Foire aux questions

Qu’est-ce qu’un guichet unique dans le cadre de la RGPD ?

Faq RGPD Qu’est-ce qu’un guichet unique dans le cadre de la RGPD ?
17-02-2022
  • Partager :

Qu’est-ce qu’un guichet unique dans le cadre de la RGPD ?

Les entreprises sont désormais en contact avec le « guichet unique », l'autorité de protection des données de l'État membre où se trouve son "autorité principale", est désigné comme autorité « chef de file ». Cet organisme est le siège central dans l'Union européenne ou l'organisme qui prend les décisions concernant les finalités et les modalités du traitement. Les entreprises bénéficient ainsi d'un point de contact unique dans l'UE en matière de protection des données personnelles lors du traitement transfrontalier.

Le « One Stop Shop » est une nouvelle procédure introduite par le Règlement Général sur la Protection des Données (RGPD). Son objectif est d'harmoniser les décisions des autorités de protection des données concernant les traitements transfrontaliers au niveau européen. Ces autorités doivent dorénavant concilier leurs décisions.

Le Guichet Unique n’examine que les traitements transfrontaliers tels que définis à l'article 4.23 du RGPD.

C'est-à-dire :

  • Les traitements de données effectués par des sociétés établies dans plusieurs pays européens (c'est-à-dire dans l'Union européenne, au Liechtenstein, en Islande ou en Norvège)
  • Les traitements de données par une entreprise établie dans un seul pays, mais ayant un impact significatif sur des personnes d'au moins un autre État membre.

Le mécanisme du guichet unique est fermé aux entreprises établies en dehors de l'UE, même si leurs traitements de données impliquent des personnes résidant dans plusieurs États membres.

a. pourquoi un guichet unique ?

Avant l'entrée en vigueur du règlement, les sociétés établies dans plusieurs États membres de l'Union européenne (UE) devaient contacter chaque autorité compétente de chaque État membre dans lequel elles étaient établies. Chacune de ces autorités de protection des données décidait individuellement. Ces procédures étaient lourdes et chronophages pour les entreprises concernées, et la multiplication des interlocuteurs ne garantissaient pas une application uniforme des règles européennes.

Pour répondre à ces difficultés, le RGPD a mis en place un mécanisme de « guichet unique » basé sur les trois principes suivants :

  • Les mécanismes ouverts uniquement aux entreprises établies dans l'UE : Lorsqu'une entreprise met en œuvre un traitement de données « transfrontalier », elle bénéficie de mécanismes de contrôle simplifiés. Cela ne s'applique pas aux sociétés établies uniquement en dehors de l'UE.
  • Un interlocuteur unique pour le responsable de ce traitement : il s'agit de l'autorité « chef de file », c'est-à-dire l'autorité de protection des données du pays dans lequel l'entreprise est principalement implantée.
  • Diverses obligations prévues par le RGPD doivent être remplies par cette seule autorité. Il est également chargé de coordonner la prise de décision avec les autres autorités de protection des données impliquées dans le traitement transfrontalier.
  • Une décision unique valable dans toute l'UE : toute décision de l'agence chef de file est prise après consultation de toutes les autorités compétentes en matière de protection des données. A ce titre, il proposera une interprétation commune par les autorités européennes pour le traitement transfrontalier des décisions.

Le guichet unique simplifie ainsi les démarches pour les entreprises concernées sans affecter les personnes concernées : leur autorité nationale de protection des données reste leur unique interlocuteur. Ainsi, les personnes résidant en France peuvent continuer à introduire leurs réclamations auprès de la CNIL, même si cette dernière n'est pas le chef de file du traitement.

b. un guichet unique, comment ça marche ?

