📥 Le mécanisme de guichet unique du RGPD

🟣 Cet article est de niveau intermédiaire. Cela signifie qu’il est préférable d’avoir quelques connaissances au sujet du RGPD et de la protection des données personnelles, avant de s’y plonger. 

Guide de lecture

Ce blog a été créé avec l’ambition de pouvoir exprimer le point de vue de sa créatrice et des auteurs-contributeurs sur les enjeux, les connaissances-clés et l’actualité concernant la sécurité de l’information et la protection des données personnelles. Les thématiques des publications sont bien sûr choisies en

Mamori DataJoëlie

🟣 L’encadrement normatif des traitements de données à caractère personnel apporté par le RGPD fait bien-sûr l’objet, depuis des années, de nombreuses publications. Parmi elles, certains sujets sont très souvent examinés, comme la définition d’une donnée personnelle, par exemple – nous l’avons nous-même abordée dans un article précédent. D’autres thématiques sont à l’inverse beaucoup moins souvent traitées. L’une d’entre -elles porte sur le mécanisme de guichet unique : à la fois fondamental mais de nature procédurale, il est moins accessible aux néophytes et rarement présenté de façon détaillée. 

Ce mécanisme, introduit avec l’entrée en vigueur du RGPD en 2018, a été construit sur mesure pour permettre à la fois une application harmonisée des dispositions du RGPD, et une approche simplifiée pour les entreprises traitant des données personnelles dans plusieurs Etats -membres de l’Union Européenne. Il fait ainsi parti des éléments-clés de l’application efficace du RGPD, tout en tendant vers une protection uniforme des données personnelles dans l’UE, quels que soient les différents lieux de traitement de ces données. Via cette publication, nous vous proposons de revenir sur les objectifs, le fonctionnement, et les impacts du guichet unique. 

Les concepts principaux abordés dans cet article sont les suivants : 

• Guichet unique 
• Autorité de contrôle 
• Autorité chef de file 
• Traitement transfrontalier 
• Etablissement principal 

🟣 Le mécanisme du guichet unique (one-stop-shop ou OSS en anglais) n’est pas cité directement dans les dispositions du RGPD. On le trouve abordé explicitement dans les considérants 127 et 128, mais on constate ensuite qu’il n’apparaît dans aucun des articles du Règlement à proprement parler. C’est en réalité au travers de la notion d’autorité de contrôle chef de file qu’on le retrouve, notamment dans l’article 56 du RGPD, intitulé « Compétence de l’autorité chef de file ».  

« Sans préjudice de l'article 55, l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l'article 60. » 

Pour information ou pour rappel, une autorité de contrôle (Supervisory Authority ou SA en anglais) est l’entité chargée de vérifier la bonne application du RGPD par tous les acteurs y étant soumis dans son ressort territorial, et de prendre des décisions de sanction, le cas échéant. Chaque autorité de contrôle dispose d’un ressort national. Par exemple, en France, l’autorité de contrôle est la CNIL 🇫🇷. 

Le mécanisme du guichet unique est donc lié aux autorités de contrôle. Il a pour objectif de permettre l’identification d’une autorité précise, dans les cas où plusieurs pourraient être considérées. Il attribue ensuite à l’autorité choisie des prérogatives de contrôle et de sanction sur toutes les entités de son ressort traitant des données personnelles, y compris pour les données qu’elles traiteraient dans d’autres Etats membres de l’UE.  

Concrètement, ce mécanisme couvre des situations telles que celle d’un e-commerçant qui serait établi en France mais traiterait pour les besoins de son activité les données personnelles de ses clients, personnes physiques situées à la fois en France, en Italie et en Allemagne. Les traitements de données personnelles étant centralisés dans une seule organisation, le mécanisme de guichet unique est prévu pour simplifier les démarches liées aux données personnelles et éviter de diviser celles-ci entre plusieurs autorités. 

On peut aussi penser au cas d’une entreprise dont une partie de la production serait assurée en France, et l’autre en Espagne, par exemple. Elle aurait des sociétés déclarées dans les deux pays, et des salariés résidant pour certains en Espagne et pour d’autres en France. En cas de contrôle relatif aux traitements des données de ses salariés, ce mécanisme permettra de trancher qui est compétence, de la CNIL ou de l’AEPD (Agencia Española de Protección de Datos) 🇪🇸).  

