Facebook est en Irlande : quel est le pouvoir des autorités des autres pays européens ?

Selon l’avocat général, l’autorité de protection des données de l’État membre dans lequel est situé l’établissement principal d’un responsable du traitement de données ou un sous-traitant, dispose d’une compétence générale pour agir en justice contre des infractions au RGPD pour ce qui concerne le traitement transfrontalier de données. Les autres autorités de protection des données concernées sont néanmoins habilitées à agir en justice dans leur État membre dans les cas où le RGPD leur permet spécifiquement de le faire.


L’historique du dossier

En septembre 2015, l’autorité belge de protection des données a intenté une action en justice devant les juridictions belges contre plusieurs sociétés du groupe Facebook (ci-après « Facebook »), à savoir Facebook Inc., Facebook Ireland Ltd, qui est l’établissement principal du groupe dans l’Union européenne, et Facebook Belgium BVBA. L’autorité belge de protection des données a demandé qu’il soit ordonné à Facebook de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer sans le consentement de ce dernier certains témoins de connexion (cookies) sur l’appareil utilisé lorsque cet internaute navigue sur une page Internet du domaine Facebook.com ou sur les sites de tiers, ainsi que de cesser de collecter de manière excessive des données à l’aide de modules sociaux (social plugins) et de pixels sur des sites de tiers. Elle a en outre demandé la destruction de toutes les données personnelles obtenues à l’aide de témoins de connexion (cookies) et de modules sociaux et relatives à tout internaute établi sur le territoire belge.


La procédure au principal est pendante devant le Hof van beroep te Brussel (Cour d’appel de Bruxelles, Belgique) mais a été limitée à l’action intentée contre Facebook Belgium, le Hof van beroep te Brussel ayant préalablement jugé qu’il n’était pas compétent pour connaître des actions intentées à l’encontre de Facebook Inc. et Facebook Ireland Limited.


Dans ce cadre, Facebook soutient que, depuis la date à laquelle le règlement général sur la protection des données (ci-après le « RGPD ») est devenu applicable, l’autorité belge de protection des données n’a plus la compétence pour reprendre la procédure contre Facebook.

Facebook considère que, en vertu du RGPD, seule l’autorité de l’Irlande, État membre dans lequel est situé son établissement principal dans l’Union européenne (appelée autorité de protection des données « chef de file » de Facebook dans l’Union européenne), à savoir l’Irish Data Protection Commission, est habilitée à agir en justice contre Facebook pour des infractions au RGPD concernant un traitement transfrontalier de données.


Dans ce contexte, le Hof van beroep te Brussel a demandé à la Cour de justice si le RGPD s’oppose effectivement à ce qu’une autorité nationale de protection des données, autre que l’autorité « chef de file », intente une action en justice dans son État membre contre des infractions à ce même RGPD en ce qui concerne un traitement transfrontalier de données.


Le pouvoir est entre les mains du « chef de file »

Dans ses conclusions, l’avocat général Michal Bobek estime, tout d’abord, qu’il ressort du libellé du RGPD que l’autorité « chef de file » dispose d’une compétence générale pour ce qui concerne le traitement transfrontalier de données, y compris pour intenter des actions en justice contre la violation du RGPD, et que les autres autorités de contrôle concernées n’ont, par conséquent, qu’un pouvoir limité en la matière.


Quant au fait que le RGPD confère à toute autorité de contrôle le droit d’agir en justice contre d’éventuelles infractions affectant son territoire, l’avocat général indique que ce pouvoir est expressément limité en ce qui concerne le traitement transfrontalier de données afin, précisément, de permettre à l’autorité « chef de file » d’exercer ses missions à cet égard.


L’avocat général rappelle ensuite que l’introduction du mécanisme de guichet unique, avec le rôle important de l’autorité de protection des données « chef de file » et les mécanismes de coopération mis en place pour impliquer d’autres autorités de protection des données, avait précisément pour objectif de résoudre les problèmes que posait la directive antérieure. Les opérateurs économiques étaient en effet tenus de respecter les différents ensembles de règles nationales transposant cette directive et de se concerter, simultanément, avec toutes les autorités nationales de protection des données, ce qui s’est révélé onéreux, lourd et long pour les opérateurs économiques et, immanquablement, source d’incertitudes et de conflits pour eux comme pour leurs clients.


