Le guichet unique
Le guichet unique est une nouvelle procédure mise en place par le Règlement général sur la protection des données (RGPD). Il a vocation à harmoniser au niveau européen les décisions des autorités de protection des données concernant les traitements transfrontaliers. Ces autorités doivent désormais se coordonner sur l’ensemble de ces décisions.
Le guichet unique concerne uniquement les traitements transfrontaliers tels que définis à l’article 4.23) du RGPD.
C’est-à-dire :
- Les traitements de données mis en œuvre par une entreprise établie dans plusieurs États européens (c’est-à-dire dans l’Union européenne, au Lichtenstein, en Islande ou en Norvège) et
- Les traitements de données d’une entreprise établie dans un seul État, mais qui affectent sensiblement des personnes d’au moins un autre État membre.
Le mécanisme du guichet unique n’est pas ouvert aux entreprises établies en-dehors de l’Union européenne, même si leurs traitements de données concernent des personnes résidant dans plusieurs États membres.
Pourquoi un guichet unique ?
Avant l’entrée en application du Règlement, les entreprises établies dans plusieurs Etats membres de l’Union européenne (UE) devaient s’adresser à chaque autorité de chaque État membre dans lequel elles avaient un établissement. Chacune de ces autorités de protection des données décidait seule. Ces démarches étaient lourdes et chronophages pour les entreprises concernées et la multiplication d’interlocuteurs ne permettait pas de garantir une application uniforme des règles européennes.
Pour résoudre ces difficultés, le RGPD institue le mécanisme de « guichet unique », qui repose sur les trois principes suivants :
- Un mécanisme ouvert aux seules entreprises établies en UE : lorsqu’une entreprise met en œuvre un traitement de données « transfrontalier », elle bénéficie d’un mécanisme de contrôle simplifié. Celui-ci ne s’applique pas aux entreprises exclusivement établies hors de l’UE.
- Un interlocuteur unique pour les responsables de ces traitements : il s’agit de l’autorité « chef de file », c’est-à-dire l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise. C’est auprès de cette seule autorité que les différentes obligations prévues par le RGPD doivent être accomplies. Elle est en outre chargée de coordonner la prise de décision avec les autres autorités de protection des données concernées par le traitement transfrontalier.
- Une seule décision valable dans toute l’UE : toute décision de l’autorité chef de file aura été prise en concertation avec l’ensemble des autorités de protection des données concernées. Elle présentera donc l’interprétation commune des autorités européennes concernant le traitement transfrontalier à l’égard duquel la décision est prise.
Le guichet unique facilite ainsi les démarches des entreprises concernées, sans pour autant impacter les personnes concernées par ces traitements : leur autorité de protection des données nationale reste leur seul interlocuteur. Les personnes résidant en France peuvent ainsi continuer à adresser leurs plaintes à la CNIL, même si celle-ci n’est pas l’autorité chef de file à l’égard de ce traitement.
Le guichet unique, comment ça marche ?
Lorsque l’autorité chef de file envisage de prendre une décision à l’égard d’un traitement transfrontalier (une sanction, par exemple), elle doit se charger de coordonner la prise de décision avec les autres autorités concernées par ce traitement :
- soit parce qu’elles ont sur leur territoire un établissement de l’entreprise,
- soit parce que des personnes impactées par le traitement de données résident sur le territoire de leur Etat.
L’autorité de protection des données chef de file doit ainsi :
- préparer le projet de décision ;
- adresser ce projet aux autres autorités de protection des données concernées ;
- recueillir et prendre en compte leurs observations, dans l’objectif d’aboutir à une décision rapide et consensuelle entre les autorités ;
- en cas de désaccord sur la décision à prendre, amender le projet de décision et en soumettre un nouveau aux autorités concernées ;
- en cas de refus d’amender ce projet ou en cas de désaccord persistant avec les autorités concernées, saisir le Comité Européen de la Protection des Données pour qu’il tranche : le comité, qui rassemble toutes les autorités de protection des données de l’Union européenne, devra alors adopter une décision contraignante pour l’autorité chef de file ;
- notifier la décision finale à l’entreprise concernée.
