b

Un mécanisme de décision conjointe des autorités de contrôle des États membres

< Rapport d'information >

Lorsqu’un traitement est transnational, le règlement a mis en place un mécanisme de décision conjointe des autorités de contrôle des États membres afin d’assurer une réponse unique sur l’ensemble du territoire européen et éviter ainsi la recherche des tribunaux les plus favorables ( « forum shopping »).

En pratique, l’autorité « chef de file » propose les mesures ou décisions (constatant la conformité d’un traitement ou proposant une sanction, par exemple). Les autorités européennes concernées par le traitement disposent alors d’un délai de quatre semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas retenue, la question est portée devant le comité européen de protection des données (CEPD) qui rend alors un avis. Cet avis est contraignant et doit donc être suivi par l’autorité « chef de file ». L’autorité « chef de file » portera la décision ainsi partagée par ses homologues que le Comité européen de la protection des données soit ou non saisi. Il y aura donc une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file ».

Ce mécanisme permet ainsi aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union européenne.

La France, fortement soutenue par l’Allemagne ( 85 ), a souhaité ce mécanisme de guichet unique et de coopération entre les autorités de contrôle car cette organisation garantit :

– dans les cas transnationaux, que les personnes concernées conservent une proximité avec leur autorité de protection des données et leurs juridictions nationales, et que leur autorité de protection des données soit associée à la décision prise par l’autorité « chef de file » ;

– une prise de décision collective et mise en œuvre de façon uniforme sur le territoire européen, en associant toutes les autorités de protection des données concernées et en conférant au Comité Européen, doté de la personnalité juridique, le pouvoir d’adopter des décisions contraignantes pour régler les différends éventuels entre autorités de contrôle nationales. Ce Comité assurera l’uniformité et la cohérence de la jurisprudence et de la mise en œuvre du règlement dans l’Union européenne.

< Rapport d'information >