RGPD et transfert transfrontalier de données : les autorités non « chef de file » peuvent-elles agir en justice ?
L'Avocat général, Michal Bobek, a remis des conclusions dans lesquelles il estime que l'autorité de protection des données « chef de file » dispose d'une compétence générale pour agir en justice contre des infractions au
L'autorité belge de protection des données a intenté une action en justice devant les juridictions belges contre Facebook (Facebook Inc., Facebook Ireland Ltd, qui est l'établissement principal du groupe dans l'Union européenne, et Facebook Belgium BVBA) afin qu'il lui soit ordonné de :
- cesser, à l'égard de tout internaute établi sur le territoire belge, de placer sans son consentement des cookies sur l'appareil qu'il utilise pour aller sur Facebook ;
- cesser de collecter de manière excessive des données à l'aide de modules sociaux (social pluging) et de pixels sur des sites tiers ;
- de détruire toutes les données personnelles obtenues à l'aide de cookies et de social plugings et relatives à tout internaute établi sur le territoire belge.
La procédure a été limitée à l'action intentée contre Facebook Belgium, la cour d'appel ayant jugé qu'elle n'était pas compétente pour connaître des actions intentées à l'encontre de Facebook Inc. Et Facebook Ireland Limited. Dans ce cadre, Facebook soutient que depuis que le
En effet, le
Le
Compétence générale de l'autorité chef de file. Selon l'Avocat général, il ressort du libellé du
Objectif du mécanisme de guichet unique. L'Avocat général rappelle ensuite que l'introduction du mécanisme de guichet unique avait précisément pour objectif de résoudre les problèmes que posait la directive de 1995 (
Droit des personnes concernées d'ester en justice contre les responsables du traitement et les sous-traitants. Ces personnes peuvent choisir d'intenter une action devant les juridictions de l'État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement ou dans lequel elles‑mêmes résident. L'Avocat général estime que cette règle leur semble plutôt favorable, ou, tout au moins, elle ne semble pas présenter de difficultés pour elles.
Droit des personnes concernées de former des recours contre les autorités de contrôle. Ces personnes concernées peuvent introduire une réclamation auprès de l'autorité de protection des données de leur État membre même si l'autorité « chef de file » est l'autorité de protection des données d'un autre État membre. Lorsqu'une réclamation est refusée ou rejetée, la décision pertinente est adoptée et notifiée par la première autorité à la personne concernée qui peut alors contester cette décision devant les juridictions de l'État membre où elle réside.
Cette solution peut néanmoins susciter un certain nombre de questions pratiques. Quel sera exactement le contenu de chacune de ces décisions ? Ce contenu sera-t-il identique ou différent ? Une personne concernée sera-t-elle autorisée à contester toutes les questions dont elle estime qu'elles ont trait à son affaire, même celles qui, en fait, font partie de la décision de l'autorité chef de file ? Ou bien la décision de l'autorité de contrôle auprès de laquelle la réclamation a été introduite ne sera-t-elle dans une large mesure qu'une « coquille vide », qui ne traitera la réclamation que de manière formelle, tandis que le contenu véritable se trouvera dans la décision de l'autorité chef de file ? Dans ce cas, afin d'avoir accès à un « contrôle juridictionnel effectif », la personne concernée devra-t-elle dans tous les cas intenter une action devant les juridictions de l'État membre sur le territoire duquel l'ACF est établie ? Comment s'appliqueraient les règles d'accès à un recours juridictionnel effectif en ce qui concerne le contrôle de toute décision sous‑jacente, que ce soit au niveau horizontal ou vertical ?
« L'expérience pratique pourrait un jour révéler de réels problèmes concernant la qualité ou même le niveau de protection juridique inhérent au nouveau système. À l'heure actuelle, toutefois, ces questions ne sont encore que des conjectures. »
Rôle possible des autres autorités. L'Avocat général relève également que l'autorité chef de file ne saurait être considérée comme la seule à pouvoir faire appliquer le
Cas dans lesquels les autres autorités peuvent intenter des actions. Enfin, l'Avocat général précise qu'il existe différentes situations dans lesquelles les autorités nationales de protection des données peuvent intenter des actions devant les juridictions de leur propre État membre même lorsqu'elles n'agissent pas en tant qu'autorité « chef de file ». Il s'agit des situations suivantes :
- lorsqu'elles agissent en dehors du champ d'application matériel du
- lorsqu'elles examinent un traitement transfrontalier effectué par des autorités publiques, dans l'intérêt public, dans l'exercice de l'autorité publique ou encore par des responsables du traitement qui ne sont pas établis dans l'Union ;
- lorsqu'elles adoptent des mesures urgentes ;
- lorsqu'elles interviennent après que l'autorité de protection des données « chef de file » a décidé de ne pas traiter un cas.
Le