Clarification du Conseil d’État sur le contrôle du RGPD en matière de traitement transfrontalier de données

Clarification du Conseil d’État sur le contrôle du RGPD en matière de traitement transfrontalier de données

Le

Le 4 mai 2023, le Conseil d’État a rendu une décision (n° 464445) qui précise sa jurisprudence concernant le contrôle du respect du Règlement Général sur la Protection des Données (RGPD) lors d’un traitement transfrontalier de données personnelles au sein de l’Union européenne. Cette décision, qui fait suite à celle du 19 juin 2020 (Société Google LLC, n° 430810), offre des éclaircissements importants sur le rôle des autorités de contrôle au sein de l’UE.

L’autorité de contrôle principale

D’après la décision du Conseil d’État, l’autorité de contrôle compétente, par principe, est celle de l’établissement principal du responsable du traitement des données au sein de l’Union. Cette précision offre une direction claire pour les Délégués à la Protection des Données (DPO) cherchant à déterminer quelle autorité de contrôle doit être considérée en cas de traitement transfrontalier de données.

Exceptions à la règle

Cependant, comme tout principe, celui-ci comporte des exceptions. Notamment, une autorité de contrôle d’un autre État membre peut être compétente si la réclamation concerne uniquement un établissement de cet État ou si elle affecte sensiblement des personnes concernées uniquement dans cet État (conformément au paragraphe 2 de l’article 56 du RGPD). Cette exception est essentielle pour les DPO à comprendre, car elle peut affecter la façon dont les plaintes sont traitées et quelles autorités de contrôle sont impliquées.

Détermination de l’établissement principal

Logiciel RGPD

La décision du Conseil d’État précise également que pour déterminer l’établissement principal, le siège réel du responsable du traitement doit être regardé en principe. Cependant, cette considération peut être dépassée si un autre établissement est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Conclusion

Cette décision apporte des précisions attendues en matière de contrôle du RGPD lors de traitement transfrontalier de données. En tant que DPO, notre rôle est de comprendre et d’appliquer ces règles, en veillant à ce que les traitements de données respectent les principes du RGPD, peu importe la complexité des situations transfrontalières. La clarification offerte par le Conseil d’État nous aide à naviguer dans ces situations avec une plus grande assurance et à garantir la conformité au RGPD.

DPO Partagé
DPO Partagé
DPO EXTERNALISE - Disponible du Lundi au Samedi - Contactez nous au 01 83 64 42 98 ou par mail à contact@dpo-partage.fr DPO PARTAGE est le leader des DPO en données de santé et données sensibles. Urgence Violation Données +33 7 56 94 70 90

Intéressant ? Partagez-le !

Newsletter

Audit gratuit Conformité RGPD

spot_imgspot_img

A ne pas manquer !

Encore plus d'actualités
Informations RGPD

Prenez garde à ce piratage Gmail qui peut même contourner la double authentification

Aucun système informatique n'est inviolable, même ceux réputés parmi...

Les outils logiciels au cœur de la conformité RGPD : un atout indispensable pour les DPO

Logiciels conformité RGPD : La mise en conformité avec...

Sanction record pour hubside.store en matière de prospection commerciale

Le 4 avril 2024, la Commission Nationale de l'Informatique...