Selon l’avocat général, l’autorité de protection des données de l’État membre dans lequel est situé l’établissement principal d’un responsable du traitement de données ou un sous-traitant, dispose d’une compétence générale pour agir en justice contre des infractions au RGPD pour ce qui concerne le traitement transfrontalier de données. Les autres autorités de protection des données concernées sont néanmoins habilitées à agir en justice dans leur État membre dans les cas où le RGPD leur permet spécifiquement de le faire.
En septembre 2015, l’autorité belge de protection des données a intenté une action en justice devant les juridictions belges contre plusieurs sociétés du groupe Facebook (ci-après « Facebook »), à savoir Facebook Inc., Facebook Ireland Ltd, qui est l’établissement principal du groupe dans l’Union européenne, et Facebook Belgium BVBA. L’autorité belge de protection des données a demandé qu’il soit ordonné à Facebook de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer sans le consentement de ce dernier certains témoins de connexion (cookies) sur l’appareil utilisé lorsque cet internaute navigue sur une page Internet du domaine Facebook.com ou sur les sites de tiers, ainsi que de cesser de collecter de manière excessive des données à l’aide de modules sociaux (social plugins) et de pixels sur des sites de tiers. Elle a en outre demandé la destruction de toutes les données personnelles obtenues à l’aide de témoins de connexion (cookies) et de modules sociaux et relatives à tout internaute établi sur le territoire belge.
La procédure au principal est pendante devant le Hof van beroep te Brussel (Cour d’appel de Bruxelles, Belgique) mais a été limitée à l’action intentée contre Facebook Belgium, le Hof van beroep te Brussel ayant préalablement jugé qu’il n’était pas compétent pour connaître des actions intentées à l’encontre de Facebook Inc. et Facebook Ireland Limited.
Dans ce cadre, Facebook soutient que, depuis la date à laquelle le règlement général sur la protection des données (ci-après le « RGPD ») est devenu applicable, l’autorité belge de protection des données n’a plus la compétence pour reprendre la procédure contre Facebook.
Facebook considère que, en vertu du RGPD, seule l’autorité de l’Irlande, État membre dans lequel est situé son établissement principal dans l’Union européenne (appelée autorité de protection des données « chef de file » de Facebook dans l’Union européenne), à savoir l’Irish Data Protection Commission, est habilitée à agir en justice contre Facebook pour des infractions au RGPD concernant un traitement transfrontalier de données.
Dans ce contexte, le Hof van beroep te Brussel a demandé à la Cour de justice si le RGPD s’oppose effectivement à ce qu’une autorité nationale de protection des données, autre que l’autorité « chef de file », intente une action en justice dans son État membre contre des infractions à ce même RGPD en ce qui concerne un traitement transfrontalier de données.
Dans ses conclusions, l’avocat général Michal Bobek estime, tout d’abord, qu’il ressort du libellé du RGPD que l’autorité « chef de file » dispose d’une compétence générale pour ce qui concerne le traitement transfrontalier de données, y compris pour intenter des actions en justice contre la violation du RGPD, et que les autres autorités de contrôle concernées n’ont, par conséquent, qu’un pouvoir limité en la matière.
Quant au fait que le RGPD confère à toute autorité de contrôle le droit d’agir en justice contre d’éventuelles infractions affectant son territoire, l’avocat général indique que ce pouvoir est expressément limité en ce qui concerne le traitement transfrontalier de données afin, précisément, de permettre à l’autorité « chef de file » d’exercer ses missions à cet égard.
L’avocat général rappelle ensuite que l’introduction du mécanisme de guichet unique, avec le rôle important de l’autorité de protection des données « chef de file » et les mécanismes de coopération mis en place pour impliquer d’autres autorités de protection des données, avait précisément pour objectif de résoudre les problèmes que posait la directive antérieure. Les opérateurs économiques étaient en effet tenus de respecter les différents ensembles de règles nationales transposant cette directive et de se concerter, simultanément, avec toutes les autorités nationales de protection des données, ce qui s’est révélé onéreux, lourd et long pour les opérateurs économiques et, immanquablement, source d’incertitudes et de conflits pour eux comme pour leurs clients.
L’avocat général relève encore que l’autorité « chef de file » ne saurait être considérée comme la seule à pouvoir faire appliquer le RGPD dans les situations transfrontalières et qu’elle doit, dans le respect des règles pertinentes et des délais prévus par le RGPD, coopérer étroitement avec les autres autorités de protection des données concernées, dont l’apport est crucial à cet égard.
Enfin, l’avocat général précise qu’il existe différentes situations dans lesquelles les autorités nationales de protection des données peuvent intenter des actions devant les juridictions de leur propre État membre même lorsqu’elles n’agissent pas en tant qu’autorité « chef de file ».
Il s’agit des situations suivantes :
Dans ces conditions, l’avocat général considère que le RGPD permet à l’autorité de protection des données d’un État membre d’agir en justice devant une juridiction de cet État membre contre une infraction alléguée à ce règlement pour ce qui concerne un traitement transfrontalier de données alors qu’elle n’est pas l’autorité « chef de file » disposant du pouvoir général d’agir en justice, pour autant qu’elle le fasse dans les situations pour lesquelles le RGPD lui en attribue explicitement la compétence et conformément aux procédures prévues par ce même règlement.
S’agissant des arguments relatifs au droit des personnes concernées d’agir en justice, l’avocat général souligne que ces personnes peuvent intenter une action contre des responsables du traitement ou des sous-traitants notamment devant les juridictions de l’État membre dans lequel elles-mêmes résident. Il indique que les personnes concernées peuvent introduire une réclamation auprès de l’autorité de protection des données de leur État membre même si l’autorité « chef de file » est l’autorité de protection des données d’un autre État membre. Lorsqu’une réclamation est refusée ou rejetée, la décision pertinente est adoptée et notifiée par la première autorité à la personne concernée qui peut alors contester cette décision devant les juridictions de l’État membre où elle réside.
La question posée est absolument fondamentale.
Si le “chef de file” reçoit trop de pouvoir au détriment des autres autorités, on risque de voir tous les responsables de traitement se précipiter vers des pays réputés cléments. Les mauvaises langues disent que si tous les GAFA sont en Irlande, ce n’est pas uniquement pour des raisons fiscales mais aussi parce que l’autorité locale y serait très coulante. On se souvient que c’est acculée par M. Schrems, que l’Irlande a, contre son gré, serré la vis à l’égard de Facebook.
Si les autorités des autres pays reçoivent trop de pouvoir au détriment du “chef de file” , on risque de revenir à la situation de la directive de 1995 avec 27 États qui tirent chacun la couverture à soi et des responsables de traitement perdus au milieu d’un petit jeu politico-économique.
La logique proposée par l’avocat général n’est pas sans rappeler le mécanisme de la “clause de marché intérieur” que l’on trouve en matière de commerce électronique, et qui a été créée pour répondre à des préoccupations similaires. Selon ce mécanisme :
Les conclusions de l’avocat général sont disponibles en annexe.
Source : Droit & Technologies