RGPD : les affaires transfrontalières ne se limitent pas à l’autorité « cheffe de file », selon la Cour de justice de l’UE

L'application du RGPD est actuellement structurée autour d'un mécanisme de guichet unique qui attribue la direction des affaires transfrontalières à l'autorité de protection des données où l'organisation de traitement est légalement basée. [EPA-EFE/JULIEN WARNAND}]

Les autorités nationales de protection des données ont le pouvoir, dans des circonstances exceptionnelles, de lancer des procédures d’infraction au règlement général sur la protection des données (RGPD) contre des entreprises enregistrées dans un autre État membre de l’Union européenne, a jugé la plus haute juridiction de l’UE.

Dans cet arrêt daté de mardi (15 juin), la Cour de justice de l’Union européenne (CJUE) a indiqué les conditions spécifiques dans lesquelles les autorités nationales de contrôle peuvent porter devant les tribunaux de leur juridiction les infractions présumées aux règles de protection des données.

L’application du RGPD est actuellement structurée autour d’un mécanisme de guichet unique qui attribue la direction des affaires transfrontalières à l’autorité de protection des données où l’organisation de traitement est légalement basée.

D’après la décision de justice, dans des circonstances exceptionnelles d’urgence ou lorsque l’impact est limité à une juridiction nationale ou locale, une autorité de contrôle non « cheffe de file » peut également engager une procédure.

L’affaire Facebook

L’arrêt s’inscrit dans le cadre d’une procédure engagée par la Commission belge de la protection de la vie privée en septembre 2015 à la suite de violations présumées de données par Facebook Inc, Facebook Ireland et Facebook Belgium.

Le chien de garde belge de la vie privée a estimé que Facebook et ses filiales enfreignaient la loi sur la protection des données en collectant des données comportementales d’internautes belges, même lorsqu’ils ne possédaient pas de compte Facebook.

L’acquisition des données se faisait par le biais de technologies de suivi telles que les cookies, les plug-ins sociaux et les pixels. Le tribunal belge a confirmé l’avis de l’autorité de protection des données, au motif que les internautes n’avaient pas été suffisamment informés des pratiques de collecte de données de Facebook et ne pouvaient donc pas y consentir.

Le réseau social a fait appel de ce jugement en mars 2018, et le RGPD est entré en vigueur peu après. La cour d’appel a exigé des précisions sur la disposition du RGPD relative au guichet unique, se demandant si elle était compétente pour intervenir contre Facebook Belgique alors que Facebook Irlande est le responsable du traitement des données au sein de l’UE.

Implications de l’arrêt

Facebook s’est félicité de l’arrêt et a déclaré qu’il l’interprétait comme étayant la logique du mécanisme de guichet unique et confirmant que les cas où les autorités d’autres États membres de l’UE prennent l’initiative « constituent l’exception à la règle. »

« Nous sommes heureux que la CJUE ait confirmé la valeur et les principes du mécanisme de guichet unique, et ait souligné son importance pour garantir l’application efficace et cohérente du RGPD dans toute l’UE« , a déclaré Jack Gilbert, avocat général associé chez Facebook, à EURACTIV.

Cependant, d’autres étaient plus préoccupés par la décision des juges selon laquelle, dans les cas urgents, ou dans ceux qui ne concernent qu’un seul État membre, les autorités nationales de protection des données peuvent engager des procédures contre des entreprises basées ailleurs.

La Computer and Communications Industry Association (CCIA), qui compte Amazon, Facebook et Google parmi ses membres, a déclaré qu’elle regrettait la décision de la CJUE et craignait qu’elle n’entraîne une application incohérente et incertaine du RGPD.

Alex Roure, Senior Policy Manager de CCIA Europe, considère que l’arrêt « a ouvert une porte dérobée à toutes les autorités nationales chargées de la protection des données pour entamer de multiples procédures contre les entreprises. » Pour l’association professionnelle, le jugement pourrait conduire à des interprétations diverses des règles de protection des données à travers l’Union européenne.

Le jugement a toutefois été salué par le Bureau européen des unions de consommateurs (BEUC), qui a déclaré que le fait de n’avoir qu’une seule autorité de surveillance pour les cas transfrontaliers est une grave lacune qui nuit à l’application du RGPD, l’Irlande en étant un exemple.

« La plupart des entreprises Big Tech sont basées en Irlande, et ce ne devrait pas être à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l’UE, surtout si elle ne relève pas le défi« , a déclaré la directrice générale du BEUC, Monique Goyens.

L’Irlande a été accusée par les autres autorités de protection des données de l’Union européenne de ne pas prendre suffisamment de mesures contre les entreprises du secteur des technologies de l’information. En mai, les députés européens ont voté en faveur d’une résolution appelant à une procédure d’infraction contre l’Irlande pour défaut d’application du RGPD.

En réponse, le commissaire irlandais à la protection des données a imputé le faible taux de réponse aux plaintes relatives à la vie privée à un manque de ressources.

RGPD : les eurodéputés demandent une procédure d'infraction contre l'Irlande

Le Parlement européen a voté, jeudi 20 mai, en faveur d’une résolution demandant à la Commission européenne d’ouvrir une procédure d’infraction contre l’Irlande pour défaut d’application du Règlement général sur la protection des données (RGPD).

Subscribe to our newsletters

Subscribe