L’autorité chef de file n’ôte pas tous pouvoirs aux autres autorités nationales

Publié le par - 444 vues

Sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre, même si elle n’est pas l’autorité chef de file pour ce traitement. On peut y voir en filigrane la crainte de la Cour de justice que se développent dans l’espace européen des zones moins regardantes sur le plan des données personnelles, et voir toutes les grosses sociétés problématiques s’y établir.

L’Europe connaît le dumping social. Elle connaît aussi le dumping fiscal.

Elle connaissait également, sous l’empire de l’ancienne directive de 1995, une forme de dumping lié aux données personnelles. Là où certains pays se montraient intransigeants, d’autres utilisaient toutes les marges d’interprétation disponibles pour assouplir le cadre juridique en place.

L’un des objectifs assignés au règlement européen GDPR était de mettre un terme à ces divergences d’opinion et/ou de politique nationale. Deux des mesures phares à ce niveau :

  • L’harmonisation via le texte même : s’agissant d’un règlement et non d’une directive, la marge des états membres se réduit mécaniquement ;
  • L’harmonisation via le travail des autorités : le principe du guichet unique revient, en substance, à confier la supervision des sociétés actives dans plusieurs pays à un seul gendarme : l’autorité de l’établissement principal appelée « chef de file ».

La Belgique peut-elle frapper Facebook établie en Irlande ?

Le dossier Facebook soumis à la cour de justice pose la question du curseur : où placer le curseur entre les pouvoirs de l’autorité chef de file et ceux des autorités nationales des pays dans lesquels la société concernée a également des activités.

Exemple concret : tout le monde sait que Facebook a des activités dans l’ensemble de l’union européenne, et tout le monde sait que la société est établie (pour des raisons qui n’ont évidemment aucun rapport avec les nombreux avantages fiscaux offerts) en Irlande.

L’autorité irlandaise, qui compte parmi ses ouailles non seulement Facebook mais des dizaines de sociétés mondiales actives dans la monétisation de l’audience par l’exploitation de données personnelles, est depuis des années face à une décision difficile : est-elle prête à utiliser sa position privilégiée pour faire preuve d’activisme sur le plan des données personnelles, avec le risque que ces sociétés partent sous d’autres cieux malgré les avantages fiscaux offerts par la République ? L’histoire montre que consciemment ou non, l’autorité irlandaise n’a pas fait preuve d’un dynamisme débordant.

Cela (a) pousse(é) un certain nombre d’autorités dans d’autres états membres à ouvrir des « dossiers Facebook ».

Facebook n’a pas manqué de relever les modifications importantes introduites à ce niveau par le GDPR et de plaider que depuis mai 2018 (entrée en vigueur du GDPR) ces autorités nationales sont sans compétence lorsqu’il y a, comme dans son cas, un chef de file clairement désigné.

C’est exactement ce qui s’est passé en Belgique, où la commission belge de la protection de la vie privée a décidé d’agir en justice en 2015 devant le tribunal de première instance de Bruxelles contre Facebook Inc (établie en Irlande) et Facebook Belgium (établie en Belgique), demandant la cessation d’un certain nombre de comportements, notamment en matière de cookies.

En 2018, le tribunal s’estime compétent et condamne Facebook (les deux sociétés).

Celles-ci font appel. La cour d’appel se demande si, pour les faits postérieurs à l’entrée en vigueur du RGPD, l’autorité belge peut agir contre Facebook Belgium dans la mesure où c’est la société irlandaise qui est identifiée comme responsable du traitement et que celle-ci relève d’une autorité chef de file clairement identifiée, à savoir l’autorité irlandaise.

C’est dans ces conditions que l’affaire aboutit à Luxembourg, où un arrêt a été rendu ce 15 juin 2021 par la grande chambre, soulignant l’importance de la question.

1er enseignement : un subtil équilibre

En premier lieu, la Cour précise les conditions dans lesquelles une autorité nationale de contrôle, n’ayant pas la qualité d’autorité chef de file en ce qui concerne un traitement transfrontalier, doit exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre et, le cas échéant, d’ester en justice afin d’assurer l’application de ce règlement.

Ainsi, d’une part, le RGPD doit conférer à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce règlement et, d’autre part, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.

En effet, pour les traitements transfrontaliers, le RGPD prévoit le mécanisme du « guichet unique », qui est fondé sur une répartition des compétences entre une « autorité de contrôle chef de file » et les autres autorités nationales de contrôle concernées. Ce mécanisme exige une coopération étroite, loyale et efficace entre ces autorités, afin d’assurer une protection cohérente et homogène des règles relatives à la protection des données à caractère personnel et ainsi préserver son effet utile. Le RGPD consacre à cet égard la compétence de principe de l’autorité de contrôle chef de file pour adopter une décision constatant qu’un traitement transfrontalier méconnaît les règles prévues par ce règlement, tandis que la compétence des autres autorités nationales de contrôle pour adopter une telle décision, même à titre provisoire, constitue l’exception. Cependant, dans l’exercice de ses compétences, l’autorité de contrôle chef de file ne saurait s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées. De ce fait, dans le cadre de cette coopération, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file. La Cour précise par ailleurs que la circonstance qu’une autorité de contrôle d’un État membre qui n’est pas l’autorité de contrôle chef de file s’agissant d’un traitement de données transfrontalier ne puisse exercer le pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État et d’ester en justice que dans le respect des règles de répartition des compétences décisionnelles entre l’autorité de contrôle chef de file et les autres autorités de contrôle est conforme aux articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, garantissant à la personne concernée, respectivement, le droit à la protection de ses données à caractère personnel et le droit à un recours effectif.

Parmi les exceptions prévues par le règlement lui-même, la Cour cite l’article 56.2 (la réclamation concerne uniquement un établissement dans l’État membre de l’autorité saisie), ou l’article 66 (procédure d’urgence).

2ème enseignement : l’autorité nationale peut frapper hors de son territoire

La Cour juge que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice ne requiert pas que le responsable du traitement ou le sous- traitant pour le traitement transfrontalier de données à caractère personnel visé par cette action dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. Cependant, l’exercice de ce pouvoir doit relever du champ d’application territoriale du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.

Également, la Cour dit pour droit que, en cas de traitement de données transfrontalier, le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation du RGPD devant une juridiction de cet État et, le cas échéant, d’ester en justice peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.

Cependant, la Cour précise que l’exercice de ce pouvoir suppose que le RGPD soit d’application. En l’occurrence, les activités de l’établissement du groupe Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union, ce traitement est effectué « dans le cadre des activités d’un établissement du responsable du traitement » et partant, relève bien du champ d’application du RGPD.

3ème enseignement : la transition entre la directive et le GDPR

En quatrième lieu, la Cour juge que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du RGPD, une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l’Union, sur le fondement des dispositions de la directive relative à la protection des données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. En outre, cette action peut être intentée par cette autorité pour des infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à cette même autorité une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles prévues par ce règlement et dans le respect des procédures de coopération que ce dernier prévoit.

5ème enseignement : effet direct

En cinquième lieu, la Cour reconnaît l’effet direct de la disposition du RGPD en vertu de laquelle chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice. Par conséquent, une telle autorité peut invoquer cette disposition pour intenter ou reprendre une action contre des particuliers, même si elle n’a pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

Plus d’infos

Nous avons publié en janvier 2021 une analyse de l’avis rendu par l’avocat général. Nous y renvoyons.

L’arrêt rendu est disponible en annexe.

Droit & Technologies

Annexes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK