Offert

RGPD et transfert transfrontalier de données : les autorités non « chef de file » peuvent-elles agir en justice ?

Jurisprudence

L'Avocat général, Michal Bobek, a remis des conclusions dans lesquelles il estime que l'autorité de protection des données « chef de file » dispose d'une compétence générale pour agir en justice contre des infractions au RGPD pour ce qui concerne le traitement transfrontalier de données. Les autres autorités de protection des données concernées sont néanmoins habilitées à agir en justice dans leur État membre dans les cas où le RGPD leur permet spécifiquement de le faire.

L'autorité belge de protection des données a intenté une action en justice devant les juridictions belges contre Facebook (Facebook Inc., Facebook Ireland Ltd, qui est l'établissement principal du groupe dans l'Union européenne, et Facebook Belgium BVBA) afin qu'il lui soit ordonné de :
- cesser, à l'égard de tout internaute établi sur le territoire belge, de placer sans son consentement des cookies sur l'appareil qu'il utilise pour aller sur Facebook ;
- cesser de collecter de manière excessive des données à l'aide de modules sociaux (social pluging) et de pixels sur des sites tiers ;
- de détruire toutes les données personnelles obtenues à l'aide de cookies et de social plugings et relatives à tout internaute établi sur le territoire belge.

La procédure a été limitée à l'action intentée contre Facebook Belgium, la cour d'appel ayant jugé qu'elle n'était pas compétente pour connaître des actions intentées à l'encontre de Facebook Inc. Et Facebook Ireland Limited. Dans ce cadre, Facebook soutient que depuis que le RGPD est applicable, l'Autorité belge de protection des données n'a plus la compétence pour reprendre la procédure contre Facebook. La société considère en effet que seule la CNIL irlandaise, État membre dans lequel est situé son établissement principal dans l'UE (appelée autorité de protection des données « chef de file » de Facebook dans l'UE) est habilitée à agir en justice contre Facebook pour des infractions au RGPD concernant un traitement transfrontalier de données.

En effet, le RGPD prévoit que les organismes qui mettent en œuvre des traitements transfrontaliers peuvent bénéficier du mécanisme du guichet unique et disposer d'un seul interlocuteur pour toutes leurs activités de traitement sur le territoire européen : l'autorité « chef de file ».

Le RGPD s'oppose-t-il effectivement à ce qu'une autorité nationale de protection des données, autre que l'autorité chef de file, intente une action en justice dans son État membre contre des infractions au RGPD en ce qui concerne un traitement transfrontalier de données ?

Compétence générale de l'autorité chef de file. Selon l'Avocat général, il ressort du libellé du RGPD que l'autorité chef de file dispose d'une compétence générale pour ce qui concerne le traitement transfrontalier de données, y compris pour intenter des actions en justice contre la violation du RGPD. Les autres autorités de contrôle concernées n'ont, par conséquent, qu'un pouvoir limité en la matière. Quant au fait que le RGPD confère à toute autorité de contrôle le droit d'agir en justice contre d'éventuelles infractions affectant son territoire, l'avocat général indique que ce pouvoir est expressément limité en ce qui concerne le traitement transfrontalier de données afin, précisément, de permettre à l'autorité « chef de file » d'exercer ses missions à cet égard.

Objectif du mécanisme de guichet unique. L'Avocat général rappelle ensuite que l'introduction du mécanisme de guichet unique avait précisément pour objectif de résoudre les problèmes que posait la directive de 1995 (PE et Cons. UE, dir. 95/46/CE, 24 oct. 1995). Les opérateurs économiques étaient en effet tenus de respecter les différents ensembles de règles nationales transposant cette directive et de se concerter, simultanément, avec toutes les autorités nationales de protection des données ; ce qui s'est révélé : onéreux, lourd et long pour les opérateurs économiques et sources d'incertitudes et de conflits pour eux et leurs clients.

Droit des personnes concernées d'ester en justice contre les responsables du traitement et les sous-traitants. Ces personnes peuvent choisir d'intenter une action devant les juridictions de l'État membre dans lequel le responsable du traitement ou le sous-traitant dispose d'un établissement ou dans lequel elles‑mêmes résident. L'Avocat général estime que cette règle leur semble plutôt favorable, ou, tout au moins, elle ne semble pas présenter de difficultés pour elles.

Droit des personnes concernées de former des recours contre les autorités de contrôle. Ces personnes concernées peuvent introduire une réclamation auprès de l'autorité de protection des données de leur État membre même si l'autorité « chef de file » est l'autorité de protection des données d'un autre État membre. Lorsqu'une réclamation est refusée ou rejetée, la décision pertinente est adoptée et notifiée par la première autorité à la personne concernée qui peut alors contester cette décision devant les juridictions de l'État membre où elle réside.
Cette solution peut néanmoins susciter un certain nombre de questions pratiques. Quel sera exactement le contenu de chacune de ces décisions ? Ce contenu sera-t-il identique ou différent ? Une personne concernée sera-t-elle autorisée à contester toutes les questions dont elle estime qu'elles ont trait à son affaire, même celles qui, en fait, font partie de la décision de l'autorité chef de file ? Ou bien la décision de l'autorité de contrôle auprès de laquelle la réclamation a été introduite ne sera-t-elle dans une large mesure qu'une « coquille vide », qui ne traitera la réclamation que de manière formelle, tandis que le contenu véritable se trouvera dans la décision de l'autorité chef de file ? Dans ce cas, afin d'avoir accès à un « contrôle juridictionnel effectif », la personne concernée devra-t-elle dans tous les cas intenter une action devant les juridictions de l'État membre sur le territoire duquel l'ACF est établie ? Comment s'appliqueraient les règles d'accès à un recours juridictionnel effectif en ce qui concerne le contrôle de toute décision sousjacente, que ce soit au niveau horizontal ou vertical ?
« L'expérience pratique pourrait un jour révéler de réels problèmes concernant la qualité ou même le niveau de protection juridique inhérent au nouveau système. À l'heure actuelle, toutefois, ces questions ne sont encore que des conjectures. »

Rôle possible des autres autorités. L'Avocat général relève également que l'autorité chef de file ne saurait être considérée comme la seule à pouvoir faire appliquer le RGPD dans les situations transfrontalières. Elle doit coopérer étroitement avec les autres autorités de protection des données concernées, dont l'apport est crucial à cet égard.

Cas dans lesquels les autres autorités peuvent intenter des actions. Enfin, l'Avocat général précise qu'il existe différentes situations dans lesquelles les autorités nationales de protection des données peuvent intenter des actions devant les juridictions de leur propre État membre même lorsqu'elles n'agissent pas en tant qu'autorité « chef de file ». Il s'agit des situations suivantes :
- lorsqu'elles agissent en dehors du champ d'application matériel du RGPD ;
- lorsqu'elles examinent un traitement transfrontalier effectué par des autorités publiques, dans l'intérêt public, dans l'exercice de l'autorité publique ou encore par des responsables du traitement qui ne sont pas établis dans l'Union ;
- lorsqu'elles adoptent des mesures urgentes ;
- lorsqu'elles interviennent après que l'autorité de protection des données « chef de file » a décidé de ne pas traiter un cas.

Le RGPD permet à l'autorité de protection des données d'un État membre d'agir en justice devant une juridiction de cet État membre contre une infraction alléguée à ce règlement pour ce qui concerne un traitement transfrontalier de données alors qu'elle n'est pas l'autorité « chef de file » disposant du pouvoir général d'agir en justice, pour autant qu'elle le fasse dans les situations pour lesquelles le RGPD lui en attribue explicitement la compétence et conformément aux procédures prévues par ce même règlement.