1
Autorité de contrôle (art. 51-59 RGPD)
1. Détermination de l’autorité chef de file
Dans quel cas devez-vous déterminer quelle est
l’autorité chef de file ? Uniquement si, en tant que
responsable du traitement ou sous-traitant, vous
effectuez un traitement transfrontalier.
Le traitement transfrontalier est un traitement de
données à caractère personnel qui a lieu dans le
cadre des activités :
1. d’établissements dans plus d’un Etat membre
de l’Union européenne d’un responsable du
traitement ou d’un sous-traitant dans l’Union ;
2. d’un établissement unique d’un responsable du
traitement ou d’un sous-traitant dans l’Union
ayant un impact significatif sur des personnes
concernées dans plusieurs États membres.
A noter que, dans le premier cas, il n’est pas requis
qu’il y ait un impact significatif sur les personnes
concernées.
Voici quelques explications qui vous aideront à
interpréter correctement la législation RGPD :
Impact significatif
Ce n’est pas parce qu’il existe un traitement de
données à caractère personnel qu’il a automatiquement
un impact significatif, et ce, même s’il s’agit d’un grand
groupe de personnes concernées.
Le RGPD ne donne pas de définition du terme
« impact significatif ». Les autorités de contrôle doivent
examiner au cas par cas si un traitement a un impact
significatif. Elles tiennent compte du fait que le
traitement peut :
• causer un dommage ;
• limiter certains droits ou faire perdre des
opportunités ;
• affecter la santé ou l’état mental d’individus ;
• influencer la situation économique et financière
d’individus ;
• exposer des individus à la discrimination ou à un
traitement inéquitable ;
• impliquer l’analyse de catégories particulières
de personnes ;
• avoir un impact très important sur le
comportement d’individus ;
• avoir des conséquences inattendues ou
indésirables pour les individus ;
• causer un embarras ou autres conséquences
négatives (telle une atteinte à la réputation) ;
• englober un nombre important de données à
caractère personnel.
Les personnes concernées ne doivent pas être
effectivement affectées. La possibilité ou la
probabilité qu’elles le soient suffit.

Autorité de contrôle (art. 51-59 RGPD)
Autorité de contrôle chef de file
L’autorité de contrôle chef de file est l’autorité qui a la
plus grande responsabilité au niveau des activités de
traitement transfrontalières. Elle coordonne chaque
recherche en y associant d’autres autorités de contrôle
concernées.
L’attribution du rôle d’autorité de contrôle chef de file
dépend de la localisation de l’établissement principal
ou de l’établissement unique du responsable du
traitement au sein de l’Union européenne (art. 56 RGPD).
Etablissement principal
L’article 4, 16 du RGPD définit comme suit
l’« établissement principal » :
• L’établissement principal d’un responsable du
traitement établi dans plusieurs Etats membres
est le lieu de son administration centrale dans
l’Union. Au cas où les décisions quant aux finalités
et aux moyens du traitement de données à
caractère personnel sont prises dans un autre
établissement de l’Union ayant également le
pouvoir d’appliquer ces décisions, cet
établissement est considéré comme
l’établissement principal.
• L’établissement principal d’un sous-traitant établi
dans plusieurs Etats membres est le lieu de son
administration centrale dans l’Union. Au cas où le
sous-traitant ne dispose pas d’une administration
centrale dans l’Union, l’établissement principal
est l’établissement dans l’Union où se déroule
l’essentiel des activités de traitement effectuées
dans le cadre des activités d’un établissement du
sous-traitant, mais uniquement dans la mesure
où le sous-traitant est soumis à des obligations
spécifiques en vertu du GPDR.
2
2. Etapes visant à déterminer l’autorité
de contrôle chef de file
Responsable du traitement :
déterminez l’établissement principal
Le responsable du traitement dispose-t-il d’une
administration centrale au sein de l‘UE où il prend
et met en œuvre les décisions concernant l’objectif
et les moyens du traitement ? Il s’agit généralement
là de l’établissement principal.
Il arrive cependant que le responsable du traitement
prenne des décisions autonomes sur les finalités
et les moyens relatifs à une activité de traitement
spécifique dans un autre établissement. C’est alors cet
établissement qui est considéré comme l’établissement
principal.
Il est recommandé aux entreprises de déterminer le plus
précisément possible à quel endroit elles prennent les
décisions concernant les finalités et les moyens du trai-
tement. Cela leur permet de savoir avec précision avec
quelle autorité de contrôle elles doivent négocier leur
conformité avec le RGPD.
Quelques exemples :
1. Un détaillant a son administration centrale aux
Pays-Bas. Il possède également des établissements
dans d’autres pays membres. Tous utilisent le même
logiciel pour traiter les données à caractère
personnel de consommateurs à des fins de
marketing. Toutes les décisions concernant ce
traitement sont prises par l’entreprise de
l’établissement principal aux Pays-Bas. Pour ce
traitement transfrontalier, c’est donc l’autorité de
contrôle néerlandaise qui est l’autorité de contrôle
chef de file.
2. Une banque a son siège central en Allemagne. C’est
là qu’elle organise toutes ses activités ayant trait au
secteur bancaire, à l’exception des assurances, dont
le département est situé en Autriche. L’établissement
autrichien prend également des décisions concernant
le traitement des données personnelles en matière
d’assurances ? Et il met en œuvre ces décisions pour
l’ensemble de l’Union européenne ? Dans ce cas,
l’autorité de contrôle autrichienne est le chef de file
pour les traitements liés aux activités d’assurance
tandis que l’autorité de contrôle allemande est le
chef de file pour les traitements liés aux activités
bancaires.

