Les entreprises sont désormais en contact avec le « guichet unique », l'autorité de protection des données de l'État membre où se trouve son "autorité principale", est désigné comme autorité « chef de file ». Cet organisme est le siège central dans l'Union européenne ou l'organisme qui prend les décisions concernant les finalités et les modalités du traitement. Les entreprises bénéficient ainsi d'un point de contact unique dans l'UE en matière de protection des données personnelles lors du traitement transfrontalier.
Le « One Stop Shop » est une nouvelle procédure introduite par le Règlement Général sur la Protection des Données (RGPD). Son objectif est d'harmoniser les décisions des autorités de protection des données concernant les traitements transfrontaliers au niveau européen. Ces autorités doivent dorénavant concilier leurs décisions.
Le Guichet Unique n’examine que les traitements transfrontaliers tels que définis à l'article 4.23 du RGPD.
C'est-à-dire :
Le mécanisme du guichet unique est fermé aux entreprises établies en dehors de l'UE, même si leurs traitements de données impliquent des personnes résidant dans plusieurs États membres.
a. pourquoi un guichet unique ?
Avant l'entrée en vigueur du règlement, les sociétés établies dans plusieurs États membres de l'Union européenne (UE) devaient contacter chaque autorité compétente de chaque État membre dans lequel elles étaient établies. Chacune de ces autorités de protection des données décidait individuellement. Ces procédures étaient lourdes et chronophages pour les entreprises concernées, et la multiplication des interlocuteurs ne garantissaient pas une application uniforme des règles européennes.
Pour répondre à ces difficultés, le RGPD a mis en place un mécanisme de « guichet unique » basé sur les trois principes suivants :
Le guichet unique simplifie ainsi les démarches pour les entreprises concernées sans affecter les personnes concernées : leur autorité nationale de protection des données reste leur unique interlocuteur. Ainsi, les personnes résidant en France peuvent continuer à introduire leurs réclamations auprès de la CNIL, même si cette dernière n'est pas le chef de file du traitement.
b. un guichet unique, comment ça marche ?
Lorsque l'agence chef de file prévoit de prendre une décision sur un traitement transfrontalier (comme des sanctions), elle doit être responsable de la coordination de la décision avec d'autres agences liées au traitement :
Par conséquent, l'autorité principale de protection des données doit :
Toutes ces étapes sont contenues dans des délais courts et stricts afin de permettre une prise de décision rapide. Cependant, la mise en place du guichet unique a suspendu le délai de la procédure nationale.
c. quelles sont les conséquences pour les professionnels ?
Pour toute organisation qui peut bénéficier d'un guichet unique, il est essentiel de déterminer son autorité de direction.
Au sens de l'article 4.16 du RGPD, l'agence chef de file au regard du traitement transfrontalier est l'agence compétente du pays dans lequel est située « l'agence principale » , le responsable du traitement ou le sous-traitant ou son organe unique si l'organisation n'est pas établie dans plus d'un État membre.
Si la CNIL est chef de file :
Toutes les procédures liées au traitement transfrontalier sont effectuées par elle.
Pour les responsables de traitement relevant du guichet unique, toute procédure (désignation d'un DPO, transmission d'une Data Protection Impact Assessment (DPIA), notification de violation de données, etc.) doit être soumise à l'agence chef de file.
Il prend toutes les décisions concernant le traitement transfrontalier.
Que l'échange ait été initié par l'entreprise (saisine de projets de clauses contractuelles provisoires, demandes de certification, etc.) ou par l'autorité de protection des données (à titre de contrôle ou par exemple, à réception d'une plainte individuelle), une décision sera prise par l'agence chef de file.
En conséquence, ces décisions feront l'objet d'un recours devant les juridictions des États membres des principales autorités de protection des données.
Elle est également l'interlocuteur unique des sous-traitants.
Les sous-traitants peuvent également bénéficier d'un interlocuteur unique pour leurs démarches et décisions concernant leurs propres obligations ou responsabilités.
Toutefois, si la décision concerne également le responsable du traitement transfrontalier, l'agence chef de file sera le responsable du traitement. Ensuite, l'agence chef de file du sous-traitant constitue l'agence compétente et participe ainsi à la prise de décision pertinente.
d. quelles sont les conséquences pour les particuliers ?
Pour les acteurs impliqués dans un traitement transfrontalier, les conséquences sont minimes : la CNIL reste le seul interlocuteur sur le territoire français.
Le mécanisme de guichet unique est un moyen d'organiser le travail du régulateur sans affecter directement les individus. Les personnes concernées peuvent continuer à contacter leur autorité de protection des données, qui sera impliquée dans le traitement de leur réclamation, même s'il n'est pas le chef de file de ce traitement.
Une fois que l'autorité de protection des données reçoit une plainte, elle a le droit de participer à la prise de décision même si elle n'est pas l'autorité chef de file. Une fois qu'une plainte est reçue, elle doit être communiquée à l'autorité principale afin que la plainte puisse être traitée ensemble.
Dans certains cas, l'autorité de protection des données qui reçoit la plainte peut même traiter la plainte individuellement, à condition que certains critères soient remplis et que l'autorité chef de file ait donné son accord préalable.
L'autorité de contrôle nationale doit notifier au plaignant la décision contre le responsable du traitement et lui notifier toute décision de clôture ou de rejet de la plainte.