RGPD : comment fonctionne le guichet unique ?
« Nous avions promis aux entreprises que les principes du RGPD (règlement européen sur la protection des données personnelles) seraient harmonisés dans l’Union européenne. Mais la marge d’appréciation laissée aux États membres par le règlement donnera lieu à des tensions inévitables ». Romain Robert, conseiller juridique au secrétariat du Comité européen des données (CEPD) tente tout de même de rassurer son auditoire, à l’occasion du colloque organisé mardi par l’Association des data protection officers (ADPO) : « Le CEPD aura peut-être des réponses là où le RGPD n’en avait pas ».
« S’assurer que les autorités de contrôle ne parlent que d’une seule voix », tel est l'objectif réaffirmé par le représentant du CEPD. Le réglement a ainsi créé un guichet unique pour les entreprises qui ont une activité de traitements transfrontaliers. Une seule autorité de régulation avec laquelle les entreprises seront en contact tout au long de la vie du traitement de données.
Qu’est-ce qu’un traitement transfrontalier ? Il est défini par l’article 1.1. des guidelines du G29 comme :
- « un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ;
- ou un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ».
Comment connaître votre autorité de contrôle chef de file ? Elle dépend du lieu de l’établissement principal ou de l’établissement unique dans l’Union du responsable du traitement. Par exemple, « si l’entreprise a des établissements en France, en Belgique et en Allemagne, le RGPD indique qu’il faut rechercher l’établissement principal », explique Romain Robert. « Si le siège social est à Paris, l’autorité chef de file sera la CNIL ».
A côté de l’autorité chef de file, gravitent des « autorités de contrôle concernées ». Il s’agit des autorités concernées par le traitement de données parce que :
- « le responsable du traitement ou le sous-traitant est établi dans l’État membre dont cette autorité de contrôle relève ;
- des personnes résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être ;
- une plainte a été introduite auprès de cette autorité de contrôle » (3.1.).
« Les autorités devront se mettre d’accord avant de prendre des mesures à l’égard d’un responsable de traitement », précise Romain Robert. En cas de désaccord avec le projet présenté par l’autorité chef de file, les autorités de contrôle concernées pourront émettre des « objections raisonnées » dans un délai de 4 semaines. L’autorité chef de file pourra alors « revoir sa copie » ou enverra une demande d’avis au CEPD. Le comité a la personnalité juridique : il peut adopter des décisions et des avis contraignants.
Les autorités de contrôle devront par ailleurs recueillir son avis avant de prendre certaines mesures. Notamment sur tout projet de code de conduite, les critères d’agrément d’un organisme de certification, l’autorisation de clauses contractuelles, l’approbation de règles d’entreprise contraignantes.
Dans le domaine de la résolution des litiges, le CEPD rendra une décision :
- lorsque l’autorité de contrôle chef de file n’a pas demandé ou suivi son avis,
- si plusieurs autorités se considèrent chef de file,
- s’il existe des objections motivées qui n’ont pas fait l’objet d’un accord entre les autorités.
La Cour de justice de l’Union européenne (CJUE) pourra enfin être saisie par un État membre qui s'oppose à la décision du CEPD. « Les DPO et les avocats ont encore beaucoup de travail devant les juridictions », assure Romain Robert.