Dans ces deux exemples, les entités mettent en oeuvre ce qu’on appelle des traitements transfrontaliers. Le mécanisme du guichet unique est précisément fait pour savoir quelle autorité de contrôle est compétente en cas de traitements transfrontaliers.  

🟣 A ce sujet, une première remarque permettra d’éclaircir la suite : il n’y a pas toujours une autorité chef de file à identifier. Deux situations excluent le recours au mécanisme de guichet unique :  

• Dans un premier temps, si une entreprise n’est située que dans un Etat membre et traite uniquement les données personnelles des résidents de ce même Etat membre, il n’y aura qu’une seule autorité de contrôle possible : celle de cet Etat membre.  
• Par exemple, une association établie en Italie et n’ayant vocation à ne traiter que des données personnelles de ses adhérents, qui se trouvent être uniquement des personnes physiques résidant en Italie, n’aura qu’une seule autorité de contrôle possible : l’autorité italienne il Garante per la protezione dei dati personali 🇮🇹. 
• Le mécanisme de guichet n’a pas à être mis en oeuvre dans les cas comme celui-ci, car il n’y a pas de traitement transfrontalier impliqué : tout se déroule dans le même Etat membre.  
• Un second cas dans lequel le mécanisme de guichet unique n’a pas à être appliqué concerne cette fois-ci bien des traitements transfrontaliers, mais relève d’une exception prévue par le RGPD.  
• Il s’agit du cas dans lequel l’entité qui traite les données personnelles est : soit une autorité publique, soit une entité privée traitant les données dans l’intérêt public.  
• Ces deux cas, d’après le considérant 128 et l’article 55 du RGPD, ne devraient pas permettre l’application du mécanisme de guichet unique, quand bien même l’entité en question traiterait les données de personnes résidant dans plusieurs Etats membres.  

En gardant à l’esprit que les deux situations ci-dessus ne sont jamais concernées par le mécanisme de guichet unique, ce dernier s’applique donc dans tous les cas où une entité privée, établie dans un ou plusieurs Etats membres, traite les données personnelles de personnes situées dans plusieurs Etats membres, pour d’autres motifs que la poursuite de l’intérêt public.  

Le mécanisme du guichet unique poussera alors à identifier l’État membre dans lequel l’entité en question est établie (là où l’on trouve son siège social). Et dans le cas où une entité serait établie dans plusieurs Etats membres, on cherche alors à savoir quel est son établissement principal (son « administration centrale »).  

Le 28 mars 2023, l’EDPB a publié des lignes directrices aidant à identifier l’autorité de contrôle compétente de toute entité traitant des données personnelles.  

Pour reprendre l’exemple fictif de notre e-commerçant, il s’adresse aussi bien à des consommateurs en France, en Italie et en Allemagne. Il est toutefois composé d’une seule société, dont le siège social est immatriculé en France. En France, l’autorité de contrôle est la CNIL. C’est donc la CNIL qui sera son autorité chef de file.  

Et pour prendre un exemple réel, l’entreprise américaine Meta a des sociétés immatriculées dans plusieurs pays d’Europe. Son établissement principal en Europe est toutefois sa société irlandaise (on le retrouve notamment déclaré dans sa politique de confidentialité). L’autorité de contrôle irlandaise est la Data Protection Commission (DPC) 🇮🇪. C’est donc la DPC qui est l’autorité chef de file de Meta.  

En résumé, une autorité chef de file doit être identifiée dans les cas suivants : une entité privée est établie dans plusieurs Etats membres, et/ou traite des données personnelles de personnes établies dans plusieurs Etats membres. 

• Si l’entité qui traite des données de personnes établies dans plusieurs Etats, n’est elle-même établie que dans un seul Etat, on dit qu’elle a un établissement unique. Son autorité chef de file sera alors celle de l’État dans lequel est déclaré cet établissement unique.  
• Par contre, si l’entité en question a plusieurs sociétés, immatriculées dans des Etats membres différents, l’autorité chef de file sera celle de l’État dans lequel son établissement principal est déclaré. 

