Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc à partir du 25 mai 2018 dans toute l’Union. Dès lors, les traitements déjà mis en œuvre à cette date doivent d’ici là être mis en conformité avec les dispositions du règlement.

Un champ d’application étendu

Le critère du ciblage

Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).

En pratique, le droit européen s’applique chaque fois qu’un résident européen est directement visé par un traitement de données, y compris par Internet.

La responsabilité des sous-traitants

Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

> En savoir plus sur les obligations des sous-traitants

Un guichet unique : le « one stop shop »

Les entreprises sont désormais en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal », désignée comme l’autorité « chef de file ». Cet établissement est soit le lieu de leur siège central dans l’Union, soit l’établissement au sein duquel sont prises les décisions relatives aux finalités et aux modalités du traitement. Les entreprises bénéficient ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettent en œuvre des traitements transnationaux.

> En savoir plus sur le guichet unique

Une coopération renforcée entre autorités pour les traitements transnationaux

Toutefois, dès lors qu’un traitement est transfrontalier – donc qu’il concerne les citoyens de plusieurs États membres –, les autorités de protection des données des différents États concernées sont juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre.

Afin d’assurer une réponse unique pour l’ensemble du territoire de l’Union, l’autorité « chef de file » coopére avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions sont adoptées conjointement par l’ensemble des autorités concernées, notamment en termes de sanctions.

Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données. Il remplace l’ancien G29.

En pratique, l’autorité « chef de file » propose les mesures ou décisions (constatant la conformité d’un traitement ou proposant une sanction, par exemple). Les autorités européennes concernées par le traitement disposent alors d’un délai de quatre semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas suivie, la question est portée devant le CEPD qui rend alors un avis. Cet avis est contraignant et doit donc être suivi par l’autorité « chef de file ».

Que le CEPD soit ou non saisi, l’autorité « chef de file » porte la décision ainsi partagée par ses homologues. Il y a donc une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file ».

Par exemple, dans le cas d’une entreprise dont l’établissement principal est en France, la CNIL est le guichet unique de cette entreprise et lui notifie les décisions adoptées dans le cadre de ce mécanisme de cohérence. Ses décisions sont ensuite, si elles sont défavorables, susceptibles de recours devant le Conseil d’État.

Ce mécanisme permet ainsi aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union.