L’autorité chef de file à l’égard d’un traitement transfrontalier est celle du pays où se trouve « l’établissement principal » du responsable de traitement ou du sous-traitant, ou son établissement unique si l’organisme n’est pas établi dans plusieurs Etats membres.
La notion d’« établissement principal » est définie à l’article 4.16 du RGPD : pour les responsables de traitement, c’est le lieu où sont prises les décisions quant aux finalités et aux moyens du traitement transfrontalier. Il s’agit de l’administration centrale de l’organisme (en pratique, ce sera souvent le siège social de l’entreprise), à moins que ces décisions soient prises par un autre établissement, auquel cas ce dernier constitue l’établissement principal.
La CNIL sera donc autorité chef de file à l’égard des traitements transfrontaliers mis en œuvre par les organismes :
- qui disposent de plusieurs établissements dans l’Union européenne et dont le siège social est situé en France, si cet établissement décide des finalités et des moyens du traitement transfrontalier ;
- qui disposent de plusieurs établissements dans l’Union européenne, dont le siège social ne décide pas des finalités et des moyens du traitement transfrontalier, mais dont l’établissement qui prend ces décisions est situé en France ;
- qui disposent d’un établissement unique dans l’Union européenne, situé en France.
Les sous-traitants peuvent également disposer d’une autorité chef de file. L’établissement principal pour ces organismes est le lieu de leur administration centrale (le siège social) située dans l’UE ou, si le siège est établi hors UE, de l’établissement où se déroule l’essentiel des activités de traitement de données.
La CNIL sera donc autorité chef de file des organismes sous-traitants :
- dont le siège social est situé en France ;
- qui ne disposent pas d’un siège social dans l’Union européenne, mais dont l’établissement prenant en charge les principales activités de traitement de données est situé en France.