Article 56 RGPD : l'autorité chef de file décryptée

L’article 56 du RGPD est l’un des textes les plus mal compris du règlement, et probablement le plus stratégique pour toute entreprise opérant dans plusieurs États membres. C’est lui qui institue le « guichet unique », ce mécanisme par lequel une seule autorité de contrôle européenne — l’autorité chef de file — est compétente pour superviser un traitement transfrontalier. C’est aussi le texte qui sous-tend les grandes décisions de la dernière décennie : la condamnation de Meta à 1,2 milliard d’euros par la DPC irlandaise en mai 2023, l’amende de 345 millions d’euros à TikTok en septembre 2023, ou les 225 millions d’euros prononcés contre WhatsApp en septembre 2021. Quand on demande à un dirigeant de filiale française d’un groupe américain pourquoi ce n’est pas la CNIL qui sanctionne directement, c’est l’article 56 qu’il faut lui expliquer. Voici son analyse paragraphe par paragraphe et la manière dont il s’articule avec les autorités concernées, le CEPD et la stratégie contentieuse des grandes plateformes.

Ce que dit l’article 56 du RGPD

L’Art. 56, intitulé « Compétence de l’autorité de contrôle chef de file », pose le principe du guichet unique applicable aux traitements transfrontaliers. Il faut le lire en miroir de trois autres dispositions structurantes : l’article 4 RGPD qui définit aux points (16) et (23) les notions d’établissement principal et de traitement transfrontalier, l’article 60 RGPD qui décrit la procédure de coopération entre l’autorité chef de file et les autorités concernées, et les articles 63 à 65 RGPD sur le mécanisme de cohérence et la résolution des litiges par le Comité européen de la protection des données (CEPD).

La logique du texte est la suivante : pour un même groupe opérant dans plusieurs États membres, le RGPD veut éviter qu’une multiplicité d’autorités nationales conduisent des enquêtes parallèles incohérentes sur le même traitement. Une seule autorité, celle de l’établissement principal, est donc désignée comme « chef de file ». Elle pilote l’enquête, mais ne tranche pas seule : elle doit, à chaque étape, associer les autorités des autres États membres où le traitement produit des effets, qualifiées d’« autorités concernées » au sens de l’article 4(22).

Le considérant 124 résume bien l’esprit du texte : « Lorsque le traitement de données à caractère personnel a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant dans l’Union et que le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres, ou que le traitement qui a lieu dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant dans l’Union affecte sensiblement, ou est susceptible d’affecter sensiblement, des personnes concernées dans plusieurs États membres, l’autorité de contrôle de l’établissement principal du responsable du traitement ou du sous-traitant ou de l’établissement unique du responsable du traitement ou du sous-traitant devrait jouer le rôle d’autorité chef de file. »

C’est sur ce considérant et sur l’article 56 qu’a été bâtie toute la pratique du guichet unique depuis 2018 — avec des frictions structurantes que je décris plus bas.

Art. 56(1) : la compétence générale de l’autorité chef de file

Le paragraphe 1 pose la règle de principe : « Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60. »

Deux notions doivent être maîtrisées pour mobiliser ce texte : le traitement transfrontalier et l’établissement principal.

Le traitement transfrontalier est défini à l’article 4(23) selon deux branches alternatives. Il y a traitement transfrontalier soit lorsque le traitement est mis en œuvre dans le cadre des activités d’établissements situés dans plusieurs États membres (Art. 4(23)(a)), soit lorsqu’il est mis en œuvre dans un seul établissement mais affecte sensiblement des personnes dans plusieurs États membres (Art. 4(23)(b)). La seconde branche est cruciale : un site français peut être en situation de « traitement transfrontalier » sans avoir aucun établissement à l’étranger, dès lors que son audience couvre plusieurs marchés européens. Les Lignes directrices du CEPD WP 244 rev.01 du 5 avril 2017 (endossées par le CEPD en 2018) donnent un faisceau d’indices pour caractériser l’« effet sensible » : nombre de personnes affectées, étendue géographique, nature des données, impact sur les droits et libertés.

