RGPD : la CJUE précise les compétences des Cnil non chefs de file
Dans un arrêt du 15 juin 2021, la Cour de justice de l’Union européenne a précisé les conditions d’exercice des autorités de contrôle qui ne sont pas chefs de file au sens du RGPD, dans le cadre d’un traitement de données personnelles transfrontalier. Elle estime que, sous certaines conditions, l’autorité de contrôle d’un État membre peut exercer son pouvoir de porter toute violation du RGPD devant la juridiction de cet état ou d’ester en justice en ce qui concerne ce traitement transfrontalier alors qu’elle n’est pas autorité chef de file.
La Cour intervient dans le cadre d’un litige qui a opposé Facebook à l’autorité de contrôle belge, l’Autorité de protection des données (ADP) qui agit en tant que successeur légal du président de la CPVP (Commission de Protection de la Vie Privée). Le 11 septembre 2015, ce dernier avait intenté une action en cessation à l’égard de Facebook concernant une violation grave et à grande échelle en matière de collecte d’informations sur le comportement de navigation tant des détenteurs d’un compte Facebook que des non détenteurs de comptes au moyen de cookies, de modules sociaux tels que les boutons « j’aime », « partager » ou encore de pixels. Par un jugement du 16 février 2018, le tribunal de première instance de Bruxelles s’était déclaré compétent pour statuer sur l’action en cessation contre Facebook Irland, Inc. et Belgium et avait déclaré irrecevable la demande d’intervention volontaire présentée par la CPVP. Sur le fond, il avait jugé que le réseau social n’informait pas suffisamment les internautes belges de la collecte de données les concernant et de leur usage. Il avait également considéré que le consentement donné par les internautes n’était pas valable. Le 2 mars 2018, Facebook a interjeté appel de ce jugement et la cour d’appel de Bruxelles s’est déclarée compétente uniquement concernant l’action en cessation à l’égard de Facebook Belgium. Avant de statuer sur le fond du litige principal, la cour d’appel a interrogé la CJUE sur la question de savoir si l’APD dispose de la qualité pour agir, au sens du RGPD.
En vertu de l’article 56 1) du RGPD, l’autorité de contrôle du lieu de l’établissement principal est compétente en tant qu’autorité de contrôle chef de file dans le cadre d’un traitement transfrontalier. La première question posée à la Cour portait sur le fait de savoir si une autorité de contrôle qui n’est pas chef de file peut exercer le pouvoir de porter toute violation du RGPD devant des juridictions de l’Etat membre ou le cas échéant ester en justice. La Cour a répondu en précisant les conditions dans lesquelles elle peut intervenir. Elle rappelle que le RGPD consacre la compétence de principe de l’autorité chef de file mais que cette dernière ne peut s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées. Dans le cadre de cette coopération, elle ne peut ignorer les points de vue des autres autorités concernées et que toute objection pertinente formulées par l’une d’entre elles a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file. A la seconde question posée qui portait sur le fait de savoir si une autorité de contrôle qui n’est pas chef de file peut intervenir à condition que le responsable de traitement transfrontalier dispose d’un établissement principal sur le territoire de cet État membre, la Cour a répondu par la négative.
Il a ensuite été demandé à la Cour de se prononcer sur la question de savoir si la juridiction de renvoi est compétente pour examiner une action en cessation à l’égard de Facebook Belgium compte tenu du fait que le siège social européen du groupe Facebook est situé en Irlande et que Facebook Irland est la responsable de la collecte et du traitement de données à caractère personnel pour l’ensemble du territoire de l’Union européenne. Facebook Belgium a été créée pour permettre l’entretien de relations avec les institutions de l’Union européenne et accessoirement pour promouvoir les activités publicitaires et marketing du groupe pour les personnes en Belgique. La Cour relève d’une part que Facebook Belgium génère une partie substantielle de ses revenus grâce à la publicité diffusée sur le réseau social qui est destinée à assurer en Belgique la promotion et la vente d’espaces publicitaires, ce qui sert à rentabiliser les services de Facebook. D’autre part, l’activité de lobbying auprès des institutions de l’UE constitue un point de contact avec elles afin d’établir une politique de traitement de données. La Cour conclut que les activités de Facebook Belgium doivent être considérées comme étant indissociablement liées au traitement de données à caractère personnel en cause au principal et donc doivent être regardées comme étant effectuées dans le cadre des activités d’un établissement du responsable de traitement.
Par ailleurs lorsqu’une action de contrôle est intentée avant la date d’entrée en vigueur du règlement, une action en justice peut être maintenue sur le fondement de la directive européenne pour la protection des données, laquelle demeure applicable en ce qui concerne les infractions relatives aux règles qu’elle prévoit commises jusqu’à la date à laquelle la directive a été abrogée. Cette action peut en outre être intentée par cette autorité pour les infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations précisées par la Cour, ou si le règlement confère à cette même autorité une compétence pour adopter une telle décision constatant de telles violations.