GDPR : quelle est l’autorité nationale compétente dans les groupes de sociétés ?

Publié le par - 2657 vues

Le Groupe 29 s’est transformé fin 2016 en père Noël. Son cadeau : des lignes directrices visant à clarifier trois aspects du GDPR. Nous nous en sommes fait l’écho. En ce mois de janvier, revenons un instant sur l’aspect qui aura le moins retenu l’attention du fait de la grande technicité du propos : la procédure de désignation de l’autorité de contrôle compétente. Pour beaucoup d’entreprises – principalement les groupes d’entreprises – la question sera en effet cruciale non seulement lors de l’entrée en vigueur du GDPR, mais également durant son implémentation.

Rappel : la Directive 95/46

La Directive 95/46 était peu loquace sur l’exigence de collaboration entre autorités de contrôle lorsqu’un même traitement relevait de la compétence de plusieurs autorités nationales distinctes. Tout au plus, la directive 95/46 obligeait les autorités à coopérer entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

Au-delà du principe de coopération entre autorités de contrôle, aucune disposition de la Directive 95/46 n’abordait les modalités de coopération entre plusieurs autorités de contrôle nationales. Elle était également muette sur la problématique de l’autorité compétente lorsque le responsable est établi sur le territoire de plusieurs États membres.

Cette absence d’obligation de coordination à charge des autorités de contrôle nationales dans la Directive a engendré de nombreux problèmes en cas de traitements transfrontaliers : quelle est l’autorité compétente lorsque le responsable est établi sur le territoire de plusieurs États membres ? Comment prendre en compte et concilier les points de vue des autres autorités nationales compétentes lorsque les effets d’un traitement dépassent les frontières d’un État membre ?

Les mesures correctives apportées par le GDPR : le mécanisme du guichet unique  

Le GDPR apporte des solutions à l’absence de coordination entre les différentes autorités nationales potentiellement compétentes sous l’empire de la Directive 95/46 via l’identification de l’autorité dite « chef de file ».

Le mécanisme du « guichet unique » est simple dans son principe : en cas de traitement transfrontalier, le GDPR détermine l’autorité de contrôle « principale » (dite l’autorité de contrôle chef de file) pour les activités de traitement du responsable dans l’Union, en fonction du lieu de l’établissement principal du responsable ou du sous-traitant, et à défaut, de son lieu d’établissement unique.

L’autorité de contrôle chef de file sera le seul interlocuteur du responsable ou du sous-traitant pour leur traitement transfrontalier (art. 56, § 6 du GDPR).

Notons d’emblée que le G29 précise que les responsables qui n’ont pas d’établissement dans l’UE sont exclus du mécanisme du guichet unique ; ces derniers devront traiter avec les autorités de contrôle de chaque État membre où ils sont actifs, via leurs représentants locaux (cfr. art. 27 du GDPR).

L’implémentation de l’article 56 pose cependant d’évidentes difficultés au vu de la complexité des règles d’identification que cette disposition contient. Surtout, sa prévisibilité n’est pas certaine. L’autorité compétente peut être différente en fonction du rattachement de la violation du GDPR à un État membre particulier et à la décision de répartition des compétences qui revient à l’autorité de contrôle « chef de file ».

C’est ici que les Guidelines adoptées par le G29 le 13 décembre 2016 sont censées nous guider un peu dans les méandres de la disposition.

La notion de traitement transfrontalier et d’affectation sensible des personnes concernées

L’identification de l’autorité chef de file n’a de sens qu’en cas de traitement transfrontalier qui lui-même fait appel au concept d’affectation sensible des personnes concernées par le traitement.

Pour rappel, on parlera de traitement transfrontalier dans deux hypothèses de traitement :

  1. Lorsque le traitement a lieu dans le cadre des activités de plusieurs établissements du responsable ou du sous-traitant qui sont établis dans plusieurs États membres ;  ou
  2. Lorsque le traitement a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres. (art. 4 (23) du GDPR)

La première hypothèse de traitement transfrontalier vise la situation où une organisation a, par exemple, des établissements en France et en Roumanie et que le traitement a lieu dans le cadre des activités de chaque établissement (par exemple dans le cadre d’une plate-forme commune d’e-commerce).

