Facebook Ireland, guichet unique et exceptions : précisions sur les pouvoirs des autorités nationales « non-chefs de file » pour le traitement transfrontalier de données

Par un arrêt du 15 juin 2021, la grande chambre de la Cour de justice énumère les conditions dans lesquelles une autorité nationale de contrôle qui n'est pas chef de file du traitement peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de son État, en marge du mécanisme de « guichet unique » qui prévoit l'exclusivité d'action en matière de traitements transfrontaliers au profit de l'autorité chef de file de l'État membre du responsable de traitement ou du sous-traitant.

La Cour de justice a principalement suivi les pistes proposées par l'avocat général Michal Bobek allant dans le sens des exceptions au mécanisme de la compétence exclusive prévue par le mécanisme de guichet unique pour permettre aux autorités nationales de contrôles non-chefs de file (ci-après « NCF ») d'agir en justice sous certaines conditions (V. RGPD et transfert transfrontalier de données : les autorités non « chef de file » peuvent-elles agir en justice ?).

Avant de construire son raisonnement, elle consacre une bonne moitié de la décision aux notions et règles pertinentes du RGPD contenues dans ses considérants et articles. Sont notamment rappelés :

- les objectifs du RGPD, les impératifs de son application cohérente dans toute l'Union et de la coopération entre les États membres à cette fin,
- le recours juridictionnel effectif,
- le champ d'application territorial,
- les notions de l'établissement principal, du traitement transfrontalier, de l'autorité de contrôle et le principe de son indépendance sur le territoire de l'État membre dont elle relève,
- la règle de la compétence exclusive de l'autorité de contrôle chef de file concernant le traitement transfrontalier effectué par le responsable du traitement ou le sous‑traitant implanté sur le territoire de son État membre,
- les règles de la coopération entre l'autorité de contrôle chef de file et les autres autorités de contrôle concernées, l'assistance mutuelle, les opérations conjointes des autorités de contrôle, le mécanisme de contrôle de la cohérence des décisions,
- le règlement des litiges par le comité européen de la protection des données, la procédure d'urgence qui peut être adoptée par une autorité NCF,
- le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous‑traitant…

Faits et procédure

le 11 septembre 2015, le président de l'Autorité de protection des données en Belgique, (« CPVP » devenue ensuite « APD ») a saisi la justice d'une action en cessation à l'encontre de Facebook Ireland, Facebook Inc. et Facebook Belgium, visant à mettre un terme à des violations, prétendument commises par Facebook, de la législation relative à la protection des données. Ces violations consistaient notamment en la collecte et l'utilisation d'informations sur le comportement de navigation des internautes belges, détenteurs ou non d'un compte Facebook, au moyen de différentes technologies, telles les cookies, les modules sociaux (social plug-ins) ou les pixels.

Le 16 février 2018, le tribunal belge s'est déclaré compétent pour statuer sur cette action cessation en jugeant notamment que Facebook n'informait pas suffisamment les internautes belges de la collecte des informations concernées et de l'usage de ces informations, ni recueillait convenablement leur consentement.

Le 2 mars 2018, Facebook a interjeté appel de ce jugement devant la cour d'appel de Bruxelles, laquelle s'est déclarée uniquement compétente pour statuer sur l'appel interjeté en ce qui concerne Facebook Belgium, mais pas concernant Facebook Ireland et Facebook Inc, préférant d'abord interroger la Cour de justice sur sa qualité et son intérêt à agir contre l'établissement principal situé en Irlande. En effet, selon le mécanisme de « guichet unique » désormais prévu en application des dispositions du RGPD cette compétence appartiendrait exclusivement au Data Protection Commissioner (ci-après « DPC », ou la « CNIL » irlandaise). La juridiction de renvoi s'interrogeait toutefois sur ce point, notamment au vu la décision du Bundeskartellamt du 6 février 2019 (décision dite « Facebook ») dans laquelle l'autorité de la concurrence allemande s'est considérée compétente dans une affaire similaire en abstraction du mécanisme de « guichet unique ».

Dans ce contexte, la cour d'appel de Bruxelles a posé à la Cour de justice six questions préjudicielles qui seront brièvement présentées ci-dessous suivies des réponses.

1. Sur la compétence d'une autorité de contrôle NCF vis-à-vis d'un traitement de données transfrontalier

La question centrale de l'affaire, et la réponse tant attendue par certaines autorités de contrôle des États membres jalousant l'exclusivité d'exercice des pouvoirs de contrôle du DPC en vertu du mécanisme de « guichet unique ».

La question était de savoir si l'article 55, § 1, et les articles 56 à 58 ainsi que 60 à 66 du RGPD, lus en combinaison avec les articles 7, 8 et 47 de la Charte des droits fondamentaux, devaient être interprétés en ce sens qu'une autorité de contrôle d'un État membre qui, en vertu de la législation nationale adoptée en exécution de l'article 58, § 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l'attention d'une juridiction de cet État membre et, le cas échéant, d'ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu'elle n'est pas l'« autorité de contrôle chef de file », au sens de l'article 56, § 1, du même règlement, s'agissant d'un tel traitement de données.

Toile de fond : La Cour de justice rappelle d'abord la base juridique du règlement (UE) 2016/679, l'article 16 TFUE, lequel consacre le droit de toute personne à la protection des données et l'obligation ainsi faite aux institutions de l'Union et à chaque autorité de contrôle nationale d'assurer un niveau élevé de protection des droits garantis tout en respectant tous les autres droits fondamentaux. Est également rappelée l'obligation faite aux autorités de contrôle de coopérer entre elles, y compris en partageant des informations, et de fournir une assistance mutuelle en vue d'assurer une application cohérente dudit règlement et des mesures prises, ainsi que la règle de la répartition des compétences entre une « autorité de contrôle chef de file » et les autres autorités de contrôle concernées selon le mécanisme de « guichet unique ».

Exceptions au mécanisme de « guichet unique » : C'est autour du mécanisme de « guichet unique » et de la coopération renforcée que la Cour de justice construit sa réponse en confirmant que la compétence de l'autorité de contrôle chef de file est la règle, mais que le RGPD prévoit des possibilités pour une autorité de contrôle concernée par les traitements transfrontaliers des données personnelles d'y exciper, notamment :

- pour traiter une réclamation introduite auprès d'elle et qui concerne un traitement transfrontalier de données à caractère personnel ou une infraction éventuelle au RGPD, si son objet concerne uniquement un établissement dans l'État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement (RGPD, art. 56, § 2),
- lorsque l'autorité de contrôle concernée considère qu'il est urgent d'intervenir pour protéger les droits et les libertés des personnes concernées, d'adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n'excède pas trois mois (RGPD, art. 66),
- si l'autorité de contrôle chef de file décide de ne pas traiter le cas (RGPD, arg. 56, § 5),
- lorsque, après avoir requis l'assistance mutuelle de l'autorité de contrôle chef de file cette dernière ne lui fournit pas les informations demandées (RGPD, art. 61, § 8),
- lorsqu'elle agit en dehors du champ d'application matériel du RGPD (V. not. pt 74 de la décision, application de la dir. 2002/58/CE aux traitements via cookies),
- lorsque le responsable du traitement du traitement transfrontalier est une autorité publique d'un État membre agissant dans l'exercice de ses prérogatives de puissance publique (RGPD, consid. 145).

Responsabilité et obligation d'une coopération renforcée : Un autre accent dans cette première réponse est mis sur la responsabilité qui incombe à l'autorité de contrôle chef de file de contribuer à une protection efficace des personnes physiques contre des atteintes à leurs droits fondamentaux « sous peine d'encourager la pratique d'un forum shopping, notamment de la part des responsables de traitement, visant à contourner ces droits fondamentaux et l'application effective des dispositions de ce règlement les mettant en œuvre » (pt 68). De même, en sa qualité du « seul interlocuteur » du responsable du traitement ou du sous-traitant pour le traitement transfrontalier l'autorité de contrôle chef de file « ne saurait s'affranchir (…) d'un dialogue indispensable ainsi que d'une coopération loyale et efficace avec les autres autorités de contrôle concernées » et « ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l'une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l'adoption du projet de décision de l'autorité de contrôle chef de file » (pt 53).

2. Sur le champ d'application territorial et la situation de l'établissement principal du RT

La deuxième question de la cour belge était de savoir si l'article 58, § 5, du RGPD doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l'exercice du pouvoir d'une autorité de contrôle NCF d'ester en justice requiert que le responsable du traitement transfrontalier contre qui cette action est intentée dispose d'un « établissement principal », au sens du RGPD, sur le territoire de cet État membre ou bien d'un autre établissement sur ce territoire.

Pour répondre à cette question, la Cour de justice constate qu'en matière du champ d'application territoriale du RGPD la seule condition est que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d'un établissement sur le territoire de l'Union. Par conséquent, l'exercice du pouvoir d'une autorité de contrôle NCF, dans les conditions exceptionnelles exposées ci-dessus, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d'un établissement principal ou d'un autre établissement sur le territoire de cet État membre.

3. Sur l'établissement qui peut être poursuivi

La question suivante était de savoir si l'exercice du pouvoir d'une autorité de contrôle NCF de porter toute prétendue violation du RGPD à l'attention d'une juridiction de son État requiert que l'autorité de contrôle concernée dirige son action en justice contre l'établissement principal du responsable du traitement (Facebook Ireland) ou bien contre l'établissement qui se trouve dans son propre État membre (Facebook Belgique).

Possibilité d'agir contre tous les établissements : Comme l'avocat général, la Cour de justice ne voit pas dans l'article 58, § 5 d'indication quant à l'exercice du pouvoir d'ester en justice contre un établissement particulier. Selon elle, une telle action pourrait être intentée contre un « établissement principal » ou bien contre un autre « établissement » du responsable du traitement.

Cadre des activités large : En revanche, pour s'assurer du respect de la condition selon laquelle le traitement de données à caractère personnel doit être effectué « dans le cadre des activités » de l'établissement concerné, la Cour de justice opère un rattachement matériel des activités de Facebook à travers ses établissements en Irlande et en Belgique. Ainsi, après avoir constaté que la mission de Facebook Belgium était d'entretenir des relations avec les institutions de l'UE et, à titre accessoire, de promouvoir les activités publicitaires et de marketing de son groupe destinées aux personnes résidant en Belgique, alors que Facebook Ireland, le responsable de traitement, effectue la collecte d'informations sur le comportement de navigation tant des détenteurs d'un compte Facebook que des non-utilisateurs des services Facebook pour rendre son système de publicité plus performant, la Cour de justice qualifie les activités de ces deux établissements d'indissociables.

4. Sur les fondements de l'action avant et après l'entrée en vigueur du RGPD

La question n° 4 était de savoir si le pouvoir de l'autorité de contrôle NCF d'ester en justice devait être affecté par le fait que son action a été intentée avant la date d'entrée en vigueur du RGPD, le 25 mai 2018.

Pour répondre à cette question la Cour de justice rappelle que la règle de droit nouvelle s'applique à compter de l'entrée en vigueur de l'acte qui l'instaure et que, si elle ne s'applique pas aux situations juridiques nées et définitivement acquises sous l'empire de la loi ancienne, elle s'applique aux effets futurs de celles-ci, ainsi qu'aux situations juridiques nouvelles ; et qu'il n'en va autrement que si la règle nouvelle est accompagnée des dispositions particulières qui déterminent spécialement ses conditions d'application dans le temps, que le RGPD ne prévoit point.

Ainsi, la Cour de justice fait la distinction entre les actions intentées pour des infractions avant la date à laquelle le RGPD est devenu applicable et celles intentées pour des infractions commises après cette date :

- dans le premier cas, une action en justice peut être maintenue sur le fondement des dispositions de la directive 95/46/CE,
- dans le second, une telle action peut toujours être intentée sur le fondement nouveau du RGPD (dans les conditions restrictives ci-dessus présentées).

5. Sur l'application directe du RGPD dans le régime interne d'un État membre en absence d'acte de transposition

La Cour de justice constate que l'autorité de contrôle belge dispose bien du pouvoir de porter toute violation du RGPD à l'attention des autorités judiciaires, comme l'exige l'article 58, § 5 RGPD, en vertu de sa législation nationale, et précisément l'article 6 de la loi du 3 décembre 2017 transposant cette disposition du RGPD.

En tout état de cause, la Cour de justice rappelle qu'en vertu de l'article 288, 2^e al., TFUE, un règlement est obligatoire dans tous ses éléments et qu'il est directement applicable dans tout État membre, de telle sorte que ses dispositions ne nécessitent, en principe, aucune mesure d'application.

6. Sur le sort d'une procédure judiciaire en cas d'une constatation contraire de l'autorité chef de file

La dernière question posée dans le cadre de ce renvoi préjudiciel est restée sans réponse car jugée hypothétique par la Cour de justice, sans rapport avec la réalité ou l'objet du litige au principal. Elle envisageait une situation dans laquelle l'autorité de contrôle chef de file (DPC irlandais) adopterait une décision dans laquelle elle parviendrait à une constatation en sens contraire à celle issue d'une procédure judiciaire engagée par une autorité de contrôle NCF portant sur les mêmes activités de traitement transfrontalier. La cour d'appel de Bruxelles voulait connaître les conséquences d'une telle divergence de constatations pour la dernière décision. Patientons.