Autorité de contrôle (art. 51-59 RGPD)
Au cas où l’établissement principal n’est pas le lieu
de l’administration centrale, vous devez vérifier où
sont exercées les activités de gestion du traitement.
Pour ce faire, ne vous basez pas sur la présence et
l’utilisation de moyens techniques et technologiques
de traitement de données à caractère personnel ou
d’activités de traitement. Ces critères ne déterminent
pas l’importance d’un établissement et donc pas da-
vantage s’il s’agit d’un établissement principal.
Le responsable du traitement peut déterminer
lui-même son lieu d’établissement principal mais
l’autorité de contrôle chef de file respective a le droit
de contester ce choix.
Pour ce faire, elle prend en compte les facteurs
suivants :
• Où l’entreprise prend-elle et met-elle en œuvre
les décisions quant aux finalités et aux moyens
de traitement ?
• Où sont prises les décisions relatives aux
questions du traitement ?
• Où se situe la compétence pour prendre des
décisions ?
• Où se trouve l’administrateur responsable ?
• Où le responsable du traitement est-il
enregistré en tant qu’entreprise ?
Au cas où les données sont traitées par un groupe
d’entreprises avec des établissements principaux
dans l’Union européenne, le titre d’établissement
principal revient à l’établissement qui exerce le
contrôle général, là où sont prises les décisions.
Sauf si l’entreprise prend les décisions quant aux
finalités et aux moyens du traitement dans un
autre établissement.
Si les décisions sont prises conjointement par deux
responsables du traitement (ou plus), le RGPD ne dé-
termine pas qui est l’autorité de contrôle chef de file.
Dans ce cas, toutes les entreprises doivent décrire de
manière transparente quelles sont leurs obligations
respectives en termes de conformité avec le RGPD
(art. 26 RGPD). Elles doivent aussi désigner un établis-
sement qui met en œuvre les décisions en matière de
traitement des données pour tous les responsables du
traitement. Cet établissement devient alors l’établis-
sement principal.
3
Cas limites
Il existe inévitablement des situations très complexes où il est
difficile de déterminer l’établissement principal. Par exemple
lorsque le responsable du traitement est établi dans plusieurs
Etats membres, qu’il n’y a pas d’administration centrale dans
l’Union européenne et qu’aucun des établissements UE ne
prend de décision sur le traitement.
L’entreprise peut alors désigner un établissement comme
établissement principal. Si elle ne le fait pas, elle ne peut
déterminer d’autorité de contrôle chef de file et une enquête
supplémentaire s’impose.
Le RGPD n’autorise pas le forum shopping. Au cas où une
entreprise prétend que son établissement principal se trouve
dans un Etat membre donné mais qu’elle n’y prend aucune
décision ou qu’il ne s’y déroule aucune activité de gestion,
les autorités de contrôle compétentes ou l’EDPB (European
Data Protection Board) détermineront, sur la base de critères
objectifs, quelle est l’autorité de contrôle chef de file.
Il appartient aux responsables du traitement et aux
sous-traitants de démontrer où ils prennent et mettent en
œuvre les décisions.
Dans certains cas, les autorités de contrôle demandent
au responsable du traitement de prouver clairement où se
trouve l’établissement principal et où il prend les décisions
concernant les activités de traitement.
Sous-traitant : déterminez l’établissement principal
Le principe du one-stop shopping vaut également pour les
sous-traitants qui sont, dès lors, soumis à une autorité de
contrôle chef de file.
L’établissement principal du sous-traitant est le lieu de
son administration centrale dans l’Union européenne ou,
s’il ne dispose pas d’une administration centrale dans
l’Union européenne, le lieu où se déroule l’essentiel des
activités de traitement.
Responsable du traitement et sous-traitant
Dans les cas qui concernent tant le responsable du traitement
que le sous-traitant, l’autorité de contrôle chef de file est celle
du responsable du traitement.
Si le sous-traitant est soumis à une autre autorité de contrôle
chef de file, cette dernière devient une « autorité de contrôle
concernée » et prend part à la procédure.
 4

