Le 4 mai 2023, le Conseil d’État a rendu une décision (n° 464445) qui précise sa jurisprudence concernant le contrôle du respect du Règlement Général sur la Protection des Données (RGPD) lors d’un traitement transfrontalier de données personnelles au sein de l’Union européenne. Cette décision, qui fait suite à celle du 19 juin 2020 (Société Google LLC, n° 430810), offre des éclaircissements importants sur le rôle des autorités de contrôle au sein de l’UE.
L’autorité de contrôle principale
D’après la décision du Conseil d’État, l’autorité de contrôle compétente, par principe, est celle de l’établissement principal du responsable du traitement des données au sein de l’Union. Cette précision offre une direction claire pour les Délégués à la Protection des Données (DPO) cherchant à déterminer quelle autorité de contrôle doit être considérée en cas de traitement transfrontalier de données.
Exceptions à la règle
Cependant, comme tout principe, celui-ci comporte des exceptions. Notamment, une autorité de contrôle d’un autre État membre peut être compétente si la réclamation concerne uniquement un établissement de cet État ou si elle affecte sensiblement des personnes concernées uniquement dans cet État (conformément au paragraphe 2 de l’article 56 du RGPD). Cette exception est essentielle pour les DPO à comprendre, car elle peut affecter la façon dont les plaintes sont traitées et quelles autorités de contrôle sont impliquées.
Détermination de l’établissement principal
La décision du Conseil d’État précise également que pour déterminer l’établissement principal, le siège réel du responsable du traitement doit être regardé en principe. Cependant, cette considération peut être dépassée si un autre établissement est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.
Conclusion
Cette décision apporte des précisions attendues en matière de contrôle du RGPD lors de traitement transfrontalier de données. En tant que DPO, notre rôle est de comprendre et d’appliquer ces règles, en veillant à ce que les traitements de données respectent les principes du RGPD, peu importe la complexité des situations transfrontalières. La clarification offerte par le Conseil d’État nous aide à naviguer dans ces situations avec une plus grande assurance et à garantir la conformité au RGPD.