Le Comité européen de la protection des données (« EDPB ») a clarifié la notion d’établissement principal d’un responsable du traitement au sens du règlement (UE) 2016/679 (dit « RGPD ») (14 février)
Dans son avis rendu à la demande de la CNIL, l’EDPB considère que le « lieu d’administration centrale » d’un responsable du traitement dans l’Union européenne ne peut être considéré comme un établissement principal au sens de l’article 4(16)(a) du RGPD que s’il décide des finalités et des moyens de traitement des données personnelles et s’il a le pouvoir de faire appliquer ces décisions. Il en est de même pour le mécanisme du guichet unique. Celui-ci ne peut s’appliquer que s’il est prouvé que l’un des établissements du responsable du traitement dans l’Union décide des finalités et moyens de traitement concernées et a le pouvoir de faire appliquer ces décisions. Dès lors, lorsque les décisions relatives aux finalités et aux moyens du traitement sont prises en dehors de l’Union, il ne devrait pas y avoir d’établissement principal du responsable du traitement dans l’Union et, par conséquent, le mécanisme du guichet unique ne devrait pas s’appliquer. (CZ)