Dans sa récente décision du 15 juin 2021 impliquant Facebook et l’Autorité de protection des données ( » APD « ) de Belgique, la Cour de justice de l’Union européenne (la » CJUE » ou la » Cour « ) a clarifié les conditions dans lesquelles les autorités de contrôle qui ne sont pas chefs de file peuvent exercer leurs pouvoirs dans le cadre d’un traitement transfrontalier de données à caractère personnel.
Selon cette décision, dans certaines circonstances, une autorité de contrôle nationale a la possibilité de porter toute violation présumée du RGPD devant une juridiction d’un État membre, même si cette autorité n’est pas l’autorité de contrôle chef-de-file en ce qui concerne ce traitement.
1. Informations générales
1.1. Rappel sur le mécanisme du guichet unique
Le Règlement général sur la protection des données (RGPD) prévoit le mécanisme du guichet unique lorsque les opérations de traitement sont effectuées à travers ou concernent des personnes situées dans plus d’un État membre (c’est-à-dire un traitement transfrontalier).
En pratique, ce mécanisme permet aux responsables du traitement ou aux sous-traitants des traitements de données transfrontalièrs d’interagir avec une seule autorité de contrôle dans toute l’UE, l‘autorité de contrôle chef-de-file. L’autorité de contrôle chef-de-file est l’autorité de l’État membre où se trouve le principal établissement du responsable du traitement ou du sous-traitant. Cette autorité prend les initiatives en matière d’audit, d’amendes, etc.
Toutefois, les autres autorités nationales concernées sont toujours impliquées dans le processus décisionnel par le biais du mécanisme de cohérence et de coopération (voir ici pour plus de détails sur le guichet unique).
1.2. Les problèmes liés au mécanisme de guichet unique
Certaines autorités (allemandes, par exemple) se sont récemment plaintes d’autres autorités, comme l’Irlande et le Luxembourg, du fait qu’elles se seraient montrées trop indulgentes et n’auraient pas infligé d’amendes aux multinationales technologiques où ces dernières ont leur principal établissement. On peut donc imaginer que ces autorités ont essayé de trouver des failles dans le règlement pour sanctionner directement les entreprises en infraction.
Ainsi, la CNIL a réussi à infliger des amendes de 100 millions et 35 millions d’euros, respectivement, à Google et Amazon pour violation des règles relatives aux cookies, au motif que les questions relatives aux cookies relèvent de la directive « vie privée et communications électroniques » et que, dans ce cas, le mécanisme de guichet unique prévu par le RGPD ne s’applique pas. (voir ici)
Maintenant, il semble que ce soit au tour de l’APD belge d’essayer de sanctionner directement les violations du RGPD.
1.3. La procédure
En septembre 2015, l’APD belge a introduit une action devant le tribunal belge compétent contre Facebook Ireland, Facebook Inc. et Facebook Belgium, afin de mettre fin à des infractions présumées à la protection des données par Facebook.
Ces infractions consistaient en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes belges, qu’ils soient ou non titulaires d’un compte Facebook, au moyen de diverses technologies, telles que des cookies, des plug-ins sociaux ou des pixels.
Après un recours de Facebook, la Cour d’appel ou la Cour de renvoi n’était pas certaine de savoir si l’APD belge était toujours compétente étant donné qu’elle a introduit un recours avant l’entrée en vigueur du RGPD (25 mai 2018) et que Facebook Ireland a été identifié comme le responsable de ces traitements.
En effet, si l’on appliquait strictement le mécanisme du guichet unique prévu par le RGPD, il s’agit d’un traitement de données transfrontalier réalisé par Facebook Ireland, son principal établissement et donc, l’APD irlandaise devrait être l’autorité chef-de-file.
Par ailleurs, le raisonnement de la CNIL sur les cookies ne pourrait pas s’appliquer car l’affaire concernait des traitements ultérieurs à l’accès et au stockage de données personnelles dans le terminal des utilisateurs au moyen de cookies.
2. Constatations de la CJUE
2.1. Une autorité de contrôle non chef-de-file peut saisir une juridiction pour une infraction au RGPD
La Cour considère qu’une autorité de contrôle d’un État membre peut saisir une juridiction de cet État pour toute infraction présumée au RGPD et engager une procédure judiciaire en relation avec un traitement transfrontalier de données, même si cette autorité de contrôle n’est pas l’autorité de contrôle chef-de-file.
Toutefois, elle ne peut exercer ce pouvoir que dans l’une des situations où ce règlement confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement est contraire à ce règlement, et que les procédures de coopération et de cohérence prévues par ce règlement sont respectées.
En effet, le RGPD prévoit des exceptions aux règles du guichet unique afin d’éviter le » forum shopping « , par exemple en cas d’urgence ou si l’autorité de contrôle chef-de-file ne coopère pas comme l’exige le RGPD.
En l’espèce, la CJUE rappelle qu’il appartient à la juridiction de renvoi de déterminer si elle relève de l’une de ces exceptions mais ajoute également que l’APD a demandé en avril 2019 au commissaire à la protection des données (Irlande) de répondre à sa demande dans les meilleurs délais, mais qu’aucune réponse n’a été fournie.
2.2. L’Autorité peut intenter une action contre le responsable du traitement ou son principal établissement, quelle que soit leur localisation dans l’UE
La CJUE a jugé qu’il n’était pas nécessaire que le responsable d’un traitement transfrontalier de données à caractère personnel contre lequel une procédure est engagée ait un établissement principal ou un autre établissement sur le territoire de l’État membre de cette Autorité.
Cette dernière peut intenter une action (ou exercer son pouvoir) contre l’établissement principal (c’est-à-dire le responsable des activités de traitement) ou contre un autre établissement de ce responsable, à condition que l’objet de la procédure judiciaire soit un traitement de données effectué dans le cadre des activités de cet établissement et que cette autorité soit compétente pour exercer ce pouvoir (peu importe la localisation de l’établissement).
En l’espèce, Facebook a relevé que l’APD Belge ne pouvait pas intenter une action contre Facebook Belgique puisque Facebook Irlande était l’établissement principal et le seul responsable du traitement transfrontalier.
La CJUE rappelle que Facebook Belgique était un établissement créé en Belgique, à titre principal, pour permettre au groupe Facebook de dialoguer avec les institutions européennes et, à titre secondaire, pour promouvoir la publicité et le marketing de ce groupe auprès des personnes résidant en Belgique.
En raison de cette seconde finalité, il a été considéré que le traitement transfrontalier de données effectué par Facebook Ireland était également réalisé dans le cadre des activités de l’établissement Facebook Belgium et que, par conséquent, une action pouvait également être intentée à son encontre. (voir aussi le cas Google Espagne).
Pour une lecture complète de la décision, cliquez ici
Pour toute question ou si vous avez besoin d’aide, vous pouvez contacter Arnaud Blanc, Avocat.
Cette publication est également disponible en en_GB.