1) a) Il résulte clairement des 7, 16 et 23 de l'article 4 du RGPD et de ses articles 51, 55 et 56 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en ta nt qu'autorité chef de file, pour contrôler le respect des exigences du RGPD, b) sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l' État membre dont re lève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

2) a) Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est - à - dire le lieu de s on siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

ème ème

1) Il résulte clairement du 7) de l’article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l'Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

2) Dans l’hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève, conformément à l’article 55 précité.

1) Le mécanisme du guichet unique prévu par l'article 56 du RGPD n'a pas vocation à s'appliquer à une société ne disposant pas d'établissement sur le territoire d'un État membre de l'Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l'article 55 du RGPD, pour les traitements visant des personnes résidant sur ce territoire.

2) La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par tout responsable de traitement ou sous‑traitant ne disposant pas d'établissement dans l’UE dont les opérations de traitement visent des personnes résidant sur le territoire français.