2.

< Avis du Conseil d'État >

Au plan européen, le système créé n’a pas de précédent ; il est différent de celui d’un modèle intégré où les autorités nationales exercent en commun une compétence de l’Union que le principe de subsidiarité délègue à leur niveau sans que l’Union se dépouille d’une compétence propre (comme dans le domaine de la concurrence). Il est également différent d’un système de coopération souple entre autorités, dans lequel les compétences nationales ne peuvent être articulées en dernière analyse que grâce au juge européen (comme dans la régulation des réseaux). Pour la protection des données personnelles, les autorités nationales voient en effet désormais leur compétence matérielle et territoriale clarifiée et l’exercice de leurs pouvoirs articulé. Une autorité peut intervenir dans deux circonstances : soit le responsable du traitement est établi sur son territoire national (tout traitement opéré à destination du territoire européen, quelles que soient ses conditions matérielles de fonctionnement, doit conduire son auteur à désigner un responsable, au sens du droit de l’Union, du traitement), soit la personne que le traitement concerne est sur son territoire. En outre, le règlement permet de trancher les conflits de compétence. Une seule autorité peut être qualifiée de chef de file pour l’exercice du contrôle sur un traitement : en principe celle sur le territoire de laquelle le responsable est établi ; les autres, dites autorités concernées, peuvent toujours intervenir, mais en respectant les prérogatives de la première. En cas de désaccord entre autorités, un comité les réunissant tranche les différends, selon des règles de majorité qualifiée qui s’assouplissent avec le temps en cas d’impossibilité de les réunir.

< Avis du Conseil d'État >