La Cour de Justice de l’Union européenne a rendu mardi un arrêt précisant les conditions dans lesquelles une autorité nationale de contrôle peut s’attaquer à une entreprise comme Facebook si elle estime que la législation n’est pas respectée dans le cadre d’un traitement transfrontalier de données personnelles, et cela même si le principal établissement responsable du traitement de ces données est situé dans un autre Etat membre.
La Cour a suivi l’avis de l’avocat général selon lequel c’est bien possible sous certaines conditions. Elle était questionnée à ce sujet par la Cour d’appel de Bruxelles, qui doit trancher dans une affaire opposant Facebook à l’APD, l’Autorité (belge) de protection des données.
Le dossier avait débuté en 2015, avant que n’existe le RGPD, le règlement européen sur la protection des données. Le président de la Commission vie privée, ancêtre de l’APD, avait obtenu du tribunal (néerlandophone) de première instance de Bruxelles qu’il ordonne à Facebook de cesser de collecter via cookies et plug-ins les données de navigation d’internautes installés en Belgique, sans qu’ils ne soient suffisamment informés de ce mécanisme. Facebook a fait appel, et c’est dans le cadre de cet appel que la justice belge s’est interrogée sur la compétence dans cette affaire de l’APD, qui avait entre-temps repris le dossier. Facebook renvoie au principe de “guichet unique” introduit par le RGPD, qui est entré en vigueur en 2018. Selon celui-ci, c’est l’autorité irlandaise chargée du contrôle du respect de la vie privée qui est la seule à pouvoir mener une action en justice contre Facebook pour infraction au RGPD, car c’est en Irlande que Facebook a son siège européen.
La CJUE a essentiellement jugé dans son arrêt qu’il est bien possible pour une autorité de contrôle nationale d’agir en justice contre un traitement de données transfrontalier même si ce n’est pas sur son sol qu’est établie la société principalement responsable du traitement de ces données personnelles. Mais c’est l’exception et non la règle, ajoute-t-elle: cela ne peut se faire que dans les conditions prévues par le RGPD, et dans le respect “des procédures de coopération et de contrôle de la cohérence prévues” par ce règlement. Le principe de base serait que la Belgique peut manifester ses réticences auprès de l’Irlande, qui se doit alors d’engager un dialogue dans le but de parvenir à un consensus et à une décision unique valable sur tous les territoires européens où le traitement problématique des données est constaté.
Il reste donc à la Cour d’appel de Bruxelles à déterminer si, dans ce cas, l’autorité irlandaise a bien tendu une oreille attentive et partagé les informations nécessaires, ou, au contraire n’a pas correctement rempli son devoir au regard du RGPD ou a simplement refusé de traiter le cas problématique. En principe, une autorité nationale non-compétente sous l’idée du “guichet unique” ne peut s’attaquer au problème que s’il est spécifiquement lié à son territoire, ou via des mesures temporaires s’il y a urgence. Une procédure qui se base sur la législation pré-RGPD peut par ailleurs valablement se poursuivre sur base des mêmes dispositions, en ce qui concerne des faits antérieurs à l’entrée en vigueur du RGPD, ajoute la Cour.
Dans une réaction communiquée mardi, Facebook s’est réjoui de l’arrêt de la CJUE. Il confirme selon l’entreprise “la valeur et les principes du mécanisme one-stop-shop” et souligne l’importance “d’appliquer le RGPD de manière efficace et cohérente dans l’ensemble de l’UE”, a indiqué Jack Gilbert, avocat général associé chez Facebook, cité par communiqué.
