Que se passe-t-il si mon entreprise traite des données dans différents États membres de l’UE?

Réponse

Le règlement général sur la protection des données (RGPD) est un ensemble de règles destinées à protéger les données dans tous les États membres de l’UE. Il évite à votre entreprise/organisation de devoir analyser et comprendre différentes législations. Dans certains domaines, les États membres de l’UE peuvent ajouter des précisions quant à l’application des règles du RGPD (par exemple les règles en matière d’emploi; les règles concernant le secteur de la santé publique; les règles sur le rapprochement entre la liberté d’expression et la protection des données). Le RGPD introduit également le mécanisme du guichet unique, qui assure la coopération entre les autorités de protection des données (APD) en cas de traitement transfrontalier.

Si votre entreprise/organisation traite des données dans différents pays, l’APD compétente — qui agira en tant qu’autorité chef de file par rapport aux autres APD concernées dans l’UE — est l’APD du États membres de l’UE où se trouve l'établissement principal. Il s’agit de l'administration centrale de votre entreprise/organisation dans l’UE, sauf si les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel sont prises dans un autre établissement et que cet établissement a le pouvoir de faire appliquer ces décisions.

Si votre entreprise/organisation traite des données afin de respecter une obligation légale nationale d'un État membre de l'UE, seule l’APD de cet État membre de l’UE est compétente.

Exemple

L’établissement principal d’une entreprise textile (c’est-à-dire son siège) se trouve en Italie. Elle dispose de branches dans les pays voisins, tels que Malte, la Grèce, la France et l’Autriche. Dans ces pays voisins, ses branches mettent en place des bases de données qui traitent les données à caractère personnel des clients à des fins de prospection. Toutefois, les décisions relatives à la manière, au moment et à la raison de contacter ces clients sont prises au siège, en Italie. Ainsi, dans ce cas, la décision portant sur le traitement des données à caractère personnel à des fins de prospection est réputée prise en Italie. L’APD italienne est l’autorité chef de file pour votre entreprise/organisation.

Références

• Lignes directrices sur l’autorité de contrôle chef de file et leurs annexes
• Articles 4(23), 55, 56, 60-70; Considérants 124-140

A textile company’s main establishment (that is to say its headquarters) is in Italy. It has satellite shops in neighbouring countries such as Malta, Greece, France and Austria. In those neighbouring countries, its satellite shops set up databases which process customers’ personal data for marketing purposes. However, the decisions on ‘how’ to contact the said customers, ‘when’ and ‘why’ are taken at the headquarters in Italy. Thus, in this case, the decision on the processing of personal data for marketing purposes is deemed to be made in Italy. The Italian DPA is the lead authority for your company/organisation.

• EDPB Guidelines on the Lead Supervisory Authority and its annex
• Article 4(23), Articles 55, 56 and Articles 60 to70 and Recitals (124) (140) of the GDPR