RGPD : vers une « jurisprudence Facebook » ?
Dans une affaire impliquant Facebook, la CJUE a précisé le pouvoir des autorités de contrôle vis-à-vis des traitements de données transfrontaliers.
Quels pouvoirs le RGPD confère-t-il vraiment à la CNIL et ses homologues ? La Cour de justice de l'Union européenne vient de trancher une partie de la question. En l'occurrence, sur les traitements de données transfrontaliers.
L'arrêt qu'elle a rendu la semaine passée s'inscrit dans une affaire qui remonte à 2015. À l'origine, il y a une révision de la politique de Facebook en matière de données et de cookies. On avait pu constater les pratiques qui s'étaient ensuivies. Dans les grandes lignes, un suivi à la trace des internautes belges, qu'ils soient ou non membres du réseau social.
En septembre 2015, le président de l'autorité de contrôle nationale (Commission de protection de la vie privée) avait fini par intenter une action en cessation à l'encontre de Facebook. Plus précisément de la maison mère et de ses filiales belge et irlandaise.
Condamné en référé (avant de retourner la situation), Facebook l'avait surtout été sur le fond en février 2018. Le tribunal de première instance néerlandophone de Bruxelles avait conclu à une information insuffisante des personnes concernées. Et à l'invalidité du consentement recueilli.
L'affaire avait rebondi en Cour d'appel. Avec, entre-temps, l'entrée en application du RGPD, le 25 mai 2018. Dans ce contexte, la justice a dû examiner d'une part les faits antérieurs à cette date et de l'autre, les faits postérieurs. Pour les premiers, Facebook Belgique dénonçait une action irrecevable, la transposition du RGPD ayant éliminé la base juridique précédente. Pour les seconds, il avançait le mécanisme du « guichet unique ».
RGPD : Facebook et l'argument irlandais
Ce mécanisme, arrivé avec le RGPD, pose le principe de l'autorité « chef de file ». Il s'agit, texto, de « l'autorité de contrôle de l'établissement principal ou de l'établissement unique du responsable de traitement ou du sous-traitant ». C'est, de manière générale, à elle que revient la compétence concernant les traitements frontaliers de l'établissement en question. À cet égard, Facebook faisait valoir la compétence exclusive du régulateur irlandais (Data Protection Commissioner). Motif : son établissement sur place étant responsable des traitements de données personnelles pour le compte de tous les utilisateurs européens.
Sur ce dernier point, la Cour d'appel hésitait : la CPVP - devenue Autorité de protection de données - peut-elle agir contre Facebook dès lors que la filiale irlandaise a été identifiée comme responsable du traitement des données concernées ? Elle en avait référé à la CJUE.
Cette dernière a notamment pris en compte les exceptions au principe du « guichet unique » inscrites à l'article 56 du RGPD. Elle y a combiné, entre autres, les principes de coopération entre autorités listés dans les articles 60 à 63. Ses principales conclusions sont les suivantes :
- Dans le cas d'un traitement transfrontalier, une autorité de contrôle peut aller devant la justice de son pays sans être chef de file. Ce aussi longtemps que le RFPD lui en confère la compétence et qu'elle respecte les procédures de coopération.
- L'exercice de ce pouvoir ne requiert pas que le responsable ou le sous-traitant visé dispose d'un établissement principal - ou même d'un autre établissement - sur le territoire du pays concerné.
- Le pouvoir peut s'exercer à l'égard de tout établissement du responsable de traitement. Pour autant que l'action en justice vise un traitement effectué dans le cadre des activités de cet établissement. Et que l'autorité soit compétente (voir premier point).
- Une autorité non chef de file peut poursuivre, sur le fondement de la directive 95/46, une action en justice intentée avant le 25 mai 2018.
Cette autorité peut par ailleurs intenter ladite action pour des infractions commises après cette date. Là aussi, sous réserve de compétence.
Photo d'illustration © crescendo - Fotolia
Sur le même thème
Voir tous les articles Business