Afin d’aboutir à une prise de décision rapide, toutes ces étapes sont enserrées dans des délais courts et stricts. La mise en œuvre du mécanisme de guichet unique suspend néanmoins les délais de procédure nationaux.
Quelles conséquences pour les professionnels ?
Pour tout organisme pouvant bénéficier du guichet unique, il est essentiel de déterminer son autorité chef de file.
L’autorité chef de file à l’égard d’un traitement transfrontalier est celle du pays où se trouve « l’établissement principal », au sens de l’article 4.16) du RGPD, du responsable du traitement ou du sous-traitant, ou son établissement unique si l’organisme n’est pas établi dans plusieurs Etats membres.
Si la CNIL est l’autorité chef de file :
Toutes les démarches relatives à un traitement transfrontalier s’effectuent auprès d’elle
Pour les responsables du traitement concernés par le mécanisme du guichet unique, toute démarche (désignation du DPO, transmission d’une analyse d'impact sur la protection des données (AIPD), notification d’une violation de données, etc.) doit être adressée à l’autorité chef de file.
Elle prend toutes les décisions concernant le traitement transfrontalier
Que les échanges aient lieu à l’initiative de l’entreprise (saisine sur un projet de clauses contractuelles ad hoc, demande de certification, etc.) ou de l’autorité de protection des données (dans le cadre d’un contrôle ou suite à une plainte d’un individu, par exemple), les décisions seront adoptées par l’autorité chef de file.
Les recours contre ces décisions s’effectueront ainsi devant les juridictions de l’Etat membre de l’autorité de protection des données chef de file.
Elle constitue également l’interlocuteur unique des sous-traitants
Les sous-traitants peuvent aussi bénéficier d’un interlocuteur unique dans le cadre de leurs démarches comme pour les décisions qui concernent leurs obligations ou responsabilités propres.
Néanmoins, si la décision concerne également le responsable du traitement transfrontalier, l’autorité chef de file sera celle du responsable du traitement. L’autorité chef de file du sous-traitant constitue alors une autorité concernée et participe ainsi à la prise de décision en cause.
Quelles conséquences pour les particuliers ?
Pour les personnes concernées par un traitement transfrontalier, les conséquences sont minimes :
La CNIL reste l'unique interlocuteur des résidents sur le territoire français
Le mécanisme du guichet unique est une modalité d’organisation du travail des autorités de contrôle, qui n’impacte pas directement les particuliers. Les personnes concernées peuvent continuer à s’adresser à leur autorité de protection des données, qui participera au traitement de leur plainte même si elle n’est pas l’autorité chef de file pour ce traitement.
Dès lors qu’une autorité de protection des données reçoit une plainte, elle acquiert en effet le droit de participer à l’élaboration de la décision, même si elle n’est pas l’autorité chef de file. Une fois la plainte reçue, elle doit en faire part à l’autorité chef de file pour que la plainte soit traitée en commun.
Dans certains cas, l’autorité de protection des données saisie de la plainte peut même traiter la plainte seule si certains critères sont remplis et si l’autorité chef de file donne son accord au préalable.
L’autorité de contrôle nationale doit informer le plaignant de la décision prise à l’égard du responsable du traitement et doit lui notifier toute décision de classement ou de rejet de la plainte.
Les recours contre les décisions de la CNIL de classement ou de rejet d’une plainte
La décision de classement ou de rejet d’une plainte par une autorité de contrôle peut faire l’objet d’un recours devant les juridictions de l’Etat du plaignant, dans les mêmes conditions qu’avant (les juridictions françaises si je suis français ou réside en France).
Si la décision de classer ou rejeter la plainte découle d’une décision du Comité européen de la protection des données, ce que l’autorité doit indiquer en notifiant cette décision, le recours doit néanmoins être formé devant la Cour de Justice de l’Union européenne.