Le Quotidien du 11 mai 2023 : Données personnelles

[Brèves] Traitement transfrontalier de données personnelles : détermination de l’autorité chef de file

Réf. : CE, 9°-10° ch. réunies, 4 mai 2023, n° 464445, mentionné aux tables du recueil Lebon N° Lexbase : A87629SC

Lecture: 4 min

N5308BZM

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Traitement transfrontalier de données personnelles : détermination de l’autorité chef de file. Lire en ligne : https://www.lexbase.fr/article-juridique/95847780-breves-traitement-transfrontalier-de-donnees-personnelles-determination-de-lautorite-chef-de-file
Copier

par Vincent Téchené

le 10 Mai 2023

► Lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne (UE), l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est en principe compétente, en tant qu’autorité chef de file, pour contrôler le respect des exigences du RGPD, sous réserve du cas dans lequel l’objet de la réclamation concerne uniquement un établissement de l’État membre dont relève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet État membre uniquement. Pour la détermination de l’autorité chef de file, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Faits et procédure. Mme D. a saisi la CNIL d'une réclamation dirigée contre les sociétés du groupe Euronext et relative à des manquements qui auraient été commis, dans le traitement de données à caractère personnel la concernant par la société Irish Stock Exchange dont elle était salariée, et qui a été acquise par la société Euronext N.V, maison-mère du groupe Euronext, le 27 mars 2018. Par un courrier en date du 28 mars 2022, la présidente de la CNIL a informé la requérante de la clôture de sa plainte. Cette dernière a donc demandé au Conseil d’État l'annulation pour excès de pouvoir de cette décision.

Décision. Énonçant le principe précité, le Conseil d’État relève, en l’espèce, que le traitement des données à caractère personnel relatives à la gestion des ressources humaines des entités du groupe Euronext situées à l'étranger, incluant les opérations relatives à la requérante, a lieu dans l'Union dans le cadre d'activités d'établissements dans plusieurs États membres du groupe Euronext N.V., responsable de traitement établi dans plusieurs États membres, et présente ainsi un caractère transfrontalier. Dès lors que l'établissement du groupe Euronext situé en France, qui emploie également le responsable des ressources humaines du groupe, détermine les finalités et les moyens de ce traitement de données à caractère personnel et dispose du pouvoir de les faire appliquer dans les autres établissements qui sont utilisateurs de ce même système, et qu'il doit ainsi être regardé comme l'établissement principal du groupe Euronext pour ce qui concerne ce traitement, la CNIL est en principe compétente pour agir en tant qu'autorité chef de file concernant ce traitement transfrontalier.

Toutefois, le juge administratif relève que la réclamation introduite par Mme D. auprès de la CNIL ne porte que sur la mise en œuvre du traitement de données à caractère personnel précédemment mentionné en ce qui concerne sa situation et son activité de salariée au sein de la société Irish Stock Exchange et est insusceptible d'affecter des personnes concernées dans d'autres États membres que l'Irlande. Par suite, et par dérogation à la compétence d'autorité chef de file de la CNIL, laquelle n'a pas décidé de faire usage du pouvoir que lui reconnaît le paragraphe 3 de l'article 56 du B du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), l'autorité de contrôle irlandaise, qui a d'ailleurs été saisie parallèlement par Mme D., est seule compétente pour traiter sa réclamation, sur le fondement du paragraphe 2 du même article.

La requérante n'est donc pas fondée à soutenir qu'en clôturant sa plainte en raison de son incompétence, la CNIL a méconnu ce Règlement. Par suite, la requête de Mme D. doit être rejetée, y compris ses conclusions à fin d'injonction.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:485308

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.