1) Il résulte des paragraphes 1 des articles 55 et 56 du règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de l'article 15 bis de la directive 2002/58/CE du 12 juillet 2002, tels qu'interprétés par la Cour de justice de l'Union européenne (CJUE) dans son arrêt du 1 octobre 2019, Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband eV/Plan et49 GmbH (C‑673/17) et son arrêt du 15 juin 2021, Facebook Ireland Ltd e.a. (C‑645/19), que si les conditions de recueil du consentement de l'utilisateur prévues par le règlement du 27 avril 2016 sont applicables aux opérations de lecture et d'écriture dans le terminal d'un utilisateur, il n'a pas été prévu l'application du mécanisme dit du « Guichet unique » applicable aux traitements transfrontaliers, défini à l'article 56 de ce règlement, pour les mesures de mise en œuvre et de contrôle de la directive 2002/58/CE, qui relèvent de la compétence des autorités nationales de contrôle en vertu de l'article 15 bis de cette directive.

2) Il s'ensuit que, pour ce qui concerne le contrôle des opérations d'accès et d'inscription d'informations dans les terminaux des utilisateurs en France d'un service de communications électroniques, même procédant d'un traitement transfrontalier, les mesures de contrôle de l'application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la Commission nationale de l'informatique et des libertés (CNIL) par la loi n°78‑17 du 6 janvier 1978.

1) Il résulte clairement des articles 7, 16 et 23 de l’article 4 du RGPD ainsi que des articles 51, 55 et 56 que, lorsqu’un traitement transfrontalier de données à caractère personnel est opéré au sein de l’Union européenne, l’autorité de contrôle compétente de l’établissement principal dans l’Union du responsable de ce traitement est en principe compétente, en tant qu’autorité chef de file, pour contrôler le respect des exigences du RGPD, sous réserve du cas prévu au paragraphe 2 de l’article 56 de ce règlement, dans lequel l’objet de la réclamation concerne uniquement un établissement de l’État membre dont relève une autre autorité de contrôle ou affecte sensiblement les personnes concernées dans cet État membre uniquement.

2) Pour la détermination de l’autorité chef de file, l’administration centrale du responsable du traitement, c’est‑à‑dire le lieu de son siège réel, doit en principe être regardée comme son établissement principal. Il en va autrement si un autre de ses établissements est compétent pour prendre les décisions relatives aux finalités et aux moyens du traitement et dispose du pouvoir de les faire appliquer à l’échelle de l’Union.

Lieu de l'établissement principal

1) En matière de traitement transfrontalier, la possibilité pour une autorité de contrôle n'ayant pas la qualité d'autorité chef de file de porter toute violation du RGPD à l'attention d'une juridiction et d'ester en justice n'est possible que dans les cas où le règlement confère à cette autorité de contrôle une compétence pour adopter une décision constatant qu'un tel traitement méconnaît les règles qu'il contient (par exemple, si l'objet de la réclamation ne concerne qu'un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement – art 56 §2 – ou en cas d'urgence – art 66) et dans le respect des procédures de coopération et de contrôle prévues par le RGPD.

2) L'exercice du pouvoir d'une autorité de contrôle d'un État membre, autre que l'autorité chef de file, d'intenter une action en justice ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d'un établissement principal ou d'un autre établissement sur le territoire de cet État membre. Cependant, l'exercice de ce pouvoir doit relever du champ d'application territorial du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d'un établissement sur le territoire de l'Union.

3) Ce pouvoir peut être exercé tant à l'égard de l'établissement principal du responsable du traitement qui se trouve dans l'État membre dont relève cette autorité qu'à l'égard d'un autre établissement de ce responsable, pour autant que l'action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que le règlement confère à ladite autorité une compétence pour exercer ce pouvoir.

4) Par ailleurs, l'exercice du pouvoir d'une autorité de contrôle d'un État membre de s'adresser aux juridictions de son État ne saurait être exclu lorsque, après avoir requis l'assistance mutuelle de l'autorité chef de file, en vertu de l'article 61 du règlement 2016/679, cette dernière ne lui fournit pas les informations demandées. Dans ce cas de figure, en vertu de l'article 61, paragraphe 8, de ce règlement, l'autorité de contrôle concernée peut adopter une mesure provisoire sur le territoire de l'État membre dont elle relève et, si elle estime que des mesures définitives doivent être adoptées d'urgence, cette autorité peut, conformément à l'article 66, paragraphe 2, du règlement, demander un avis d'urgence ou une décision contraignante d'urgence au comité européen de la protection des données. En outre, en vertu de l'article 64, paragraphe 2, du même règlement, une autorité de contrôle peut demander que toute question d'application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité européen de la protection des données en vue d'obtenir un avis, en particulier lorsqu'une autorité de contrôle compétente ne respecte pas les obligations relatives à l'assistance mutuelle mises à sa charge à l'article 61 de celui‑ci. Or, à la suite de l'adoption d'un tel avis ou d'une telle décision, et pour autant que le comité européen de la protection des données y soit favorable après avoir pris en compte l'ensemble des circonstances pertinentes, l'autorité de contrôle concernée doit pouvoir prendre les mesures nécessaires aux fins d'assurer le respect des règles relatives à la protection des droits des personnes physiques à l'égard du traitement de données à caractère personnel figurant dans le règlement 2016/679 et, à ce titre, exercer le pouvoir que lui confère l'article 58, paragraphe 5, de ce règlement.