Par Anne Charlotte Andrieux et Théo Renaudie
Ce 15 juin 2021, la Cour de justice de l’Union européenne a apporté un début de solution à une lutte qui durait depuis 2015 entre l’Autorité de protection des données belge et Facebook Irlande : la désignation par le RGPD de l’Autorité locale, irlandaise, comme chef de file ne prive pas les autres autorités de tout moyen d’action. Explications.
À propos de CJUE, 15 juin 2021, C-645/19, Facebook c. APD belge,
Facebook Ireland vs Facebook Belgium
Le 11 septembre 2015, après avoir constaté que Facebook ne paraît pas réunir toutes les conditions relatives à l’information et au consentement des internautes quant au dépôt de traceurs, la Commission belge de la protection de la vie privée (CPVP) saisit le tribunal de première instance de Bruxelles d’une action en cessation.
La Commission estime en effet que la collecte et l’utilisation d’informations sur le comportement de navigation des internautes belges, détenteurs ou non d’un compte Facebook, par l’utilisation de cookies, de modules sociaux (les boutons « J’aime » ou « Partager ») ou de pixels (traceurs invisibles cachés sous la forme d’un minuscule fichier image), est réalisée en contradiction à la législation belge.
Considérant le traitement transfrontalier, la CPVP vise Facebook Belgium mais également Facebook Ireland et Facebook Inc.
Le 16 février 2018, le tribunal de Bruxelles conclut au bien-fondé des craintes de l’Autorité de protection des données belge et sanctionne le réseau social.
Deux semaines plus tard, le 2 mars, les sociétés Facebook interjettent appel de la décision devant la Cour d’appel de Bruxelles afin qu’elle statue quelques mois plus tard.
Seulement, au moment où la juridiction d’appel bruxelloise s’apprête à se prononcer, le RGPD est entré en vigueur avec son mécanisme du « guichet unique ».
Prévu à l’article 56, § 1 du RGPD, le mécanisme du « guichet unique » a fait l’objet de lignes directives du groupe de l’article 29. Il donne compétence de principe à l’autorité nationale de protection des données de l’État membre au sein duquel se situe l’établissement principal, c’est-à-dire le siège administratif où sont prises les décisions relatives au traitement transfrontalier.
Pour la Cour d’appel, ce mécanisme paraît garantir Facebook Ireland contre les actions en cessation d’autres autorités que l’Autorité irlandaise, chef de file, et les juridictions irlandaises.
Ainsi, contrairement à la décision rendue en première instance : la Cour d’appel ne se reconnaît compétente que pour traiter de l’action intentée contre Facebook Belgium. Or, cette branche ne réalise pas directement le traitement en cause pour lequel Facebook Ireland a été identifiée responsable de traitement.
Les conséquences du dispositif d'autorité chef de file
L’autorité belge est très critique envers les conséquences de ce dispositif d’autorité chef de file et spécifiquement en raison du comportement irlandais jugé peu coopératif et loyal. Son ancien président, Willem Debeuckelaere, déplorait ainsi au journal belge Le Soir le forum shopping des sociétés et le dumping auquel il aboutissait.
L’article du journal constatait ainsi qu’en 2019, après 1 928 plaintes déposées devant le régulateur irlandais, aucune décision n’avait été prise. Et le président de l’APD Belge de déclarer « On a eu un dossier assez clair. Il y a jugement très clair du tribunal de première instance de 2018 sur Facebook. On en a fait la traduction en anglais, on l’a transmise aux autorités mais elles ne réagissent pas. C’est frustrant. ».
C’est sur cette base que la Cour d’appel a formulé une question préjudicielle afin de bénéficier d’une explication claire des conséquences de l’autorité chef de file, guichet unique.
Cinq points ressortent de cette réponse CJUE, C-645/19, Facebook c. Autorité de protection des données belge, du 11 juin 2021 :
- Une autorité nationale de protection des données, qui n’est pas chef de file, peut porter une violation du RGPD par un traitement transfrontalier devant les juridictions si :
a) Elle s’est vue confier, par le RGPD, la compétence pour en constater les violations,
b) Elle a exercé ce pouvoir dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le RGPD.
Ces procédures de coopération et de contrôle de la cohérence sont précisément l’ensemble des répartitions de compétences et les obligations de dialogue loyal dans le cadre du « guichet unique ».
En termes de partage des compétences, l’article 60 § 7 du RGPD prévoit effectivement que l’autorité chef de file a la compétence de principe pour adopter toute décision relative à une violation du RGPD par le traitement transfrontalier qui lui revient, et ce n’est qu’à titre exceptionnel que les articles 56 § 2 et 66 du même règlement partagent ce pouvoir avec une autorité nationale d’un autre État membre.
Toutefois, comme la CJUE le rappelle dans son communiqué de presse, « Le mécanisme [du guichet unique] exige une coopération étroite, loyale et efficace entre [l’autorité chef de file et les autorités nationales], afin d’assurer une protection cohérente et homogène des règles relatives à la protection des données à caractère personnel et ainsi préserver son effet utile. ».
Ainsi, en aucun cas une autorité de contrôle chef de file ne peut s’affranchir de l’indispensable dialogue ni se permettre d’ignorer les points de vue ou les objections pertinentes des autres autorités de contrôle : ces derniers doivent même bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité chef de file.
- Il n’est pas nécessaire que le responsable de traitement ou le sous-traitant dispose d’un établissement sur le territoire de l’État membre pour que l’Autorité de ce dernier puisse y intenter une action en justice.
Seules les règles classiques de l’article 3 § 1 s’appliquent à savoir que le traitement des données à caractère personnel est effectué dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l'Union, que le traitement ait lieu ou non dans l'Union.
L’article 58 § 5 prévoyait la nécessité d’une loi prise par l’État membre pour autoriser l’Autorité à ester en justice mais le point 5. ci-dessous vide cette obligation de sa substance.
- L’action peut être intentée tant contre l’établissement local que contre l’établissement dont les activités effectives comprennent le traitement de données.
En d’autres termes, la juridiction belge était fondée à agir contre Facebook Ireland.
- Les violations commises avant l’entrée en vigueur du RGPD restent soumises aux règles procédurales issues de la directive relative à la protection des données.
- La CJUE reconnaît l’effet direct de la disposition du RGPD confiant aux Etats-Membres le soin de donner pouvoir à leurs autorités de contrôle national de porter toute violation du RGPD à l’attention des autorités judiciaires.
Désormais, même en l’absence de loi, une Autorité de contrôle dispose du pouvoir d’agir en justice pour voir sanctionner une violation du RGPD.
La réponse de la CJUE à la question préjudicielle vient donc préciser le « guichet unique » en remédiant au moins partiellement à ses détournements dont bénéficient les États les moins diligents. L’Irlande n’a qu’à bien se tenir, les GAFAM ne sont plus ses protégés.
* * *
Le Cabinet HAAS Avocats est fort d’une expertise de plus de 20 ans en droit des nouvelles technologies.
Nous accompagnons tous les professionnels dans leur démarche de conformité au RGPD.
Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet Haas réalise tout type de mission en lien avec la protection des données personnelles au sein de deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici.
