[Brèves] Traitement transfrontalier de données personnelles : détermination de l’autorité chef de file

► Lorsqu’est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l’Union européenne (UE), l’autorité de contrôle de l’établissement principal dans l’Union du responsable de ce traitement est en principe compétente, en tant qu’autorité chef de file, pour contrôler le respect des exigences du RGPD, sous réserve du cas dans lequel l’objet de la réclamation concerne uniquement un établissement de l’État membre dont relève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet État membre uniquement. Pour la détermination de l’autorité chef de file, l’administration centrale du responsable du traitement, c’est-à-dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Faits et procédure. Mme D. a saisi la CNIL d'une réclamation dirigée contre les sociétés du groupe Euronext et relative à des manquements qui auraient été commis, dans le traitement de données à caractère personnel la concernant par la société Irish Stock Exchange dont elle était salariée, et qui a été acquise par la société Euronext N.V, maison-mère du groupe Euronext, le 27 mars 2018. Par un courrier en date du 28 mars 2022, la présidente de la CNIL a informé la requérante de la clôture de sa plainte. Cette dernière a donc demandé au Conseil d’État l'annulation pour excès de pouvoir de cette décision.

Décision. Énonçant le principe précité, le Conseil d’État relève, en l’espèce, que le traitement des données à caractère personnel relatives à la gestion des ressources humaines des entités du groupe Euronext situées à l'étranger, incluant les opérations relatives à la requérante, a lieu dans l'Union dans le cadre d'activités d'établissements dans plusieurs États membres du groupe Euronext N.V., responsable de traitement établi dans plusieurs États membres, et présente ainsi un caractère transfrontalier. Dès lors que l'établissement du groupe Euronext situé en France, qui emploie également le responsable des ressources humaines du groupe, détermine les finalités et les moyens de ce traitement de données à caractère personnel et dispose du pouvoir de les faire appliquer dans les autres établissements qui sont utilisateurs de ce même système, et qu'il doit ainsi être regardé comme l'établissement principal du groupe Euronext pour ce qui concerne ce traitement, la CNIL est en principe compétente pour agir en tant qu'autorité chef de file concernant ce traitement transfrontalier.

Toutefois, le juge administratif relève que la réclamation introduite par Mme D. auprès de la CNIL ne porte que sur la mise en œuvre du traitement de données à caractère personnel précédemment mentionné en ce qui concerne sa situation et son activité de salariée au sein de la société Irish Stock Exchange et est insusceptible d'affecter des personnes concernées dans d'autres États membres que l'Irlande. Par suite, et par dérogation à la compétence d'autorité chef de file de la CNIL, laquelle n'a pas décidé de faire usage du pouvoir que lui reconnaît le paragraphe 3 de l'article 56 du B du RGPD (Règlement (UE) n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), l'autorité de contrôle irlandaise, qui a d'ailleurs été saisie parallèlement par Mme D., est seule compétente pour traiter sa réclamation, sur le fondement du paragraphe 2 du même article.

La requérante n'est donc pas fondée à soutenir qu'en clôturant sa plainte en raison de son incompétence, la CNIL a méconnu ce Règlement. Par suite, la requête de Mme D. doit être rejetée, y compris ses conclusions à fin d'injonction.

© Reproduction interdite, sauf autorisation écrite préalable