Le concept d’établissement principal est primordial pour la mise en pratique du mécanisme de guichet unique ; afin d’y voir plus clair et à la demande de la CNIL, l’EDPB a publié une opinion en février 2024 revenant sur ce concept d’établissement principal.  

Dans les deux cas, des traitements transfrontaliers sont réalisés et le mécanisme de guichet unique est conçu pour aider à identifier l’autorité de contrôle compétente. Mais il ne s’arrête pas à l’identification de l’autorité chef de file, et prévoit aussi comment cette dernière doit interagir avec les autres autorités de contrôle (que l’on qualifie de « locales » ou « autorités de contrôle concernées », Concerned Supervisory Authorities ou CSA en anglais).   

🟣 Comme nous l’avons vu plus haut, dès lors que des traitements transfrontaliers de données à cractère personnel ont lieu entre plusieurs Etats membres de l’UE, une autorité chef de file doit être identifiée. Mais attention, ce n’est pas parce qu’une autorité chef de file est identifiée qu’elle sera la seule à travailler sur ce cas. Au contraire, elle aura besoin de coopérer avec les autorités de contrôle concernées, de plusieurs façons prévues par le RGPD.  

On rappelle donc qu’il faut distinguer deux niveaux d’autorités de contrôle (ou Supervisory Authorities, SA), dans le cadre de l’application du mécanisme de guichet unique :  

• L’autorité de contrôle chef de file (ou LSA, pour Lead Supervisory Authority). 
• La ou les autorité(s) de contrôle concernée(s) (ou CSA, Concerned Supervisory Authority(ies)). 

Un autre point important à comprendre est qu’une entité concernée par le mécanisme de guichet unique va forcément mener plusieurs traitements de données personnelles pour les besoins de son activité ; certains seront transfrontaliers, et d’autres non.  

Dans ce dernier cas, que fait-on ? L’autorité de contrôle chef de file (LSA) existe, et afin de respecter l’esprit d’harmonisation, elle devra être impliquée dans tous les cas, même en dehors de traitements transfrontaliers. Ainsi, si une autorité de contrôle locale (CSA) enquête sur un traitement de données personnelles qu’elle estime être non-transfrontalier et uniquement relever de son propre ressor, elle devra quand-même prévenir la LSA. Cette dernière devra alors statuer dans un de ces deux sens :  

• La LSA pourra approuver l’analyse de la CSA selon laquelle le traitement n’est pas transfrontalier. Elle confiera donc la problématique à la CSA. 
• Ou bien, si après analyse, elle réalise que le traitement est finalement transfrontalier, la LSA pourra décider de s’emparer du dossier afin d’arriver à une solution harmonisée.  

Dans le premier cas, si la LSA approuve le traitement du dossier par la CSA, cette dernière n’agira quand-même pas de façon isolée. Etant donné que l’entité concernée impacte d’une façon ou d’une autre plusieurs Etats-membres, même si le traitement précis à l’origine du contrôle n’est pas transfrontalier, la CSA devra appliquer les règles du RGPD relatives à l’assistance mutuelle et aux opérations conjointes menées par les autorités de contrôle, conformément à ses articles 61 et 62.  

Dans le second cas, si la LSA prend la main, elle n’agira pas non-plus seule et appliquera les règles de coopération prévues par l’article 60 du RGPD, régissant ses rapports avec les différentes CSA impliquées. 

Les règles de coopération mériteraient de plus amples développements, mais afin de réussir à approcher l’ensemble du sujet dans cet article, nous nous contenterons ici de les lister. Elles sont les suivantes :  

• L’autorité chef de file pilote le dossier, doit informer les autorités nationales et peut également leur donner des consignes, et notamment les inciter à coopérer entre-elles pour les besoins de l’affaire. 
• Un ensemble de règles encadre la façon dont une décision de sanction peut être adoptée. L’autorité chef de file, si elle décide de sanctionner l’entité concernée, présente son projet de sanction autres autorités. Ces dernières ont alors quatre semaines pour formuler une « objection pertinente et motivée » si besoin, qui devra être prise en compte par l’autorité chef de file le cas échéant. En cas d’absence d’objection, les autorités consultées sont réputées approuver le projet de sanction.  
• Enfin, d’autres règles prévoient la gestion des réclamations introduites par des personnes concernées, qui pourraient concerner l’affaire.  

