1

Compétence d’une autorité de régulation nationale à l’égard d’un traitement de données personnelles transfrontalier

Litige opposant Facebook Ireland Ltd, Facebook Inc. et Facebook Belgium BVBA à l’autorité belge de protection des données à caractère personnel – CJUE, 15 juin 2021, C-645/19.

La dimension internationale ou transfrontière des réseaux de communication électronique pose des questions relatives à la détermination du droit qui leur est applicable et des autorités administratives et judiciaires nationales compétentes pour y veiller. Le droit européen s’efforce de résoudre les difficultés susceptibles d’apparaître, à cet égard, entre les États membres en confiant la compétence de principe à une « autorité de contrôle chef de file » déterminée en fonction du lieu d’implantation de l’établissement principal responsable du traitement.

Répondant à une question préjudicielle soulevée par les juridictions belges à l’occasion d’un litige opposant les sociétés Facebook Ireland Ltd, Facebook Inc. et Facebook Belgium BVBA à l’autorité belge de protection des données à caractère personnel dont elles contestaient la compétence, la Cour de justice de l’Union européenne (CJUE), dans un arrêt du 15 juin 2021, C-645/19, fixe, dans le respect des dispositions du règlement (UE) du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et dans le respect de la Charte des droits fondamentaux de l’Union européenne, les conditions de détermination de la compétence d’une des autorités de régulation nationale à l’égard d’un traitement de données personnelles transfrontalier tel que celui mis en œuvre par le réseau social prélevant, notamment à des fins commerciales, des informations sur les usages qu’en font ses utilisateurs, sans le plein consentement de ces derniers.

La complexité de la question, découlant de celle de la formulation des dispositions en cause, nécessitait l’éclairage et l’interprétation de la Cour de justice.

Dispositions en cause

Mention est d’abord faite, par l’arrêt de la CJUE, de différents considérants du RGPD selon lesquels : « Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union européenne, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. »

À cette fin, il y est posé qu’« il y a lieu que les autorités de contrôle surveillent l’application des dispositions en vertu du présent règlement et contribuent à ce que cette application soit cohérente dans l’ensemble de l’Union ».

Dans un chapitre du règlement relatif aux « autorités de contrôle indépendantes », il est posé, en son article 51, que « chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement » ; que « chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union » ; et que, « à cette fin, les autorités de contrôle coopèrent entre elles ».

S’agissant de la « compétence » de ces autorités, l’article 55 du règlement dispose que « chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie […] sur le territoire de l’État membre dont elle relève. »

Considérant le caractère transfrontalier de certains traitements de données, l’article 56, relatif à la compétence de « l’autorité de contrôle chef de file », énonce que « l’autorité de contrôle de l’établissement principal ou de l’établissement responsable du traitement […] est compétente pour agir », en concertation avec les autres autorités nationales éventuellement compétentes, « en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par le responsable du traitement ».

La mise en œuvre de ces dispositions est susceptible d’être source de difficultés et de conflits, chaque autorité nationale tentant, en violation des principes ainsi énoncés, d’étendre son propre champ de compétence, au détriment d’une autre.

Interprétation de la Cour de justice

En la présente espèce, l’action entreprise par l’autorité belge de protection des données personnelles visait, par la saisine des juridictions nationales, à mettre un terme à ce qu’elle considérait comme constituant une « violation grave et à grande échelle, par Facebook, de la législation en matière de protection de la vie privée consistant en la collecte, par ce réseau social en ligne, d’informations sur le comportement de navigation » des internautes.

Le tribunal belge saisi par ladite autorité nationale s’est déclaré compétent pour statuer sur « l’action en cessation, en tant qu’elle visait Facebook Ireland, Facebook Inc. et Facebook Belgium » et, du fait des manquements constatés, a enjoint ces différentes sociétés « de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer, sans son consentement, des cookies sur le dispositif qu’il utilise lorsqu’il navigue sur une page internet du nom de domaine Facebook.com ou qu’il aboutit sur le site d’un tiers ».

Sur appel des sociétés Facebook, la juridiction saisie a considéré que se posait la question de savoir si l’auto­rité belge de contrôle pouvait « agir contre Facebook Belgium, dès lors que Facebook Ireland a été identifiée comme étant la responsable du traitement des données concernées », rendant l’autorité irlandaise de protection des données seule compétente.

Ont ainsi été posées à la Cour de justice les questions préjudicielles visant à ce qu’il soit déterminé : si les dispositions du RGPD doivent être interprétées en ce sens qu’une autorité de contrôle ne peut être considérée comme compétente « en ce qui concerne un traitement de données transfrontalier si elle n’est pas l’autorité de contrôle chef de file » ; si la réponse est « différente si le responsable dudit traitement de données transfrontalier n’a pas son établissement principal dans cet État membre mais y a un autre établissement » et si l’autorité de contrôle nationale dirige son action « contre l’établissement principal du responsable du même traitement de données transfrontalier plutôt que contre l’établissement qui se trouve dans son propre État membre ».

À ces différentes questions, la CJUE répond notamment que, en application du RGPD, « une autorité nationale de contrôle d’un État membre […] peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’autorité de contrôle chef de file […] pour autant que ce soit dans l’une des situations » où le RGPD « confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient » ; que, « en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file […] ne requiert pas que le responsable du traitement […] dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre » ; que « le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file […] peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité, qu’à l’égard d’un autre établissement de ce responsable », s’agissant d’un « traitement de données effectué dans le cadre des activités de cet établissement ».

L’incertitude liée à la détermination, par le RGPD, de l’autorité nationale de contrôle compétente s’agissant de traitements de données à caractère transfrontalier justifiait, face à la complexité des formulations et des situations, que la CJUE soit saisie de questions préjudicielles visant à éclairer la juridiction belge.

Source :

  • « Protection des données : le maillon faible irlandais », Damien Leloup, Le Monde, 14 septembre 2021.