Blog Cyberjustice - RGPD : l’échec du guichet unique européen

Le RGPD instaure un mécanisme de guichet unique européen donnant compétence à une autorité de contrôle d’un État membre qui sera cheffe de file, c’est-à-dire qui dirigera les procédures notamment d’enquête et de sanction. Ce mécanisme fait l’objet de critiques, car certaines autorités de contrôle, cheffes de file, sont soupçonnées de volontairement ralentir le processus de décision. C’est le cas de l’autorité de contrôle irlandaise qui est accusée notamment par l’autorité de contrôle allemande d’inaction. Ce type de carence peut avoir des conséquences sur la protection des droits fondamentaux de tous les habitants de l’UE.

Un Mécanisme juridique visant à faciliter le dialogue avec les autorités de contrôle

Le mécanisme de guichet unique européen est instauré par les articles 56 et 60 du RGPD. Ce mécanisme a vocation à s’appliquer uniquement lors de situations de traitement transfrontalier de données. C’est-à-dire, que soit le traitement de données a lieu dans le cadre de plusieurs établissements éparpillés dans plusieurs États membres, soit le traitement a lieu dans un établissement unique du responsable de traitement, mais il affecte ou est susceptible d’affecter des données de personnes venant d’États membres différents.

Le mécanisme de guichet unique est ouvert à toutes les entreprises établies dans l’UE et permet de créer un interlocuteur unique pour le responsable de traitement. Cet interlocuteur rendra une seule décision qui sera valable dans l’ensemble de l’UE. Selon l’article 56, cet interlocuteur unique est l’autorité de contrôle de l’établissement principal ou de l’établissement unique de l’entreprise. Donc si une société est implantée dans plusieurs États membres, mais que son établissement principal est en France, ce sera la CNIL Française qui sera compétente pour agir en tant qu’autorité de contrôle cheffe de file.

Lorsque l’autorité de contrôle cheffe de file souhaite prendre une décision notamment une sanction à l’encontre d’un responsable de traitement, il doit suivre la procédure prévue à l’article 60 du RGPD. La procédure se déroule comme suit :

L’autorité cheffe de file enquête et présente un projet de décision aux autorités de contrôles des autres états membres concernés ;
les autorités de contrôles des autres États membres présentent leurs observations à l’autorité cheffe de file qui doit prendre en compte leur point de vue ;
si une autorité de contrôle présente une objection au projet de décision,
- soit l’autorité cheffe de file décide de suivre l’objection, elle présente alors un projet de décision révisé aux autres autorités de contrôles ;
- à l’inverse si l’autorité de contrôle cheffe de file ne veut pas suivre l’objection elle la soumet à un mécanisme de contrôle de cohérence en saisissant le comité européen de protection des données qui tranchera et prendra une décision qui s’imposera à l’autorité cheffe de file ;
une fois arrivé à un consensus, une décision est adoptée et communiquée au responsable de traitement concerné.

Un mécanisme clé sujet à déviances

La bonne conduite de cette procédure est fortement dépendante du bon vouloir de l’autorité cheffe de file. La lenteur et l’inertie de cette autorité se répercuteront sur toute la procédure. C’est ce qui est reproché à l’autorité de contrôle irlandaise, qui est accusée par de nombreux acteurs dont l’autorité de contrôle allemande d’inertie dans ses procédures à cause de traitement de dossiers plus long que les autres autorités de contrôles et du très faible nombre de sanctions prononcées.

Ces carences de l’autorité de contrôle irlandaise sont problématiques, car un grand nombre de géants du numérique ont leur établissement européen principal situé en Irlande, c’est notamment le cas de Facebook (méta), Microsoft ou encore Apple. La concentration de ces très grandes entreprises en Irlande met en exergue l’échec du mécanisme de guichet unique, car de par leur taille, les carences en terme de protection des données personnelles peuvent avoir des conséquences très importantes pour les utilisateurs, donc l’absence d’autorité de contrôle capable de réguler correctement les comportements de ces entreprises n’assure pas la bonne application de la réglementation relative à la protection des données et donc une protection des personnes vivant dans toute l’Union européenne.

Hugo Berviller

Sources :

L	M	M	J	V	S	D
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

A propos de COMED 2021/2022

N'hésitez pas à partager cet article ! Partager ce contenu

Vous devriez également aimer

Le RGPD une norme mondiale ?

Google et Facebook engagés dans la lutte contre le Covid – 19

﻿L’analyse des réactions émotionnelles par les caméras des studios Disney, quelle protection des données personnelles?

Partager ce contenu

L’analyse des réactions émotionnelles par les caméras des studios Disney, quelle protection des données personnelles?