Réponse

Le règlement général sur la protection des données (RGPD) est un ensemble de règles destinées à protéger les données dans tous les États membres de l’UE. Il évite à votre entreprise/organisation de devoir analyser et comprendre différentes législations. Dans certains domaines, les États membres de l’UE peuvent ajouter des précisions quant à l’application des règles du RGPD (par exemple les règles en matière d’emploi; les règles concernant le secteur de la santé publique; les règles sur le rapprochement entre la liberté d’expression et la protection des données). Le RGPD introduit également le mécanisme du guichet unique, qui assure la coopération entre les autorités de protection des données (APD) en cas de traitement transfrontalier.

Si votre entreprise/organisation traite des données dans différents pays, l’APD compétente — qui agira en tant qu’autorité chef de file par rapport aux autres APD concernées dans l’UE — est l’APD du États membres de l’UE où se trouve l'établissement principal. Il s’agit de l'administration centrale de votre entreprise/organisation dans l’UE, sauf si les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel sont prises dans un autre établissement et que cet établissement a le pouvoir de faire appliquer ces décisions.

Si votre entreprise/organisation traite des données afin de respecter une obligation légale nationale d'un État membre de l'UE, seule l’APD de cet État membre de l’UE est compétente.

Exemple

L’établissement principal d’une entreprise textile (c’est-à-dire son siège) se trouve en Italie. Elle dispose de branches dans les pays voisins, tels que Malte, la Grèce, la France et l’Autriche. Dans ces pays voisins, ses branches mettent en place des bases de données qui traitent les données à caractère personnel des clients à des fins de prospection. Toutefois, les décisions relatives à la manière, au moment et à la raison de contacter ces clients sont prises au siège, en Italie. Ainsi, dans ce cas, la décision portant sur le traitement des données à caractère personnel à des fins de prospection est réputée prise en Italie. L’APD italienne est l’autorité chef de file pour votre entreprise/organisation.

Références