Article 55 Compétence

Principe de compétence territoriale

Le paragraphe 1 de l'article 55 énonce le principe fondamental selon lequel chaque autorité de contrôle est compétente sur le territoire de son État membre. Cette compétence s'exerce dans les limites territoriales de l'État et couvre l'ensemble des missions et pouvoirs définis aux articles 57 et 58 du RGPD.

La compétence territoriale s'entend du lieu où se situe l'établissement principal ou l'établissement unique du responsable de traitement ou du sous-traitant. Pour les responsables de traitement établis hors de l'Union européenne, elle se détermine par référence au lieu où se situe leur représentant désigné conformément à l'article 27 du RGPD.

Ce principe de compétence territoriale garantit que chaque responsable de traitement dispose d'une autorité de contrôle de référence clairement identifiée, facilitant ainsi le dialogue entre les organisations et les autorités, et assurant une application uniforme du RGPD sur l'ensemble du territoire de l'Union.

Compétence pour les autorités publiques

Le paragraphe 2 de l'article 55 établit une règle spécifique pour les traitements effectués par les autorités publiques ou par des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) (obligation légale) ou point e) (mission d'intérêt public). Dans ces cas, l'autorité de contrôle de l'État membre concerné reste compétente, même si le traitement présente un caractère transfrontalier.

Cette disposition vise à tenir compte des spécificités du secteur public et à garantir que les autorités publiques demeurent soumises au contrôle de l'autorité de contrôle de leur propre État membre. Elle reflète la volonté du législateur européen de respecter les compétences nationales en matière d'organisation administrative tout en assurant l'effectivité du contrôle.

Pour ces traitements publics, le mécanisme de l'autorité chef de file prévu à l'article 56 ne s'applique pas. Chaque autorité de contrôle nationale conserve sa pleine compétence pour contrôler les autorités publiques et organismes relevant de son État membre, indépendamment du caractère transfrontalier éventuel du traitement.

Incompétence pour les traitements juridictionnels

Le paragraphe 3 de l'article 55 établit une exception importante au principe de compétence des autorités de contrôle : elles ne sont pas compétentes pour contrôler les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle. Cette exception vise à garantir l'indépendance de la justice et le principe de séparation des pouvoirs.

L'incompétence des autorités de contrôle concerne uniquement les traitements effectués par les juridictions dans l'exercice de leur fonction juridictionnelle, c'est-à-dire les traitements directement liés à l'activité de jugement. Elle ne s'étend pas aux traitements effectués par les juridictions dans le cadre de leur gestion administrative, qui demeurent soumis au contrôle de l'autorité de contrôle compétente.

Cette limitation de compétence ne signifie pas que les juridictions sont dispensées de respecter le RGPD dans leurs traitements de données personnelles. Elles demeurent soumises aux obligations du règlement, mais leur contrôle relève d'autres mécanismes, tels que les voies de recours juridictionnelles ou les organes internes de supervision de la magistrature.

Articulation avec le mécanisme de guichet unique

L'article 55 constitue le fondement du mécanisme de guichet unique organisé aux articles 56 et 60 du RGPD. Pour les traitements transfrontaliers effectués par des responsables de traitement du secteur privé, l'article 56 désigne l'autorité de contrôle de l'établissement principal comme autorité chef de file, compétente pour agir comme interlocuteur principal du responsable de traitement.

Ce mécanisme vise à simplifier les obligations de conformité pour les entreprises opérant dans plusieurs États membres, en leur permettant de traiter principalement avec une seule autorité de contrôle. Il n'exclut toutefois pas la compétence des autres autorités concernées pour intervenir dans les cas prévus par le RGPD, notamment en cas de plainte ou de besoin urgent d'action.

L'équilibre entre compétence territoriale et mécanisme de guichet unique constitue l'une des innovations majeures du RGPD, permettant de concilier l'efficacité du contrôle transfrontalier avec le respect des compétences nationales des autorités de contrôle.

Coopération entre autorités de contrôle

L'article 55 doit être lu en lien avec les dispositions du chapitre VII relatives à la coopération et à la cohérence. Lorsqu'un traitement concerne plusieurs États membres, les autorités de contrôle doivent coopérer conformément aux articles 60 à 67, garantissant ainsi une application cohérente du RGPD à travers l'Union européenne.

Cette coopération peut prendre diverses formes : échange d'informations, assistance mutuelle dans le cadre d'enquêtes, opérations conjointes, ou consultation dans le cadre du mécanisme de contrôle de la cohérence. Elle garantit que les différences d'organisation administrative entre États membres ne constituent pas un obstacle à l'effectivité de la protection des données.

Jurisprudence relative à l'article 55

La jurisprudence relative à l'article 55 du RGPD est encore en développement, l'application du règlement étant relativement récente. Toutefois, plusieurs affaires ont mis en lumière les enjeux de compétence territoriale et de coopération entre autorités de contrôle dans le traitement des dossiers transfrontaliers.

La Cour de justice de l'Union européenne a eu l'occasion de préciser, dans l'arrêt Schrems II (C-311/18), l'importance de la coopération entre autorités de contrôle pour traiter des questions affectant l'ensemble des citoyens européens. Bien que cette affaire concerne principalement les transferts internationaux de données, elle illustre la nécessité d'une approche coordonnée entre autorités nationales.

Les décisions du Comité européen de la protection des données adoptées dans le cadre du mécanisme de contrôle de la cohérence soulignent régulièrement l'importance d'une répartition claire des compétences et d'une coopération effective entre autorités pour garantir une application harmonisée du RGPD.

Recommandations de la CNIL et du CEPD

La Commission nationale de l'informatique et des libertés (CNIL) rappelle que sa compétence s'exerce sur le territoire français et concerne l'ensemble des traitements réalisés par des responsables établis en France ou par leurs représentants. Elle encourage les organisations opérant dans plusieurs États membres à identifier clairement leur autorité chef de file et à structurer leur gouvernance des données en conséquence.

Le Comité européen de la protection des données (CEPD) a adopté des lignes directrices sur l'identification de l'autorité chef de file et sur l'application du mécanisme de guichet unique. Ces lignes directrices précisent les critères de détermination de l'établissement principal et clarifient les situations dans lesquelles le mécanisme de guichet unique s'applique.

Le CEPD insiste également sur l'importance de la coopération loyale entre autorités de contrôle pour garantir l'effectivité du système européen de protection des données. Il encourage les autorités à utiliser pleinement les mécanismes de coopération prévus par le RGPD et à résoudre les éventuels désaccords par le dialogue et la consultation mutuelle.

Implications pratiques pour les responsables de traitement

Pour les responsables de traitement établis dans un seul État membre, l'article 55 désigne clairement l'autorité de contrôle compétente : celle de l'État membre d'établissement. Ces organisations doivent se conformer aux décisions et recommandations de cette autorité et peuvent solliciter son accompagnement en cas de doute sur leurs obligations.

Pour les organisations opérant dans plusieurs États membres, il est essentiel d'identifier correctement l'établissement principal au sens de l'article 4, point 16, du RGPD, afin de déterminer l'autorité chef de file compétente. Cette identification doit reposer sur une analyse objective du lieu où sont prises les principales décisions relatives aux finalités et aux moyens du traitement.

Les responsables de traitement doivent également être conscients que, même en présence d'une autorité chef de file, les autres autorités concernées conservent certaines compétences, notamment pour traiter les plaintes déposées sur leur territoire ou pour adopter des mesures provisoires en cas d'urgence. Une approche coordonnée avec l'ensemble des autorités concernées est donc recommandée.