🟣 Le mécanisme de guichet unique est une solution offerte par le RGPD pour permettre aux entreprises opérant dans plusieurs États membres de l'UE de bénéficier d'un point de contact unique avec la SA de leur siège social ou de leur établissement principal. Cela signifie que, plutôt que d'avoir à traiter avec plusieurs autorités de contrôle dans différents pays, une entreprise peut interagir avec une seule autorité de contrôle pour toutes les questions liées à la protection des données. 

Mais, comme nous l’avons vu plus haut, cela ne signifie pas que les autres autorités de contrôle sont écartées. Les CSA conservent un rôle important dans le processus, notamment en fournissant une assistance et en coopérant avec la LSA. Elles gardent une influence sur les contrôles et les sanctions éventuelles. Cela permet donc d’assurer l’harmonisation recherchée, sans laisser d’Etats membres derrière.  

Concrètement, le mécanisme de guichet unique permet de :  

- Centraliser les échanges avec la LSA. 

- Centraliser les procédures en cas de contrôle, voire de sanction, concernant des traitements transfrontaliers. 

Mais le mécanisme de guichet unique… 

- Ne permet pas de s’affranchir du droit local des autres Etats membres impactés par l’entité en termes de traitements de données personnelles. 

- N’empêche pas les différentes CSA de s’exprimer, de coopérer et d’influencer les procédures de sanction. 

- N’est pas à l’abri d’être évincé par l’application de la procédure de l’article 66, comme cela a été le cas de Meta en 2023 suite à l’intervention de la Norvège 🇳🇴. 

Pour résumer, bien que l’impact du mécanisme de guichet unique soit plutôt positif et aille dans le sens de la simplification pour les entités concernées, il n’est absolument pas prévu pour lui permettre de choisir les règles à appliquer ou les juridictions compétentes à loisir. De nombreux garde-fous ont d’ailleurs été mis en place pour éviter les abus. Il est donc conseillé aux entités menant des traitements transfrontaliers de qualifier juridiquement leur situation au plus proche de la réalité du terrain, plutôt que de risquer d’avoir de mauvaises surprises par la suite.  

Le mécanisme de guichet unique du RGPD est fait pour simplifier l’application de ce texte par des entreprises opérant dans plusieurs États membres de l’Union Européenne, en leur permettant de n'avoir qu'un seul point de contact : l'autorité de contrôle de leur État d'établissement (leur LSA).  

L’entrée en vigueur de ce mécanisme en 2018 a permis, en complément du passage d’une directive à un Règlement, d’harmoniser la manière dont les règles sur la protection des données s'appliquent aux entreprises présentes dans plusieurs Etats, en rationalisant leur démarche de conformité réglementaire à travers l'UE.  

Pour savoir si et comment appliquer le mécanisme du guichet unique…  

• Commençons par nous demander si l’on est en présence de traitements transfrontaliers. 
• Si c’est le cas, cherchons où est l’établissement principal de l’entité menant ces traitements (qu’elle soit responsable de traitement ou sous-traitante). 
• La LSA (autorité chef de file) est l’autorité de contrôle compétente dans l’État membre où se trouve l’établissement principal. 
• Ensuite, en cas de contrôle / sanction concernant un traitement transfrontalier, il faut savoir que la LSA pilotera le dossier, mais que les autorités locales pouvant être concernées (CSA) participeront et pourront influencer le cours de la procédure. 
• De nombreux cas sont prévus, y compris ceux devant adresser des plaintes provenant de plusieurs Etats membres, ou ceux présentant une situation de blocage entre les opinions divergentes des différentes autorités de contrôle impliquées. 

🟣 Merci pour votre lecture ! J’espère vous avoir permis de porter un premier regard utile sur le mécanisme de guichet unique du RGPD. 

Pour savoir quand de prochains articles seront publiés sur ce blog, pensez à me suivre sur LinkedIn !

Special thanks à ma nouvelle relectrice Soon, qui m'a permis de finalement poster cet article et d'améliorer sa qualité d'ensemble ! 💙