1) a) Il résulte clairement des 7, 16 et 23 de l'article 4 du RGPD et de ses articles 51, 55 et 56 que, lorsqu'est en cause un traitement transfrontalier de données à caractère personnel opéré au sein de l'Union européenne, l'autorité de contrôle de l'établissement principal dans l'Union du responsable de ce traitement est en principe compétente, en ta nt qu'autorité chef de file, pour contrôler le respect des exigences du RGPD, b) sous réserve du cas, prévu au paragraphe 2 de l'article 56 de ce règlement, dans lequel l'objet de la réclamation concerne uniquement un établissement de l' État membre dont re lève une autre autorité de contrôle ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

2) a) Pour la détermination de l'autorité chef de file, l'administration centrale du responsable du traitement, c'est - à - dire le lieu de s on siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l'échelle de l'Union.

ème ème

1) Il résulte clairement du 7) de l’article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l'Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

2) Dans l’hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève, conformément à l’article 55 précité.

1) Il résulte clairement des articles 7, 16 et 23 de l’article 4 du RGPD ainsi que des articles 51, 55 et 56 que, lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle compétente de l’établissement principal dans l’Union du responsable de ce traitement est en principe compétente, en tant qu’autorité chef de file, pour contrôler le respect des exigences du RGPD, sous réserve du cas prévu au paragraphe 2 de l’article 56 de ce règlement, dans lequel l’objet de la réclamation concerne uniquement un établissement de l’État membre dont relève une autre autorité de contrôle ou affecte sensiblement les personnes concernées dans cet État membre uniquement.

2) Pour la détermination de l’autorité chef de file, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Lieu de l'établissement principal

1) En matière de traitement transfrontalier, la possibilité pour une autorité de contrôle n'ayant pas la qualité d'autorité chef de file de porter toute violation du RGPD à l'attention d'une juridiction et d'ester en justice n'est possible que dans les cas où le règlement confère à cette autorité de contrôle une compétence pour adopter une décision constatant qu'un tel traitement méconnaît les règles qu'il contient (par exemple, si l'objet de la réclamation ne concerne qu'un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement – art 56 §2 – ou en cas d'urgence – art 66) et dans le respect des procédures de coopération et de contrôle prévues par le RGPD.

2) L'exercice du pouvoir d'une autorité de contrôle d'un État membre, autre que l'autorité chef de file, d'intenter une action en justice ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d'un établissement principal ou d'un autre établissement sur le territoire de cet État membre. Cependant, l'exercice de ce pouvoir doit relever du champ d'application territorial du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d'un établissement sur le territoire de l'Union.

3) Ce pouvoir peut être exercé tant à l'égard de l'établissement principal du responsable du traitement qui se trouve dans l'État membre dont relève cette autorité qu'à l'égard d'un autre établissement de ce responsable, pour autant que l'action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que le règlement confère à ladite autorité une compétence pour exercer ce pouvoir.

4) Par ailleurs, l'exercice du pouvoir d'une autorité de contrôle d'un État membre de s'adresser aux juridictions de son État ne saurait être exclu lorsque, après avoir requis l'assistance mutuelle de l'autorité chef de file, en vertu de l'article 61 du règlement 2016/679, cette dernière ne lui fournit pas les informations demandées. Dans ce cas de figure, en vertu de l'article 61, paragraphe 8, de ce règlement, l'autorité de contrôle concernée peut adopter une mesure provisoire sur le territoire de l'État membre dont elle relève et, si elle estime que des mesures définitives doivent être adoptées d'urgence, cette autorité peut, conformément à l'article 66, paragraphe 2, du règlement, demander un avis d'urgence ou une décision contraignante d'urgence au comité européen de la protection des données. En outre, en vertu de l'article 64, paragraphe 2, du même règlement, une autorité de contrôle peut demander que toute question d'application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité européen de la protection des données en vue d'obtenir un avis, en particulier lorsqu'une autorité de contrôle compétente ne respecte pas les obligations relatives à l'assistance mutuelle mises à sa charge à l'article 61 de celui‑ci. Or, à la suite de l'adoption d'un tel avis ou d'une telle décision, et pour autant que le comité européen de la protection des données y soit favorable après avoir pris en compte l'ensemble des circonstances pertinentes, l'autorité de contrôle concernée doit pouvoir prendre les mesures nécessaires aux fins d'assurer le respect des règles relatives à la protection des droits des personnes physiques à l'égard du traitement de données à caractère personnel figurant dans le règlement 2016/679 et, à ce titre, exercer le pouvoir que lui confère l'article 58, paragraphe 5, de ce règlement.