L’établissement principal est défini à l’article 4(16) RGPD. Pour un responsable du traitement, il s’agit du lieu de son administration centrale dans l’Union, sauf si les décisions concernant les finalités et les moyens du traitement sont prises dans un autre établissement situé dans l’Union et que ce dernier a le pouvoir de les faire appliquer — auquel cas c’est cet autre établissement qui est considéré comme établissement principal. Pour un sous-traitant, c’est le lieu de l’administration centrale ou, à défaut, le lieu où sont effectuées les principales activités de traitement. Cette définition fait l’objet d’une interprétation matérielle, pas seulement formelle : la CJUE l’a confirmé dans l’arrêt C-230/14 Weltimmo du 1er octobre 2015 (rendu sous l’empire de la directive 95/46/CE mais transposable) et dans C-191/15 Verein für Konsumenteninformation du 28 juillet 2016, qui imposent de regarder où sont effectivement prises les décisions stratégiques.

C’est précisément ce critère qui explique pourquoi tant de grandes plateformes américaines (Meta, Google, Apple, Microsoft, TikTok, X) ont leur établissement principal en Irlande ou au Luxembourg : ces juridictions ont structuré leur cadre fiscal et juridique pour attirer les sièges sociaux européens des géants du numérique, ce qui a pour conséquence directe de désigner la DPC irlandaise (Data Protection Commission) ou la CNPD luxembourgeoise comme autorité chef de file pour leurs traitements.

Art. 56(2) à 56(5) : l’exception locale et la procédure d’arbitrage

Les paragraphes 2 à 5 organisent l’exception au principe du guichet unique. Le législateur européen a voulu éviter qu’une autorité chef de file devienne un « péage obligatoire » bloquant les plaintes locales : il a donc prévu un mécanisme par lequel l’autorité saisie d’une réclamation peut, dans certains cas, traiter l’affaire elle-même.

Art. 56(2) dispose que « par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si l’objet de la réclamation concerne uniquement un établissement dans son État membre ou affecte sensiblement des personnes concernées dans son seul État membre. » Deux conditions cumulatives, donc, et soit l’une soit l’autre : la réclamation doit viser un établissement situé uniquement dans l’État membre de l’autorité saisie, ou affecter sensiblement des personnes uniquement sur ce territoire. Si la réclamation a un impact transfrontalier, l’exception ne joue pas.

Art. 56(3) organise la procédure d’information : « L’autorité de contrôle visée au paragraphe 2 du présent article informe sans tarder l’autorité de contrôle chef de file. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée. » Trois semaines, donc, pour que l’autorité chef de file décide de se saisir ou de laisser faire. En pratique, ce délai est rarement respecté dans les dossiers complexes — d’où la critique structurelle adressée à la DPC irlandaise sur la lenteur des arbitrages.

Art. 56(4) précise les conséquences de la prise en main par l’autorité chef de file : « Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut soumettre à cette dernière un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle prépare le projet de décision visé à l’article 60, paragraphe 3. » Le « projet de décision » de l’autorité saisie n’est donc pas un avis purement consultatif : il doit être pris « en plus grand compte ». Cette formulation a donné lieu à de nombreuses disputes interprétatives.

Art. 56(5) prévoit l’hypothèse inverse : « Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée traite le cas conformément aux articles 61 et 62. » Les articles 61 (assistance mutuelle) et 62 (opérations conjointes) deviennent alors le cadre de l’enquête, qui reste pilotée par l’autorité locale mais avec des obligations de coopération renforcées.

C’est cette mécanique de bascule entre Art. 56(1), 56(2)-56(4) et 56(5) qui structure la quasi-totalité des grands contentieux du guichet unique depuis 2018.

Art. 56(6) : le single point of contact pour le responsable

Le paragraphe 6 dispose que « l’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. » Ce principe du « single point of contact » a une conséquence pratique majeure : un groupe européen qui veut soumettre une analyse d’impact (article 35 RGPD), demander une consultation préalable (article 36 RGPD) ou notifier une violation (article 33 RGPD) pour un traitement transfrontalier le fait auprès d’une seule autorité, celle qui est chef de file, et non auprès des vingt-sept autorités nationales des États membres concernés.

C’est un gain administratif considérable, mais qui repose sur une condition préalable : avoir correctement identifié et, idéalement, fait reconnaître son établissement principal. C’est pour cela que je recommande systématiquement aux groupes pluri-européens de documenter formellement leur établissement principal, par exemple via une délibération du conseil d’administration constatant le lieu de prise des décisions sur les traitements, complétée d’un mandat clair conféré au DPO groupe au sens de l’article 37(2) RGPD. Cette documentation peut être versée à la procédure en cas de contestation par une autorité nationale qui estimerait que l’établissement principal est ailleurs.

