Le CEPD clarifie la notion d’établissement principal et demande aux législateurs européens de s’assurer que le règlement CSAM respecte les droits à la vie privée et à la protection des données.
Nous l’avions annoncé, c’est désormais chose faite ! Lors de sa dernière session plénière, l’EDPB a adopté un avis sur la notion d’établissement principal et sur les critères d’application du mécanisme de guichet unique, à la suite d’une demande formulée au titre de l’article 64, paragraphe 2, du GDPR par l’autorité française de protection des données (DPA). 64(2) GDPR par l’Autorité française de protection des données (DPA). L’avis clarifie la notion d' »établissement principal » d’un responsable du traitement dans l’UE, en particulier dans les cas où les décisions concernant le traitement sont prises en dehors de l’UE.
Dans son avis, le CEPD considère que le « lieu d’administration centrale » d’un responsable du traitement dans l’UE ne peut être considéré comme un établissement principal au sens de l’art. 4(16)(a) GDPR que s’il prend les décisions sur les finalités et les moyens du traitement des données personnelles et s’il a le pouvoir de faire appliquer ces décisions. Le CEPD explique en outre que le mécanisme du guichet unique ne peut s’appliquer que s’il est prouvé que l’un des établissements du responsable du traitement dans l’Union prend des décisions sur les finalités et les moyens des opérations de traitement concernées et a le pouvoir de faire appliquer ces décisions. Cela signifie que, lorsque les décisions relatives aux finalités et aux moyens du traitement sont prises en dehors de l’UE, il ne devrait pas y avoir d’établissement principal du responsable du traitement dans l’Union et, par conséquent, le mécanisme du guichet unique ne devrait pas s’appliquer.
Disponible (en anglais) sur: edpb.europa.eu L’avis complet est également disponible (en anglais)
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.