Le RGPD régit le traitement transfrontalier des données à caractère personnel

Lorsqu'on procède à un traitement transfrontalier de données à caractère personnel, le RGPD désigne l'autorité de contrôle chef de file. Cette autorité assume la principale responsabilité de ce type de traitement.

Il est question de traitement transfrontalier de données à caractère personnel lorsque :

le traitement a lieu dans le cadre des activités d?établissements dans plusieurs États membres d?un responsable du traitement ou d?un sous-traitant qui est établi dans plusieurs États membres;

le traitement a lieu dans le cadre des activités d?un responsable du traitement ou d?un sous-traitant d?un seul État, mais affecte sensiblement ou est susceptible d?affecter sensiblement des personnes concernées dans plusieurs États membres.

La désignation de l'autorité de contrôle chef de file dépend du lieu de l'établissement principal (ou de l'établissement unique) dans l'UE du responsable du traitement ou du sous-traitant. Il s'agit en principe de l'établissement dans lequel se trouve l'administration centrale (art. 4, 16° RGPD).

Lorsque le responsable du traitement et le sous-traitant sont tous deux concernés, l'autorité de contrôle chef de file est celle du responsable du traitement. Si le sous-traitant dispose d'une autre autorité de contrôle chef de file, celle-ci devient une «autorité de contrôle concernée».

Une autorité de contrôle chef de file peut être «concernée» lorsque :

le responsable du traitement ou le sous-traitant est établi sur le territoire de l?État membre dont relève cette autorité de contrôle;

les personnes concernées résidant dans l?État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l?être;

une réclamation a été introduite auprès de cette autorité de contrôle.

L'autorité de contrôle concernée peut décider de traiter un cas lorsque l'autorité de contrôle chef de file a décidé de s'en abstenir.

La présente communication est un résumé/une traduction d'une recommandation du Groupe de travail «Article 29» sur la protection des données.

Source: Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JO 119, 4 mai 2016