été l’un des points les plus discutés lors de la négociation du nouveau règlement sur la protection des données (RGPD). Il a pour objet de réduire la charge administrative des organisations lorsqu’elles effectuent des activités de traitement de données dans plus d’un État membre.

En effet, dès lors qu’une organisation met en œuvre un «traitement transfrontalier de données», le mécanisme du guichet unique s’applique et cette dernière ne traite qu’avec une seule autorité de protection des données appelée Autorité de contrôle chef-de-file, au lieu de devoir contacter chacune des Autorités des États membres dans lesquels le traitement des données est mis en oeuvre.

Dans quels cas les dispositions relatives au guichet unique s’appliquent-elles?
Le principe

Les dispositions relatives au guichet unique concernent à la fois les responsables et les sous-traitants et s’appliquent uniquement aux traitements transfrontaliers de données personnelles.

Selon le RGPD, un traitement transfrontalier de données est soit:

  • un traitement de données à caractère personnel mise en oeuvre dans le cadre des activités de plusieurs établissements d’un responsable de traitement ou d’un sous-traitant situés dans plus d’un État membre de l’Union; OU
  •  un traitement de données à caractère personnel mis en oeuvre dans le cadre des activités d’un établissement unique d’un responsable de traitement ou d’un sous-traitant situé dans l’Union, mais qui affecte substantiellement ou est susceptible d’affecter sensiblement les personnes concernées dans plus d’un État membre.

Dès lors, les dispositions relatives au guichet unique trouvent  à s’appliquer dans les cas suivants :

  • Si une entreprise est établie dans plusieurs États membres et qu’un ou plusieurs traitements de données sont utiles à l’activité de ses établissement situés dans différents Etat membres
  • Si une entreprise ne dispose que d’un seul établissement au sein de l’Union mais que des traitements de données ciblent des individus d’autres États membres
Les exceptions

Les dispositions relatives au guichet unique ne s’appliquent pas lorsque :

  • une organisation n’a aucun établissement dans l’Union européenne.
  • les autorités publiques
  • l’infraction relève du périmètre de la directive européenne 2002/58/CE dont notamment le consentement à l’utilisation des cookies. Sur cette base, la CNIL a condamné Google et Amazon 
  •  

La CJUE a également rappeler qu’une autorité de contrôle pouvait agir directement lorsqu’elle est normalement compétente, que les mécanismes de coopérations ont été mis en oeuvre mais qu’une exception prévue au RGPD s’applique telles que la non coopération de l’autorité chef-de-file ou en cas d’urgence.

  •  
Que se passe-t-il si les dispositions du guichet unique s’appliquent à l’activité d’une entreprise ?

Si les dispositions relatives au guichet unique s’appliquent à un traitement de données, l’autorité de contrôle chef de file sera le seul interlocuteur pour toute question, plainte ou autre question relative au traitement assujetti à ces dispositions.

Toutefois, d’autres autorités de contrôle sont compétentes pour les plaintes ou la violation du règlement, si elles concernent uniquement un établissement situé dans son État membre ou ne concernent que des particuliers dans son État membre.

(Remarques: les traitements de données qui ne sont pas transfrontaliers ne seront donc pas concernés et une même entreprise peut avoir à faire à plusieurs autorités en fonction des traitements concernés)

Comment déterminer quelle autorité est l’autorité de contrôle chef de file?

L’autorité de contrôle chef de file doit être l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable de traitement ou du sous-traitant.

Dans les cas où le responsable de traitement et le sous-traitant sont impliqués et qu’ils ont des autorités chef de file d’Etats membres différents, l’autorité chef de file est celle du responsable de traitement, l’autorité chef de file du sous-traitant ne devant être impliquée dans la procédure de coopération qu’en tant qu’autorité de contrôle concernée.

Pour toute question n’hésitez pas à contacter Arnaud Blanc, Avocat

Guichet Unique : comment ça fonctionne ?

Ce article est également disponible en en_GB.

Étiqueté avec :