Subsidiairement, souligne le G29, il est également possible que les opérations de traitement n’aient lieu que dans le cadre des activités de l’établissement situé en France, ce qui exclurait la première hypothèse de traitement transfrontalier. Toutefois, si les activités effectuées en France affectent sensiblement ou sont susceptibles d’affecter sensiblement des personnes concernées en France et en Roumanie, cette situation relève de la seconde hypothèse de traitement transfrontalier.

Comme l’observe le G29 dans ses lignes directrices du 13 décembre dernier, le GDPR ne fournit pas de définition de l’affectation sensible. Notons bien que ceux-ci n’ont de sens que dans la seconde hypothèse du traitement transfrontalier.

La volonté des auteurs du GDPR est que seuls les traitements qui affectent avec une certaine intensité les personnes dans plusieurs États membres tombent sous le champ d’application des traitements transfrontaliers.

Pour affecter les personnes concernées, le G29 précise que le traitement doit les impacter, les influencer « sensiblement », ce qui exclut les traitements n’ayant pas ou peu d’effets sur les personnes concernées.

Le G29 observe également que l’impact sur les personnes concernées ne doit pas obligatoirement être actuel : une probabilité suffisante que le traitement affecte des personnes répond à la seconde condition de traitement transfrontalier. Celle-ci ne doit cependant pas être simplement hypothétique.

En revanche, le simple fait que le traitement concerne un nombre important de personnes dans plusieurs États membres ne permet pas nécessairement de conclure à l’existence d’un traitement transfrontalier ; il faudra toujours démontrer un impact actuel ou probable sur les personnes concernées dans plusieurs États membres.

Le G29 invite les autorités nationales à examiner au cas par cas chaque situation de traitement. Il donne alors une série de critères à prendre en considération, dont notamment :

  • Le contexte du traitement ;
  • La nature et la diversification des données ;
  • Les finalités du traitement ;
  • Le fait que le traitement cause – potentiellement ou non – des dommages ou des tourments aux individus ;
  • Le fait que le traitement risque de limiter les droits des individus ou de les priver d’une opportunité ;
  • L’impact du traitement sur la santé, le bien-être ou la tranquillité d’esprit des individus ;
  • Le risque que le traitement engendre une modification significative du comportement des individus.

Le test qui découle de l’application de ces critères peut aussi selon nous s’inspirer des critères justifiant une analyse d’impact (cfr. art. 35 du GDPR). Il faut en effet que des risques plus ou moins élevés existent de porter atteinte ou de limiter les droits, libertés et intérêts des personnes concernées dans plusieurs États membres, pour conclure à l’affectation sensible de celles-ci. Seule la pratique des autorités de contrôle permettra d’arriver à y voir réellement plus clair.

L’identification de l’autorité chef de file et la notion d’établissement principal du responsable ou du sous-traitant

Concrètement, l’autorité chef de file assumera la responsabilité de contrôle « principale » du traitement transfrontalier pour surveiller les activités du responsable du traitement ou du sous-traitant qui présente soit « un établissement principal », soit un « établissement unique » dans l’UE (cfr art. 56 (1) du GDPR).

Cette compétence reconnue à l’autorité de contrôle chef de file favorisera une application cohérente du GDPR, tout en garantissant davantage de sécurité juridique et en réduisant les charges administratives pour le responsable du traitement et ses sous-traitants.

L’identification de l’autorité chef de file suivra souvent la localisation de « l’établissement principal » du responsable dans l’UE. Vu l’importance de cette notion, le G29 s’est attaché à définir les contours de « l’établissement principal » du responsable.

La notion d’établissement principal est définie à l’article 4 (16) du GDPR selon qu’il s’agisse de l’établissement principal du responsable ou du sous-traitant.