La jurisprudence structurante du guichet unique

Le mécanisme institué à l’article 56 a fait l’objet, en moins de cinq ans, de plusieurs décisions structurantes de la CJUE et de décisions contraignantes du CEPD qui en ont précisé la portée.

CJUE C-645/19 Facebook Ireland Limited et autres c/ Gegevensbeschermingsautoriteit du 15 juin 2021. L’arrêt, dit « Belgique vs Facebook », a précisé que l’autorité d’un État membre conservait, dans certaines hypothèses, un pouvoir d’agir en justice contre un responsable établi dans un autre État membre. La Cour a notamment validé que l’autorité belge puisse engager une action devant ses propres juridictions à l’encontre de Facebook Ireland alors même que l’autorité chef de file était la DPC irlandaise. La condition était que l’autorité belge respecte les procédures de coopération de l’article 60, notamment l’information préalable de la chef de file. Cet arrêt a marqué la fin de l’illusion que le guichet unique faisait des autorités nationales de simples spectatrices.

CJUE C-757/22 Meta Platforms Ireland Limited c/ Bundesverband der Verbraucherzentralen du 28 avril 2022. La Cour a confirmé que les associations de défense des consommateurs disposaient, sur le fondement du droit national, d’un droit autonome d’engager une action en cessation contre un responsable, indépendamment du mécanisme du guichet unique. L’arrêt a sécurisé la recevabilité des actions associatives — voie de contournement utilisée par NOYB et ses homologues européens.

CJUE C-132/21 Nemzeti Adatvédelmi és Információszabadság Hatóság du 12 janvier 2023. Cet arrêt a posé le principe de la cumulabilité des voies de recours : une personne concernée peut saisir simultanément l’autorité de contrôle (article 77 RGPD), la juridiction administrative contre la décision de l’autorité (article 78 RGPD) et le juge civil contre le responsable (article 79 RGPD), même si l’autorité chef de file est en cours d’enquête.

Décisions contraignantes du CEPD au titre de l’article 65. Le mécanisme de résolution des litiges entre autorité chef de file et autorités concernées a été activé à plusieurs reprises, avec à chaque fois une élévation sensible du niveau de sanction décidé initialement par l’autorité chef de file :

• Décision contraignante 1/2021 du 28 juillet 2021 — WhatsApp Ireland. Saisine du CEPD à la demande de huit autorités concernées (dont la CNIL) face à un projet de sanction de la DPC jugé insuffisant. Sanction finale : 225 millions d’euros (montant initial DPC : 30 à 50 millions d’euros).
• Décision contraignante 1/2022 du 5 décembre 2022 — Meta Platforms Ireland (Facebook + Instagram). Sanction finale : 390 millions d’euros sur la base légale du traitement publicitaire. La DPC avait initialement validé l’invocation du contrat (Art. 6(1)(b)), le CEPD a imposé la requalification.
• Décision contraignante 1/2023 du 13 avril 2023 — Meta Platforms Ireland. Sanction finale : 1,2 milliard d’euros pour transferts massifs de données vers les États-Unis hors cadre adéquat post-Schrems II. Plus importante sanction RGPD jamais prononcée à ce jour.
• Décision contraignante 2/2023 du 2 août 2023 — TikTok Technology Limited. Sanction finale : 345 millions d’euros sur le traitement des données des mineurs. Cf. l’analyse plus complète dans l’article 8 RGPD.

Ces décisions illustrent une tendance lourde : lorsque le CEPD est saisi en arbitrage, il révise quasi systématiquement à la hausse les sanctions proposées par l’autorité chef de file, en particulier la DPC irlandaise. Le mécanisme du guichet unique n’est donc plus, en pratique, un « bouclier juridictionnel » pour les grandes plateformes.

Les tensions structurelles du guichet unique

Trois tensions structurantes méritent d’être identifiées pour comprendre la pratique réelle de l’article 56.

