Affaire C‑645/19
Facebook Ireland Limited,
Facebook Inc.
et
Facebook Belgium BVBA
contre
Gegevensbeschermingsautoriteit
(demande de décision préjudicielle, introduite par le hof van beroep te Brussel)
Arrêt de la Cour(grande chambre) du 15 juin 2021
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de “guichet unique” – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d’ester en justice »
1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Mécanisme de guichet unique – Autorités nationales de contrôle – Pouvoirs – Pouvoir d’une autorité de contrôle d’un État membre, n’ayant pas la qualité d’autorité de contrôle chef de file, d’ester en justice – Traitement de données transfrontalier – Conditions d’exercice – Compétence de l’autorité nationale de contrôle concernant ce traitement – Coopération loyale et efficace entre les autorités de contrôle
(Charte de droits fondamentaux de l’Union européenne, art. 7, 8 et 47 ; règlement du Parlement européen et du Conseil 2016/679, art. 55, § 1, 56 à 58 et 60 à 66)
(voir points 50-53, 56-59, 63-69, 75, disp. 1)
2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Mécanisme de guichet unique – Autorités nationales de contrôle – Pouvoirs – Pouvoir d’une autorité de contrôle d’un État membre, n’ayant pas la qualité d’autorité de contrôle chef de file, d’ester en justice – Traitement de données transfrontalier – Conditions d’exercice – Nécessité pour le responsable du traitement ou le sous-traitant concerné de disposer d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre – Absence
(Règlement du Parlement européen et du Conseil 2016/679, art. 3, § 1, 56, § 1, et 58, § 5)
(voir points 79-84, disp. 2)
3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Mécanisme de guichet unique – Autorités nationales de contrôle – Pouvoirs – Pouvoir d’une autorité de contrôle d’un État membre, n’ayant pas la qualité d’autorité de contrôle chef de file, d’ester en justice – Traitement de données transfrontalier – Pouvoir exercé tant à l’égard de l’établissement principal du responsable du traitement se trouvant dans l’État membre d’appartenance de cette autorité qu’à l’égard d’un autre établissement de ce responsable – Conditions d’exercice
(Règlement du Parlement européen et du Conseil 2016/679, art. 56, § 1 et 58, § 5)
(voir points 88-91, 94-96, disp. 3)
4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Mécanisme de guichet unique – Autorités nationales de contrôle – Pouvoirs – Autorité de contrôle d’un État membre, n’ayant pas la qualité d’autorité de contrôle chef de file – Traitement de données transfrontalier – Action en justice visant ce traitement introduite par cette autorité de contrôle avant la date d’entrée en vigueur du règlement – Impact sur les conditions d’exercice de son pouvoir d’ester en justice – Maintien de cette action – Conditions
(Règlement du Parlement européen et du Conseil 2016/679, art. 56, § 1, et 58, § 5 ; directive du Parlement européen et du Conseil 95/46)
(voir points 99-105, disp. 4)
5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Pouvoirs – Disposition consacrant le pouvoir d’une autorité de contrôle d’un État membre d’ester en justice – Effet direct
(Art. 288, 2e al., TFUE ; règlement du Parlement européen et du Conseil 2016/679, art. 58, § 5)
(voir points 109-113, disp. 5)
Résumé
Règlement général sur la protection des données (RGPD) : La Cour précise les conditions d’exercice des pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données
Sous certaines conditions, une autorité de contrôle nationale peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État membre, même si elle n’est pas l’autorité chef de file pour ce traitement
Le 11 septembre 2015, le président de la Commission belge de la protection de la vie privée, (ci-après la « CPVP ») a saisi le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles, Belgique), d’une action en cessation à l’encontre de Facebook Ireland, Facebook Inc. et Facebook Belgium, visant à mettre un terme à des violations, prétendument commises par Facebook, de la législation relative à la protection des données. Ces violations consistaient notamment en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes belges, détenteurs ou non d’un compte Facebook, au moyen de différentes technologies, telles les cookies, les modules sociaux (1) ou les pixels.
Le 16 février 2018, ce tribunal s’est déclaré compétent pour statuer sur cette action et, sur le fond, a jugé que le réseau social Facebook n’avait pas suffisamment informé les internautes belges de la collecte et de l’usage des informations concernées. Par ailleurs, le consentement donné par les internautes à la collecte et au traitement desdites informations a été jugé non valable.
Le 2 mars 2018, Facebook Ireland, Facebook Inc. et Facebook Belgium ont interjeté appel de ce jugement devant le Hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), la juridiction de renvoi dans la présente affaire. Devant cette juridiction, l’Autorité belge de protection des données (ci-après l’« APD ») a agi en tant que successeur légal du président de la CPVP. La juridiction de renvoi s’est déclarée uniquement compétente pour statuer sur l’appel interjeté par Facebook Belgium.
La juridiction de renvoi a éprouvé des doutes au sujet de l’incidence de l’application du mécanisme de « guichet unique » prévu par le règlement relatif à la protection des données (2) sur les compétences de l’APD et s’est posé, plus particulièrement, la question de savoir si, pour les faits postérieurs à l’entrée en vigueur du RGPD, à savoir le 25 mai 2018, l’APD peut agir contre Facebook Belgium, dès lors que c’est Facebook Ireland qui a été identifié comme responsable du traitement des données concernées. En effet, depuis cette date et notamment en application du principe de « guichet unique » prévu par le RGPD, seul le Commissaire irlandais à la protection des données serait compétent pour intenter une action en cessation, sous le contrôle des juridictions irlandaises.
Dans son arrêt, rendu en grande chambre, la Cour précise les pouvoirs des autorités nationales de contrôle dans le cadre du RGPD. Ainsi, elle juge notamment que ce règlement autorise, sous certaines conditions, une autorité de contrôle d’un État membre à exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État et d’ester en justice en ce qui concerne un traitement de données transfrontalier (3), alors qu’elle n’est pas l’autorité chef de file pour ce traitement.
Appréciation de la Cour
En premier lieu, la Cour précise les conditions dans lesquelles une autorité nationale de contrôle, n’ayant pas la qualité d’autorité chef de file en ce qui concerne un traitement transfrontalier, doit exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre et, le cas échéant, d’ester en justice afin d’assurer l’application de ce règlement. Ainsi, d’une part, le RGPD doit conférer à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce règlement et, d’autre part, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement (4).
En effet, pour les traitements transfrontaliers, le RGPD prévoit le mécanisme du « guichet unique » (5), qui est fondé sur une répartition des compétences entre une « autorité de contrôle chef de file » et les autres autorités nationales de contrôle concernées. Ce mécanisme exige une coopération étroite, loyale et efficace entre ces autorités, afin d’assurer une protection cohérente et homogène des règles relatives à la protection des données à caractère personnel et ainsi préserver son effet utile. Le RGPD consacre à cet égard la compétence de principe de l’autorité de contrôle chef de file pour adopter une décision constatant qu’un traitement transfrontalier méconnaît les règles prévues par ce règlement (6), tandis que la compétence des autres autorités nationales de contrôle pour adopter une telle décision, même à titre provisoire, constitue l’exception (7). Cependant, dans l’exercice de ses compétences, l’autorité de contrôle chef de file ne saurait s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées. De ce fait, dans le cadre de cette coopération, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file.
La Cour précise par ailleurs que la circonstance qu’une autorité de contrôle d’un État membre qui n’est pas l’autorité de contrôle chef de file s’agissant d’un traitement de données transfrontalier ne puisse exercer le pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État et d’ester en justice que dans le respect des règles de répartition des compétences décisionnelles entre l’autorité de contrôle chef de file et les autres autorités de contrôle (8) est conforme aux articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, garantissant à la personne concernée, respectivement, le droit à la protection de ses données à caractère personnel et le droit à un recours effectif.
En deuxième lieu, la Cour juge que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice (9) ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel visé par cette action dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. Cependant, l’exercice de ce pouvoir doit relever du champ d’application territoriale du RGPD (10), ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.
En troisième lieu, la Cour dit pour droit que, en cas de traitement de données transfrontalier, le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation du RGPD devant une juridiction de cet État et, le cas échéant, d’ester en justice peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.
Cependant, la Cour précise que l’exercice de ce pouvoir suppose que le RGPD soit d’application. En l’occurrence, les activités de l’établissement du groupe Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union, ce traitement est effectué « dans le cadre des activités d’un établissement du responsable du traitement » et partant, relève bien du champ d’application du RGPD.
En quatrième lieu, la Cour juge que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du RGPD, une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l’Union, sur le fondement des dispositions de la directive relative à la protection des données (11), laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. En outre, cette action peut être intentée par cette autorité pour des infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à cette même autorité une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles prévues par ce règlement et dans le respect des procédures de coopération que ce dernier prévoit.
En cinquième et dernier lieu, la Cour reconnaît l’effet direct de la disposition du RGPD en vertu de laquelle chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice. Par conséquent, une telle autorité peut invoquer cette disposition pour intenter ou reprendre une action contre des particuliers, même si elle n’a pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.