Le G 29 rappelle d’abord cette définition. S’agissant du responsable, son établissement principal sera normalement le lieu de son administration centrale. Cette dernière notion n’est cependant pas définie. D’après le G29, s’appuyant sur la définition précitée, il s’agit du lieu où les décisions concernant les finalités et les moyens du traitement sont prises. Cependant, si les décisions relatives aux moyens et aux finalités du traitement sont prises dans un autre établissement dans l’Union et que cet établissement dispose du pouvoir de faire appliquer ces décisions, alors c’est cet établissement qui doit être considéré comme l’établissement principal.

Si une administration centrale s’occupe de différents traitements transfrontières, une seule autorité chef de file sera alors compétente. Le G29 fait cependant remarquer que dans certaines situations, il est possible qu’une organisation dispose de lieux d’administration prenant des décisions autonomes concernant les finalités et moyens d’un autre traitement, ce qui conduit à identifier plusieurs autorités chef de file, chacune étant alors compétente pour connaître des traitements en cause.

Si l’on se réfère néanmoins à la définition elle-même, il faut en outre que l’administration autre que l’administration centrale soit également compétente pour décider de l’implémentation du traitement (et pas seulement des finalités et moyens) pour attirer la compétence d’une « autre » autorité chef de fil.

C’est ce qui découle également d’un des exemples cités par le G29. Une banque a son siège social à Francfort et toutes ses activités de traitement sont organisées au départ de là. Son département assurance est cependant localisé à Vienne. Si celui-ci peut prendre les décisions qui concernent les traitements de données liés à cette activité et dispose de la compétence d’implémenter celles-ci dans toute l’Union, ce sera l’autorité autrichienne qui sera l’autorité chef de file pour ces traitements à finalité d’assurance et l’autorité allemande qui prendra la main sur le contrôle des finalités de traitements bancaires, où que soient localisés les clients.

Dans ces situations, le G29 insiste sur l’importance pour les responsables d’identifier précisément où sont prises les décisions concernant les moyens et les finalités du traitement, tout en rappelant que le GDPR proscrit le forum shopping.

Quid en cas de groupe d’entreprises ?

Lorsque le traitement est mis en œuvre par un groupe d’entreprises dont le siège se situe dans l’UE, le G29 est d’avis que le lieu de l’établissement ayant le contrôle global doit être considéré comme l’établissement principal du responsable. Ce serait donc vraisemblablement la maison mère du groupe ou le siège opérationnel du groupe, à moins que les finalités et moyens soient décidés par d’autres établissements.

L’identification de l’établissement principal est aisée, aussi longtemps que le pouvoir de décision concernant un traitement transfrontalier est centralisé au sein d’un seul établissement sur le territoire de l’Union.

Si une telle centralisation n’existe pas, il appartient alors en définitive au responsable de déterminer le lieu de son établissement principal dans l’Union, et par voie de conséquence, l’autorité chef de file compétente. Comme le souligne le G29, cette identification peut être contestée ultérieurement par les autres autorités concernées et la charge de la preuve incombe aux responsables (ou aux sous-traitants).

Le G29 énonce différents critères d’identification de l’établissement principal lorsque le critère du lieu de l’administration centrale dans l’UE est inopérant :

  • Sur quel territoire, le responsable est-il enregistré en tant que personne morale, s’il s’agit d’un territoire unique ?
  • Où sont prises les décisions concernant les activités commerciales impliquant le traitement de données ?
  • Où sont prises les décisions d’implémentation effective ?
  • Où se trouve(nt) le(s) Directeur(s) assumant l’ensemble des responsabilités de gestion pour le traitement transfrontalier ?
  • Où le responsable/le sous-traitant est -il organisé en une société, s’il ne l’est que dans un seul territoire ?

On se rend directement compte que la détermination dudit établissement sera souvent difficile et complexe dans la réalité des groupes. Le G29 également. Il va jusqu’à admettre que certains cas limites ne trouveront pas de solution dans le système du GDPR et qu’il reviendra alors au groupe de désigner l’établissement dont elle veut voir jouer ce rôle, sous le contrôle a posteriori des autorités de contrôle. Tout en rejetant toute idée de « forum shopping » sur base d’une condition de réalité et d’effectivité des pouvoirs et de l’activité de traitement… Exercice périlleux à prévoir…

Quid des « autres » autorités de contrôle concernées ?

