1) Le mécanisme du guichet unique prévu par l'article 56 du RGPD n'a pas vocation à s'appliquer à une société ne disposant pas d'établissement sur le territoire d'un État membre de l'Union européenne. Dès lors, chaque autorité de contrôle nationale est compétente pour contrôler le respect du RGPD sur le territoire de l’État membre dont elle relève conformément à l'article 55 du RGPD, pour les traitements visant des personnes résidant sur ce territoire.

2) La CNIL est ainsi compétente pour contrôler la conformité au RGPD des traitements mis en œuvre par tout responsable de traitement ou sous‑traitant ne disposant pas d'établissement dans l’UE dont les opérations de traitement visent des personnes résidant sur le territoire français.

1) Il résulte des paragraphes 1 des articles 55 et 56 du RGPD et de l’article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu’interprétés par la CJUE dans son arrêt du 1er octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Planet49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l’utilisateur prévues par le RGPD sont applicables aux opérations de lecture et d’écriture dans le terminal d’un utilisateur, il n’a pas été prévu l’application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l’article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l’article 15 bis de cette directive.

2) Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l’informatique et des libertés par la loi n° 78‑17 du 6 janvier 1978.

1) Il résulte des paragraphes 1 des articles 55 et 56 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 1 octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Plan et49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l'informatique et des libertés (CNIL) par la loi n°78‑17 du 6 janvier 1978.