Autorité de contrôle (art. 51-59 RGPD)

3. Autres questions pertinentes Traitement local

L’« autorité de contrôle concernée » Le traitement local de données n’est pas régi par les
dispositions de coopération et de cohérence du RGPD.
Selon l’article 4, 22) du RGPD, une autorité de contrôle
Les autorités de contrôle doivent avoir du respect pour
concernée est une autorité de contrôle qui est
leurs compétences mutuelles. Les traitements par les
concernée par le traitement de données à caractère
autorités publiques sont considérés comme locaux.
personnel parce que :
a) le responsable du traitement ou le sous-traitant est
Entreprises hors UE

E.R. : Hans Suijkerbuijk • Motstraat 30 • 2800 Malines

établi sur le territoire de l’État membre dont relève
cette autorité de contrôle
ou
b) les personnes concernées résidant dans l’État
membre de cette autorité de contrôle sont
sensiblement affectées par le traitement ou
sont susceptibles de l’être
Une entreprise sans établissement dans l’Union
européenne ne doit pas tenir compte du mécanisme
de coopération et de contrôle de la cohérence. Les
responsables du traitement sans établissement dans
l’Union européenne doivent traiter avec l’autorité de
contrôle locale de chaque Etat membre au sein duquel
ils sont actifs.

ou

c) une réclamation a été introduite auprès de cette

autorité de contrôle.

Au cas où l’autorité de contrôle chef de file décide de

ne pas traiter l’affaire, l’autorité de contrôle concernée
peut s’en charger.

Exemple : une entreprise de marketing avec un

établissement principal en France lance un produit
destiné uniquement à des personnes résidant au
Portugal. Dans ce cas, les autorités de contrôle
française et portugaise peuvent se mettre d’accord pour
que ce cas relève de l’autorité de contrôle portugaise.

Si les autorités de contrôle ne parviennent pas à se

mettre d’accord, elles doivent appliquer le mécanisme
de contrôle de la cohérence (voir art. 63 et suivants
RGPD).

When you have to be right