Règlement général sur la protection des données (RGPD) – Conditions d’exercice des pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données – CJUE, 15 juin 2021, C-645/19

Paru dans le N°320 - 24 juin 2021
Juridictions

Dans un arrêt du 15 juin 2021(1 et 2), la Cour de justice de l’Union européenne précise les conditions d’exercice des pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données.

En septembre 2015, le président de la Commission belge de la protection de la vie privée (CPVP) a intenté une action à l’encontre de Facebook Ireland, Facebook et Facebook Belgium pour défaut d’information relative à la collecte et à l’usage de données personnelles.

Condamnés en février 2018, les 3 entités Facebook ont interjeté appel devant la Cour d’appel de Bruxelles. La CPVP ayant été remplacée par l’Autorité de protection des données (APD), cette dernière a agi en lieu et place du président de la CPVP.

La juridiction de renvoi s’est déclarée compétente uniquement pour statuer sur les appels de Facebook Belgium.

Eu égard aux dispositions du règlement 2016/679 du 27 avril 2016 dit "Règlement général sur la protection des données" (RGPD)(3), posant notamment le principe du "guichet unique", la juridiction de renvoi a saisi la Cour de la question de l’intérêt à agir de l’APD belge en tant qu’autorité de contrôle de traitement de données, tant pour les faits antérieurs que postérieurs à l’entrée en vigueur du RGPD le 25 mai 2018, dès lors que la société Facebook Ireland identifiée comme responsable du traitement des données concernées relevait de la compétence du Commissaire irlandais à la protection des données sous le contrôle des juridictions irlandaises.

Saisie par la juridiction de renvoi, la Cour de justice rappelle que le RGPD prévoit, en matière de traitement transfrontalier de données, l’existence tant d’une autorité nationale de contrôle chef de file, que d’autres autorités nationales de contrôle lesquelles exercent leurs compétences respectives dans le respect des procédures de coopération et de contrôle de la cohérence prévue par le règlement. Ainsi, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file.

Dans ce cadre, la Cour de justice considère, au regard du RGPD et de la charte des droits fondamentaux de l’Union européenne, qu’une autorité de contrôle d’un Etat membre qui a le pouvoir de porter toute prétendue violation du RGPD à l’attention d’une juridiction nationale et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’autorité de contrôle chef de file, pour autant que ce soit notamment dans l’une des situations où le règlement lui confère une compétence pour adopter une décision constatant que ledit traitement méconnait les règles qu’il contient, ce qu’il appartient à la juridiction de renvoi de vérifier.

En outre, ce pouvoir peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’Etat membre qu’à l’égard d’un autre établissement de ce responsable pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que l’autorité de contrôle soit compétente pour exercer ce pouvoir.

Par ailleurs, concernant des faits antérieurs à l’entrée en vigueur du RGPD, lequel avait abrogé la directive 95/46 du 24 octobre 1995(4), la Cour de justice considère qu’une action en justice intentée avant cette date par une autorité de contrôle non chef de file peut être maintenue sur le fondement des dispositions de ladite directive. Une telle action peut également être intentée, sur le fondement du RGPD tel qu’interprété, par cette autorité pour des infractions commises après cette date.

Enfin, la Cour de justice considère que l’article 58, paragraphe 5, du RGPD a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.

Informations légales | Données personnelles