La coopération avec les autorités de contrôle européennes

Comment identifier l’autorité chef de file pour les cas transfrontaliers ?

Lorsque dans le cadre d’un contrôle ou du traitement d’une plainte, le traitement de données personnelles sur lequel porte la procédure est un traitement transfrontalier, une coopération européenne s’engage.

On parle de traitements transfrontaliers dans les cas suivants :

• les traitements de données sont mis en œuvre par une entreprise disposant de plusieurs établissements dans plusieurs États européens (c’est-à-dire dans l’Union européenne, au Liechtenstein, en Islande ou en Norvège) ; ou
• les traitements de données sont le fait d’une entreprise établie dans un seul État, mais affectent sensiblement des personnes d’au moins un autre État membre.

La CNIL doit identifier si elle est l’autorité « chef de file » ou s’il s’agit d’une autre autorité européenne.

Si l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant est établi en France, la CNIL est l’autorité chef de file. Dans ce cas, elle informe les autres autorités européennes concernées par le traitement transfrontalier de sa compétence, propose les suites à apporter au dossier et coordonne la prise de décision en concertation avec les différents pays concernés.

Si elle n’est pas autorité « chef de file », elle peut se déclarer « autorité concernée ».

En quoi consiste la coopération européenne ?

Dans le cadre de la procédure de coopération, les autorités de contrôle concernées sont destinataires de tous les éléments utiles communiqués dans le cadre de la procédure de sanction, qu’elle soit engagée devant la la formation restreinte de la CNIL (procédure ordinaire) ou devant le président de la formation restreinte (procédure simplifiée). La CNIL leur communique donc :

• le rapport proposant d’adopter une mesure correctrice (qui peut prendre la forme d’une sanction pécuniaire ou d’une mise en demeure) à l’encontre d’un organisme ;
• toute information utile, telle que les plaintes ou les procès-verbaux de contrôle, ainsi que les observations de l’organisme mis en cause.

Les autorités de contrôle concernées peuvent assister à la séance de la formation restreinte pour la procédure ordinaire ou, lorsqu’elle se tient, à la séance du président de la formation restreinte pour la procédure simplifiée. Si elles n’y assistent pas, un procès-verbal est préparé à leur intention.

Le projet de décision de la formation restreinte (procédure ordinaire) ou du président de la formation restreinte (procédure simplifiée) est ensuite transmis aux autorités de contrôle concernées qui peuvent formuler des objections sur celui-ci. La formation restreinte de la CNIL (procédure ordinaire) ou son président (procédure simplifiée) peuvent alors modifier leur projet de décision afin de tenir compte de ces objections.

Dans les deux procédures, si les objections ne sont pas suivies, le Comité européen de la protection des données (CEPD) est saisi et rendra une décision contraignante sur le projet de décision et les objections formulées.

La décision finale est, dans ce cas, adoptée sur la base de la décision du Comité européen de la protection des données et y fait référence.

La délibération ainsi adoptée est notifiée à l’organisme mis en cause. Cette décision peut faire l’objet d’un recours devant le Conseil d’État.