Si on appliquait strictement le principe de compétence de l’autorité chef de file, les autorités autres que l’autorité de contrôle principale n’auraient plus voix au chapitre. On pense par exemple au cas où une autorité chef de file contrôle un traitement qui a des effets substantiels sur des personnes concernées résidantes dans un autre État membre.

Afin de pallier cette situation, le GDPR a introduit la notion « d’autorité de contrôle concernée »; selon l’article 4 (22) du GDPR, une autorité de contrôle peut être « concernée » par le traitement dans trois hypothèses :

  1. parce que le responsable du traitement ou le sous-traitant est établi sur le territoire de cette autorité de contrôle ;
  2. parce que des personnes concernées résidant dans cet État membre sont sensiblement affectées par le traitement ou susceptibles de l’être ;
  3. parce qu’une réclamation a été introduite auprès de cette autorité de contrôle.

Ainsi, par dérogation à la règle de compétence exclusive de l’autorité chef de file, chaque autorité de contrôle reste compétente pour traiter d’une plainte ou d’une possible violation du Règlement, si l’objet ne concerne que l’établissement dans cet État membre ou affecte substantiellement les personnes concernées dans cet État membre (article 56, § 2). Dans ce cas, il lui appartient d’en informer l’autorité chef de file. S’en suit alors la mise en œuvre des procédures -complexes- des articles 60 à 63 en vue d’arriver à trancher et de désigner l’autorité qui connaîtra du traitement en cause.

Pour illustrer cette situation, le G29 cite l’exemple où une entreprise de marketing ayant son établissement principal en France décide de lancer un produit affectant seulement les personnes résidant au Portugal. Dans cette situation, les autorités françaises et portugaises peuvent décider de confier ce dossier exclusivement à l’autorité portugaise.

Selon le G29, l’autorité chef de file et l’autorité concernée doivent coopérer en s’efforçant de parvenir à un consensus en cas de débat potentiel sur la désignation de ou des autorités de contrôle compétentes.

Ce n’est que si lesdites autorités ne parviennent pas à une solution satisfaisante, qu’elles peuvent recourir au mécanisme de contrôle de la cohérence qui peut notamment conduire le Comité européen pour la protection des données à rendre un avis obligatoire en cas de différends entre autorités nationales (art. 63 et suivants du GDPR).

Force est de constater que sur ce point, l’apport des Guidelines se limite à une explication du système du GDPR sans réelle plus-value.

Le mécanisme du guichet unique pour les sous-traitants

Comme le rappelle le G29, le sous-traitant établi sur le territoire de plusieurs États membres qui relève du champ d’application du GDPR peut également bénéficier du mécanisme du guichet unique.

Dans pareil cas, l’établissement principal du sous-traitant dépendra du lieu de son administration centrale (cfr. supra), ou, à défaut, du lieu où se déroule l’essentiel des activités de traitement du sous-traitant.

Dans les cas où le responsable et le sous-traitant sous tous les deux impliqués, le G29 encourage à désigner compétente l’autorité chef de file du responsable. L’autorité chef de file du sous-traitant interviendra alors en qualité d’autorité de contrôle concernée et devra participer à la procédure de coopération.

Conclusions

Le moins que l’on puisse dire est que la problématique de la désignation de l’autorité de contrôle en cas de traitement transfrontalier est complexe.

Si l’on applaudit l’idée de la mise en œuvre d’un guichet unique, on est plus circonspect quant au processus de désignation de l’autorité compétente. Les présentes guidelines ne changent pas notre opinion. Elles la renforcent.

Vous désirez en savoir plus sur cette guidelines et sur celles relatives à la portabilité et la désignation du Délégué à la protection des données ? Rendez-vous à notre Lunch Conférence au cabinet Ulys ce 31 janvier pour tout savoir sur les trois premiers guidelines d’implémentation du GDPR.

Droit & Technologies

Publié dans

Thèmes
Tags

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK