Questions les plus fréquemment posées - Traitements transfrontaliers

Si le traitement présente un caractère transfrontalier au sens de l'article 4, 23) du RGPD, le contrôle sera organisé par l'autorité de contrôle chef de file ("lead DPA" pour "lead Data Protection Authority"). La compétence de la lead DPA se base sur le concept de l'établissement du responsable du traitement et/ou du sous-traitant.

Si le responsable du traitement ou le sous-traitant est uniquement établi dans un seul État membre (mais que le traitement a un impact sur des individus dans plusieurs États membres), il est clair que l'État membre de l'établissement unique fournira la lead DPA.

Lorsqu'un responsable du traitement ou un sous-traitant est établi dans plusieurs États membres, la lead DPA sera celle de l'administration centrale dans l'Union européenne, à moins que les décisions quant aux finalités et aux moyens du traitement soient prises dans un autre établissement.

Pour un sous-traitant, la lead DPA sera celle de l'administration centrale dans l'Union européenne, ou (s'il n'y a pas d'administration centrale) celle de l'endroit où les traitements ont principalement lieu.

Si des décisions sont par exemple prises en France concernant les finalités et les moyens du traitement, l'établissement français sera le responsable du traitement. Évidemment, seule une personne morale pourra être poursuivie devant les tribunaux et la société belge pourrait être poursuivie pour de potentielles violations causées par la société mère française.