Protection des données : la CJUE définit la répartition des compétences entre les autorités de contrôle au sein de l’UE.

A travers un arrêt du 15 juin 2021, la CJUE confirme que toute entreprise, ici Facebook, en infraction avec le RGPD peut être soumise à l’action des CNIL de tout Etat membre sans passer par l’autorité de contrôle du pays d’établissement

Source : ARRÊT DE LA COUR (grande chambre), 15 juin 2021

 

Les autorités administratives belges, en l’occurrence la commission à la protection des données, ont intenté une action à l’encontre des sociétés Facebook Ireland, Facebook Inc. et Facebook Belgium, visant à voir engager leur responsabilité suite à de prétendues violations portant sur la protection des données à caractère personnel telle que définie par la loi belge.

 

Le Tribunal saisi s’était déclaré compétent pour statuer sur cette action et avait estimé que le réseau social Facebook avait failli dans son devoir d’information quant à l’exploitation des données personnelles collectées auprès de ses utilisateurs

 

Ces sociétés ayant formé un recours contre cette décision, la Cour d’appel s’est interrogée sur la compétence des autorités administratives belges, dès lors que le responsable du traitement des données objet du litige était identifié comme étant Facebook Ireland.

 

La CJUE était saisie par voie de question préjudicielle.

 

Dans son arrêt du 15 juin 2021, la Cour affirme que le RGPD accorde aux autorités de contrôle des États membres le pouvoir de porter toute prétendue violation dudit RGPD devant leurs juridictions nationales.

 

La Cour s’appuie ici sur l’article 56 paragraphe 1 du Règlement suivant lequel : « Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. »

 

Pour en arriver à cette conclusion, la Cour précise les conditions dans lesquelles une autorité nationale de contrôle, n’ayant pas la qualité « d’autorité chef de file » au sens de l’article précité, autrement dit l’autorité de contrôle du pays d’établissement de l’infraction auteur de l’infraction, peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre dans le cadre d’un traitement transfrontalier.

 

En effet, le RGPD prévoit un mécanisme dit de « guichet unique » répartissant les  compétences entre l’ « autorité de contrôle chef de file » et les autres autorités nationales de contrôle.

 

Selon la CJUE, ce mécanisme exige une coopération étroite, loyale et efficace entre ces différentes autorités, permettant d’établir une protection cohérente et homogène des règles relatives à la protection des données à caractère personnel.

 

En application du RGPD, la compétence de principe pour adopter une décision constatant qu’un traitement transfrontalier méconnaît les règles prévues par ce règlement est dévolue à l’ « autorité de contrôle chef de file », la compétence des autres autorités nationales de contrôle pour adopter une telle décision demeurant l’exception.

 

La Cour ajoute que, en cas de traitement transfrontalier de données, la compétence d’une autorité de contrôle d’un État membre ne nécessite pas que le responsable du traitement ou le sous-traitant visé par une telle action dispose d’un établissement principal ou d’un autre établissement sur le territoire de ce même État membre mais simplement d’un établissement au sein de l’Union européenne.

 

Par ailleurs, le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’instruire toute prétendue violation du RGPD devant une juridiction de cet État peut être exercé alternativement à l’encontre de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité ou à l’encontre d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.

 

En l’espèce, les activités de l’établissement de Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause, dont Facebook Ireland est le responsable au sein du territoire de l’Union européenne, la Cour considère que ce traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement et relève par conséquent du RGPD.

 

S’agissant en dernier lieu de l’application des dispositions du RGPD dans le temps, la Cour précise que, lorsqu’une autorité de contrôle d’un État membre a intenté une action en justice visant un traitement transfrontalier de données à caractère personnel avant la date de son entrée en vigueur, cette action peut être maintenue sur le fondement des dispositions de l’ancienne directive 95/46/CE du 24 octobre 1995 relative à la protection des données, laquelle demeure applicable en ce qui concerne les infractions aux règles commises jusqu’à la date de son abrogation.

 

Ainsi, les autorités de contrôle belges disposaient bien de la compétence pour saisir leurs propres juridictions nationales aux fins de faire respecter les dispositions du RGPD, bien que l’entreprise visée en tant que responsable de traitement était établie en Irlande et ce, sans avoir besoin de faire appel à leur homologue irlandais.

 

Une autorité nationale peut, dans certains cas, agir directement, sans avoir besoin de passer par son homologue du pays dans lequel la société accusée d’être en infraction opère au niveau européen.