CE28 janvier 2022CE, 10ème – 9 chambres réunies, 28 janvier 2022, Sociétés Google LLC et Google Ireland Limited, n° 449209, Rec., point 12(source)
« Guichet unique » applicable aux traitements transfrontaliers (art. 56) – 1) Champ d’application – Exclusion – Mesures de mise en œuvre et de contrôle de la directive 2002/58/CE – Conséquence – 2) Compétence de la CNIL pour le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques
1) Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l’article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu’interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l’utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive.
2) Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l’informatique et des libertés par la loi n° 78‑17 du 6 janvier 1978.