Tables CNIL

Cette application facilite et enrichit la navigation dans les Tables Informatique et Libertés publiées par la CNIL. Elles assemblent l’essentiel de la jurisprudence française et européenne et des décisions pertinentes de l'autorité administrative en matière de protection des données à caractère personnel, et constituent à cet égard un outil précieux pour les DPO et les avocats

Dernière mise à jour : Version du 20/02/2026 – V 2.3 [PDF]

1 décision

compétence nationale

Juridiction
Toutes les juridictions

CE19 juin 2020CE, 10‑9 chambres réunies, 19 juin 2020, Google LLC, n° 430810, Rec., point 4(source)

Traitement transfrontalier 1) Autorité de contrôle compétente – Conditions – a) Modalités de détermination de l'autorité chef de file – Lieu de l'établissement principal – b) Administration centrale du responsable du traitement sauf compétence d'un autre établissement pour prendre les décisions relatives aux finalités et aux moyens du traitement – 2) Responsable de traitement hors UE sans administration centrale et établissement doté d’un pouvoir décisionnel – Compétence de chaque autorité de contrôle nationale

1) Il résulte clairement du 7) de l’article 4 et des articles 16, 55 et 56 du règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD) que lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle de l’établissement principal dans l'Union du responsable de ce traitement est, en tant qu’autorité chef de file, compétente pour contrôler le respect des exigences du RGPD.

a) Pour la détermination de l’autorité de contrôle compétente, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal.

b) Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

2) Dans l’hypothèse où un responsable de traitement implanté en dehors de l'Union européenne met en œuvre un traitement transfrontalier sur le territoire de l'Union, mais qu’il n’y dispose ni d’administration centrale, ni d’établissement doté d’un pouvoir décisionnel quant à ses finalités et à ses moyens, le mécanisme de l’autorité chef de file prévu à l’article 56 du RGPD ne peut être mis en œuvre. Dans pareil cas, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève, conformément à l’article 55 précité.