Première tension : la concentration des chefs de file en Irlande et au Luxembourg. Plus de 80 % des cinquante plus grands traitements transfrontaliers de l’Union européenne sont supervisés par la DPC irlandaise ou la CNPD luxembourgeoise, ce qui crée une asymétrie de moyens : la DPC irlandaise traite à elle seule plus de 3 000 dossiers transfrontaliers par an. Cette concentration a provoqué une fronde des autorités allemandes, françaises, autrichiennes et néerlandaises, qui ont multiplié les demandes d’arbitrage au CEPD.

Deuxième tension : le critère matériel de l’établissement principal. La DPC irlandaise a longtemps considéré que la présence du siège social européen de Meta à Dublin suffisait à fixer l’établissement principal en Irlande. La CJUE et le CEPD ont rappelé qu’il fallait vérifier où sont effectivement prises les décisions sur les finalités et les moyens — ce qui peut conduire à une requalification au profit du siège mondial américain ou d’un autre établissement européen.

Troisième tension : les voies de contournement. L’article 56 ne fait pas obstacle à : (i) une action de l’autorité de l’État membre concerné devant ses propres juridictions civiles (CJUE C-645/19), (ii) une action des associations sur le fondement du droit national (CJUE C-757/22), (iii) une action de groupe au titre de l’article 80 RGPD et de la loi française n° 2024-364 du 22 avril 2024, (iv) une plainte pénale au titre de l’article 84 RGPD et des articles 226-16 et suivants du Code pénal. Le guichet unique n’épuise donc pas le risque contentieux : il le concentre administrativement, mais il laisse ouvertes les voies civiles et pénales nationales.

Plan opérationnel : six chantiers pour sécuriser le guichet unique

Pour un groupe pluri-européen qui veut faire fonctionner correctement le guichet unique, je recommande six chantiers.

Chantier 1 — Cartographier les établissements UE. Établir la liste exhaustive des sociétés du groupe ayant un établissement dans l’Union au sens du considérant 22, avec leur activité réelle, leur effectif et leur rattachement décisionnel. Cette cartographie est l’assise documentaire de la qualification d’établissement principal.

Chantier 2 — Documenter l’établissement principal. Identifier le lieu effectif de prise des décisions sur les finalités et les moyens, le formaliser par une délibération du conseil d’administration ou par un policy paper signé par la direction générale, et le verser au registre des activités de traitement de l’article 30 RGPD. En cas de groupe complexe, prévoir une matrice traitement par traitement : un même groupe peut avoir des établissements principaux différents pour différents traitements (B2B / B2C / RH / R&D).

Chantier 3 — Désigner un DPO groupe au sens de l’Art. 37(2). Conformément aux Lignes directrices CEPD WP 243 rev.01 du 5 avril 2017 sur les DPO, le DPO mutualisé doit être facilement accessible depuis chaque établissement et maîtriser les langues nécessaires. Sa désignation et la publication de ses coordonnées sont un signal fort sur l’identification du chef de file.

Chantier 4 — Préparer le single point of contact opérationnel. Mettre en place un canal de communication formel avec l’autorité chef de file, idéalement via un référent dédié au sein de la direction juridique groupe. Anticiper la conduite à tenir en cas de notification de violation Art. 33-34, de saisine pour AIPD Art. 36, de demande d’audit Art. 58.

Chantier 5 — Anticiper les saisines des autorités concernées. Pour les filiales françaises, italiennes, espagnoles ou allemandes, prévoir une procédure interne de réponse aux demandes d’information de la CNIL, du Garante, de l’AEPD ou des autorités de Länder en lien avec le DPO groupe et l’autorité chef de file. Documenter le rôle de chaque échelon dans la coopération.

Chantier 6 — Stratégie contentieuse intégrée. Penser la défense contre toutes les voies en parallèle : enquête de l’autorité chef de file, arbitrage CEPD au titre de l’article 65 RGPD, recours juridictionnels nationaux (Art. 78), actions civiles (Art. 79), actions de groupe (loi 2024-364), plaintes pénales 226-16 et suivants. Le guichet unique ne couvre que la première de ces voies.