Les autorités des autres pays ne sont pas totalement dépossédées

L’avocat général relève encore que l’autorité « chef de file » ne saurait être considérée comme la seule à pouvoir faire appliquer le RGPD dans les situations transfrontalières et qu’elle doit, dans le respect des règles pertinentes et des délais prévus par le RGPD, coopérer étroitement avec les autres autorités de protection des données concernées, dont l’apport est crucial à cet égard.

Enfin, l’avocat général précise qu’il existe différentes situations dans lesquelles les autorités nationales de protection des données peuvent intenter des actions devant les juridictions de leur propre État membre même lorsqu’elles n’agissent pas en tant qu’autorité « chef de file ».

Il s’agit des situations suivantes :

  1. lorsqu’elles agissent en dehors du champ d’application matériel du RGPD,
  2. lorsqu’elles examinent un traitement transfrontalier effectué par des autorités publiques, dans l’intérêt public, dans l’exercice de l’autorité publique ou encore par des responsables du traitement qui ne sont pas établis dans l’Union,
  3. lorsqu’elles adoptent des mesures urgentes, ou
  4. lorsqu’elles interviennent après que l’autorité de protection des données « chef de file » a décidé de ne pas traiter un cas.

Dans ces conditions, l’avocat général considère que le RGPD permet à l’autorité de protection des données d’un État membre d’agir en justice devant une juridiction de cet État membre contre une infraction alléguée à ce règlement pour ce qui concerne un traitement transfrontalier de données alors qu’elle n’est pas l’autorité « chef de file » disposant du pouvoir général d’agir en justice, pour autant qu’elle le fasse dans les situations pour lesquelles le RGPD lui en attribue explicitement la compétence et conformément aux procédures prévues par ce même règlement.


Le public suit des règles différentes

S’agissant des arguments relatifs au droit des personnes concernées d’agir en justice, l’avocat général souligne que ces personnes peuvent intenter une action contre des responsables du traitement ou des sous-traitants notamment devant les juridictions de l’État membre dans lequel elles-mêmes résident. Il indique que les personnes concernées peuvent introduire une réclamation auprès de l’autorité de protection des données de leur État membre même si l’autorité « chef de file » est l’autorité de protection des données d’un autre État membre. Lorsqu’une réclamation est refusée ou rejetée, la décision pertinente est adoptée et notifiée par la première autorité à la personne concernée qui peut alors contester cette décision devant les juridictions de l’État membre où elle réside.


Commentaires

La question posée est absolument fondamentale.

Si le “chef de file” reçoit trop de pouvoir au détriment des autres autorités, on risque de voir tous les responsables de traitement se précipiter vers des pays réputés cléments. Les mauvaises langues disent que si tous les GAFA sont en Irlande, ce n’est pas uniquement pour des raisons fiscales mais aussi parce que l’autorité locale y serait très coulante. On se souvient que c’est acculée par M. Schrems, que l’Irlande a, contre son gré, serré la vis à l’égard de Facebook.

Si les autorités des autres pays reçoivent trop de pouvoir au détriment du “chef de file” , on risque de revenir à la situation de la directive de 1995 avec 27 États qui tirent chacun la couverture à soi et des responsables de traitement perdus au milieu d’un petit jeu politico-économique.

La logique proposée par l’avocat général n’est pas sans rappeler le mécanisme de la “clause de marché intérieur” que l’on trouve en matière de commerce électronique, et qui a été créée pour répondre à des préoccupations similaires. Selon ce mécanisme :

  • Les prestataires sont par principe soumis aux autorités de leur État d’origine (d’une part, chaque État membre veille à ce que les services de la société de l’information fournis par un prestataire établi sur son territoire respectent les dispositions nationales applicables dans cet État membre relevant du domaine coordonné ; et d’autre part les État membres ne peuvent, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l’information en provenance d’un autre État membre).
  • Il y a une possibilité de dérogation à la clause de marché intérieur soumise à deux types de conditions cumulatives (conditions procédurales et substantielles). Dans les conditions procédurales, figure la nécessité de demander à l’État membre d’origine de prendre des mesures et le constat que ce dernier n’en a pas pris ou qu’elles n’ont pas été suffisantes.
  • Il y a aussi une possibilité de dérogation d’urgence.


Plus d’infos ?

Les conclusions de l’avocat général sont disponibles en annexe.


Source : Droit & Technologies

Mots clés

Articles recommandés

Traitement des données pour intérêt légitime, quand et comment ? l’EDPB publie ses lignes directrices.

Dirigeants en télétravail : évitez les pièges cachés !

Sept employés belges sur dix apprécient la flexibilité