Lorsque l'agence chef de file prévoit de prendre une décision sur un traitement transfrontalier (comme des sanctions), elle doit être responsable de la coordination de la décision avec d'autres agences liées au traitement :

  • Soit parce qu'ils ont créé une entreprise sur leur propre territoire,
  • Soit parce que la personne concernée par le traitement réside sur le territoire de leur Etat

Par conséquent, l'autorité principale de protection des données doit :

  • Préparer des projets de décisions ;
  • Soumettre ce projet aux autres autorités compétentes en matière de protection des données ;
  • Recueillir et examiner leurs avis dans le but de parvenir rapidement à une décision concertée entre les autorités ;
  • En cas de désaccord avec la décision à prendre, réviser le projet de décision et soumettre un nouveau projet de décision aux autorités compétentes ;
  • En cas de refus de modifier ce projet ou en cas de désaccord persistant avec les autorités compétentes, veuillez saisir la Commission européenne de protection des données pour décision : la Commission, qui réunit toutes les autorités de protection des données de l'UE, doit alors prendre une décision contraignante sur l'agence chef de file ;
  • Informer l'entreprise concernée de la décision finale.

Toutes ces étapes sont contenues dans des délais courts et stricts afin de permettre une prise de décision rapide. Cependant, la mise en place du guichet unique a suspendu le délai de la procédure nationale.

c. quelles sont les conséquences pour les professionnels ?

Pour toute organisation qui peut bénéficier d'un guichet unique, il est essentiel de déterminer son autorité de direction.

Au sens de l'article 4.16 du RGPD, l'agence chef de file au regard du traitement transfrontalier est l'agence compétente du pays dans lequel est située « l'agence principale » , le responsable du traitement ou le sous-traitant ou son organe unique si l'organisation n'est pas établie dans plus d'un État membre.

Si la CNIL est chef de file :

Toutes les procédures liées au traitement transfrontalier sont effectuées par elle.

Pour les responsables de traitement relevant du guichet unique, toute procédure (désignation d'un DPO, transmission d'une Data Protection Impact Assessment (DPIA), notification de violation de données, etc.) doit être soumise à l'agence chef de file.

Il prend toutes les décisions concernant le traitement transfrontalier.

Que l'échange ait été initié par l'entreprise (saisine de projets de clauses contractuelles provisoires, demandes de certification, etc.) ou par l'autorité de protection des données (à titre de contrôle ou par exemple, à réception d'une plainte individuelle), une décision sera prise par l'agence chef de file.

En conséquence, ces décisions feront l'objet d'un recours devant les juridictions des États membres des principales autorités de protection des données.

Elle est également l'interlocuteur unique des sous-traitants.

Les sous-traitants peuvent également bénéficier d'un interlocuteur unique pour leurs démarches et décisions concernant leurs propres obligations ou responsabilités.

Toutefois, si la décision concerne également le responsable du traitement transfrontalier, l'agence chef de file sera le responsable du traitement. Ensuite, l'agence chef de file du sous-traitant constitue l'agence compétente et participe ainsi à la prise de décision pertinente.

d. quelles sont les conséquences pour les particuliers ?

Pour les acteurs impliqués dans un traitement transfrontalier, les conséquences sont minimes : la CNIL reste le seul interlocuteur sur le territoire français.

Le mécanisme de guichet unique est un moyen d'organiser le travail du régulateur sans affecter directement les individus. Les personnes concernées peuvent continuer à contacter leur autorité de protection des données, qui sera impliquée dans le traitement de leur réclamation, même s'il n'est pas le chef de file de ce traitement.

Une fois que l'autorité de protection des données reçoit une plainte, elle a le droit de participer à la prise de décision même si elle n'est pas l'autorité chef de file. Une fois qu'une plainte est reçue, elle doit être communiquée à l'autorité principale afin que la plainte puisse être traitée ensemble.

Dans certains cas, l'autorité de protection des données qui reçoit la plainte peut même traiter la plainte individuellement, à condition que certains critères soient remplis et que l'autorité chef de file ait donné son accord préalable.

L'autorité de contrôle nationale doit notifier au plaignant la décision contre le responsable du traitement et lui notifier toute décision de clôture ou de rejet de la plainte.