Ce qu’il faut retenir

• L’article 56 RGPD institue le guichet unique : pour un traitement transfrontalier, une seule autorité de contrôle européenne est compétente, celle de l’établissement principal du responsable ou du sous-traitant.
• L’établissement principal est défini matériellement à l’article 4(16) RGPD : il s’agit du lieu où sont effectivement prises les décisions sur les finalités et les moyens du traitement, pas seulement du siège social formel.
• Le guichet unique connaît une exception locale (Art. 56(2)) lorsque la réclamation concerne uniquement un établissement ou n’affecte sensiblement que des personnes d’un seul État membre.
• L’autorité chef de file est le seul interlocuteur du responsable pour le traitement transfrontalier (Art. 56(6)), ce qui simplifie considérablement les démarches AIPD, consultation préalable et notification de violation.
• Le CEPD peut être saisi en arbitrage au titre de l’article 65 RGPD : ses décisions contraignantes ont relevé sensiblement les sanctions dans les dossiers WhatsApp (225 M€), Meta (390 M€ puis 1,2 Md€) et TikTok (345 M€).
• Le guichet unique ne fait pas obstacle aux actions civiles, aux actions de groupe ni aux plaintes pénales nationales : il concentre seulement la voie administrative.
• Sanction encourue : Art. 83(5) plafond haut 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Pour aller plus loin, consultez nos analyses sur l’article 58 RGPD (pouvoirs de la CNIL), l’article 77 RGPD (réclamation administrative), l’article 80 RGPD (action de groupe) et notre guide sur les transferts de données hors UE.

Si vous opérez dans plusieurs États membres et que vous voulez recevoir nos analyses de conformité en avant-première, abonnez-vous à notre newsletter : une analyse par semaine, par un docteur en droit avec 20 ans de pratique.

FAQ

Comment identifie-t-on l’autorité chef de file de mon groupe ?

L’autorité chef de file est celle de votre établissement principal au sens de l’article 4(16) RGPD. En pratique, il faut vérifier où sont prises les décisions sur les finalités et les moyens du traitement. Pour un groupe pluri-européen, ce n’est pas nécessairement le siège fiscal : c’est le lieu où le pouvoir de décision est effectivement exercé. Les Lignes directrices CEPD WP 244 rev.01 du 5 avril 2017 donnent une méthodologie en quatre étapes (identifier l’administration centrale, vérifier le pouvoir de décision, examiner les hypothèses de pluralité, traiter le cas du sous-traitant).

Une PME française avec un site multilingue est-elle soumise au guichet unique ?

Pas nécessairement. Le guichet unique ne joue que pour les traitements transfrontaliers au sens de l’article 4(23) RGPD. Si votre PME n’a qu’un seul établissement en France et que son audience reste très majoritairement française, vous n’êtes pas en situation de traitement transfrontalier — même avec un site disponible en plusieurs langues. La question se pose lorsque l’audience étrangère devient significative et que vous ciblez activement des marchés européens autres que la France.

La CNIL peut-elle me sanctionner si mon établissement principal est en Irlande ?

Oui, dans deux hypothèses. Premièrement, au titre de l’exception locale de l’Art. 56(2) si la plainte ne concerne que des personnes en France. Deuxièmement, au titre de la procédure de l’article 60 RGPD en tant qu’autorité concernée — auquel cas la sanction est techniquement prononcée par l’autorité chef de file mais avec son accord. Enfin, la CNIL conserve un pouvoir résiduel d’urgence au titre de l’article 66 RGPD pour adopter des mesures provisoires sur son territoire.

Que se passe-t-il si l’autorité chef de file et les autorités concernées sont en désaccord ?

Le mécanisme de cohérence de l’article 63 RGPD s’active, et le CEPD peut être saisi au titre de l’article 65 RGPD pour rendre une décision contraignante. Cette saisine a déjà conduit à des révisions à la hausse spectaculaires : WhatsApp 225 M€ (au lieu de 30-50 M€ proposés initialement), Meta 1,2 Md€, TikTok 345 M€. La procédure CEPD dure typiquement entre 6 et 12 mois après le déclenchement formel.

Le guichet unique me protège-t-il des actions de groupe en France ?

Non. La loi n° 2024-364 du 22 avril 2024 refondant l’action de groupe en France ouvre une voie autonome, devant le tribunal judiciaire de Paris, qui ne dépend pas du guichet unique administratif. De la même manière, les actions civiles individuelles de l’article 79 RGPD et les plaintes pénales sur le fondement des articles 226-16 et suivants du Code pénal (cf. article 84 RGPD) restent ouvertes. Le guichet unique concentre la voie administrative ; il n’épuise pas le risque contentieux.