[Brèves] Traitement transfrontalier de données : la CJUE précise les conditions d’exercice des pouvoirs des autorités nationales de contrôle

► Dans son arrêt, rendu en Grande chambre, la Cour précise les pouvoirs des autorités nationales de contrôle dans le cadre du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) ; ainsi, elle juge notamment que ce Règlement autorise, sous certaines conditions, une autorité de contrôle d’un État membre à exercer son pouvoir de porter toute prétendue violation du « RGPD » devant une juridiction de cet État et d’ester en justice en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’autorité chef de file pour ce traitement.

Faits et procédure. Le 11 septembre 2015, le président de la Commission belge de la protection de la vie privée (ci-après la « CPVP ») saisit le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles, Belgique), d’une action en cessation à l’encontre de Facebook Ireland, Facebook Inc. et Facebook Belgium, visant à mettre un terme à des violations, prétendument commises par Facebook, de la législation relative à la protection des données. Ces violations consistent notamment en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes belges, détenteurs ou non d’un compte Facebook, au moyen de différentes technologies, telles les cookies, les modules sociaux ou les pixels.

Le 16 février 2018, ce tribunal se déclare compétent pour statuer sur cette action et, sur le fond, juge que le réseau social Facebook n'informe pas suffisamment les internautes belges de la collecte et de l’usage des informations concernées. Par ailleurs, le consentement donné par les internautes à la collecte et au traitement desdites informations est jugé non valable.

Le 2 mars 2018, Facebook Ireland, Facebook Inc. et Facebook Belgium interjettent appel de ce jugement devant le Hof van beroep te Brussel (cour d’appel de Bruxelles), la juridiction de renvoi dans la présente affaire. Devant cette juridiction, l’autorité de protection des données (Belgique) (APD) a agi en tant que successeur légal du président de la CPVP.

La juridiction de renvoi se déclare uniquement compétente pour statuer sur l’appel interjeté par Facebook Belgium. La juridiction de renvoi a éprouvé des doutes au sujet de l’incidence de l’application du mécanisme de « guichet unique » prévu par le « RGPD » sur les compétences de l’APD et se pose, plus particulièrement, la question de savoir si, pour les faits postérieurs à l’entrée en vigueur du « RGPD », à savoir le 25 mai 2018, l’APD peut agir contre Facebook Belgium, dès lors que c’est Facebook Ireland qui a été identifiée comme responsable du traitement des données concernées. En effet, depuis cette date et notamment en application du principe de « guichet unique » prévu par le« RGPD », seul le Commissaire irlandais à la protection des données serait compétent pour intenter une action en cessation, sous le contrôle des juridictions irlandaises.

Conditions. En premier lieu, la Cour précise les conditions dans lesquelles une autorité nationale de contrôle, n’ayant pas la qualité d’autorité chef de file en ce qui concerne un traitement transfrontalier, doit exercer son pouvoir de porter toute prétendue violation du « RGPD » devant une juridiction d’un État membre et, le cas échéant, d’ester en justice afin d’assurer l’application de ce Règlement : 

• d’une part, le « RGPD » doit conférer à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce Règlement ; et
• d’autre part, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce Règlement.

En effet, pour les traitements transfrontaliers, le « RGPD » prévoit le mécanisme du « guichet unique », qui est fondé sur une répartition des compétences entre une « autorité de contrôle chef de file » et les autres autorités nationales de contrôle concernées. Ce mécanisme exige une coopération étroite, loyale et efficace entre ces autorités, afin d’assurer une protection cohérente et homogène des règles relatives à la protection des données à caractère personnel et ainsi préserver son effet utile. Le « RGPD » consacre à cet égard la compétence de principe de l’autorité de contrôle chef de file pour adopter une décision constatant qu’un traitement transfrontalier méconnaît les règles prévues par ce Règlement, tandis que la compétence des autres autorités nationales de contrôle pour adopter une telle décision, même à titre provisoire, constitue l’exception. Cependant, dans l’exercice de ses compétences, l’autorité de contrôle chef de file ne saurait s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées. De ce fait, dans le cadre de cette coopération, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file.

La Cour précise par ailleurs que la circonstance qu’une autorité de contrôle d’un État membre qui n’est pas l’autorité de contrôle chef de file s’agissant d’un traitement de données transfrontalier ne puisse exercer le pouvoir de porter toute prétendue violation du « RGPD » devant une juridiction de cet État et d’ester en justice que dans le respect des règles de répartition des compétences décisionnelles entre l’autorité de contrôle chef de file et les autres autorités de contrôle est conforme aux articles 7, 8 et 47 de la Charte des droits fondamentaux de l’Union européenne, garantissant à la personne concernée, respectivement, le droit à la protection de ses données à caractère personnel et le droit à un recours effectif.

Champ d'application territoriale du « RGPD ». En deuxième lieu, la Cour juge que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel visé par cette action dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. Cependant, l’exercice de ce pouvoir doit relever du champ d’application territoriale du « RGPD », ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.

Établissements visés. En troisième lieu, la Cour dit pour droit que, en cas de traitement de données transfrontalier, le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation du « RGPD » devant une juridiction de cet État et, le cas échéant, d’ester en justice peut être exercé :

• tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité ;
• qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.

Cependant, la Cour précise que l’exercice de ce pouvoir suppose que le « RGPD » soit d’application. En l’occurrence, les activités de l’établissement du groupe Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union, ce traitement est effectué « dans le cadre des activités d’un établissement du responsable du traitement » et partant, relève bien du champ d’application du « RGPD ».

Action en justice visant un traitement transfrontalier de données à caractère personnel intentée avant la date d'entrée en vigueur du « RGPD ». En quatrième lieu, la Cour juge que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du « RGPD », une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l’Union, sur le fondement des dispositions de la Directive relative à la protection des données (Directive n° 95/46 du 24 octobre 1995 N° Lexbase : L8240AUQ), laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette Directive a été abrogée. En outre, cette action peut être intentée par cette autorité pour des infractions commises après la date d’entrée en vigueur du « RGPD », pour autant que ce soit dans l’une des situations où, à titre d’exception, ce Règlement confère à cette même autorité une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles prévues par ce Règlement et dans le respect des procédures de coopération que ce dernier prévoit.

Effet direct de l'article 58, 5°, du « RGPD ». En cinquième lieu, la Cour reconnaît l’effet direct de la disposition du « RGPD » en vertu de laquelle chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce Règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice. Par conséquent, une telle autorité peut invoquer cette disposition pour intenter ou reprendre une action contre des particuliers, même si elle n’a pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

© Reproduction interdite, sauf autorisation écrite préalable