2. Un point de cristallisation du débat : la compétence, pour tous les contentieux, de l'autorité de contrôle du pays où le responsable de traitement a son « principal établissement »
La disposition la plus discutée est incontestablement celle du guichet unique et, plus particulièrement, l'attribution de la compétence pour instruire les contentieux à l'autorité de contrôle du pays où le responsable de traitement a son principal établissement.
Les représentants des entreprises entendus par votre rapporteur ont défendu ce système, à la condition qu'il s'accompagne d'une harmonisation complète du droit. Ils ont notamment souligné qu'une telle mesure faciliterait les démarches des entreprises, qui profiteraient d'un interlocuteur unique pour toutes les questions liées à l'utilisation des données personnelles qu'elles détiennent.
En revanche, la présidente de la CNIL, Mme Isabelle Falque-Pierrotin, rejointe en cela par les représentants du ministère de la justice, a dénoncé les risques qu'un tel dispositif présenterait pour la protection des données personnelles. Si le guichet unique se justifie pour le contrôle préventif et les formalités préalables, il soulève de sérieuses difficultés s'agissant du traitement des litiges.
Il risquerait en effet de susciter des comportements de « forum shopping », les entreprises décidant leur installation en fonction de la sévérité du régulateur national. Plutôt que de favoriser une certaine proximité entre les citoyens et l'autorité qui les protège, il créerait une distance artificielle entre eux, l'autorité nationale, celle qui leur est le plus proche, ne jouant plus que le rôle d'une « boîte aux lettres ». Enfin, compte tenu de cette distance, de la lourdeur et de la lenteur prévisible de cette procédure, il fragiliserait le droit des citoyens à un recours effectif, et rendrait plus difficile l'exercice des droits de la défense.
Mme Meryem Marzouki, présidente de l'association IRIS, a jugé que, compte tenu de l'harmonisation opérée, ces craintes étaient peu fondées, et a estimé que l'autorité de contrôle du pays de principal établissement pourrait, mieux qu'une autre, imposer le respect effectif des règles communautaires à l'entreprise en cause. Elle a appelé, pour dissiper ces craintes, au renforcement des moyens et des mécanismes de coordination des autorités de contrôle.
Partageant l'analyse de la CNIL, les représentants de l'association française des correspondants pour la protection des données à caractère personnel ont, quant à eux, estimé qu'il était fréquent qu'un litige de données personnelles soit lié à un premier litige portant sur un autre domaine du droit (droit de la consommation, droit du travail, droit de la famille...), ce qui risquerait de poser des difficultés à l'autorité de contrôle étrangère, sommée d'interpréter des règles de droit étranger. Soulignant par ailleurs l'incertitude qui affecte la notion de « principal établissement », ils se sont interrogés sur l'articulation de contentieux connexes, engageant, pour un même consommateur et un même achat, trois traitements différents, l'un de service commercial, l'autre de production, et le dernier de service après-vente, dans trois pays différents.
Les représentants de l'UFC-Que choisir ont, pour leur part, posé la question des moyens dont disposerait l'autorité de contrôle étrangère, appelée à traiter un contentieux massif, hors de proportion avec son marché national et se sont inquiétés de la lourdeur de la procédure.