La Cour de Justice de l’Union européenne (CJUE) estime le 15 juin que dans le procès Facebook, une société peut désormais être attaquée en justice par l’autorité locale de protection des données de n’importe quel pays européen. Cette décision créé une exception fait date alors que le guichet unique reste la règle pour le RGPD.
La Cour de Justice de l’Union européenne (CJUE) a déclaré le 15 juin 2021 que, « sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute violation présumée du RGPD devant une juridiction d’un État membre, même si cette autorité n’est pas l’autorité de contrôle principale ». Auparavant, le concept de guichet unique autorisait une autorité de régulation nationale non-compétente de s’attaquer au problème que s’il est spécifiquement lié à son territoire, ou via des mesures temporaires d’urgence.
L’affaire Facebook à l’origine de la décision
L’autorité de contrôle nationale d’un pays européen, la Cnil par exemple, peut donc porter plainte désormais contre un mauvais traitement des données personnelles réalisé par une société dont le siège est basé lui dans un autre pays en Europe. En l’occurrence, celui de Facebook est basé en Irlande alors que la plainte à l’origine de cette affaire impliquant le respect du RGPD émanait de la Belgique (voir ci-dessous).
Pourquoi Facebook est-il pris comme exemple ? Si l’affaire remonte à 2015, c’est en 2019 que la cour d’appel belge a saisie la CJUE pour faire cesser l’utilisation par Facebook de cookies de suivi sans l’autorisation des utilisateurs. Facebook s’était alors défendu face à l’APD, l’Autorité belge de Protection des Données, en expliquant que seule son homologue irlandaise, où son siège européen est domicilié, était habilitée à se prononcer sur son traitement des données. Jack Gilbert, l’avocat de Facebook, a souligné le 15 juin dans un communiqué l’importance « d’appliquer le RGPD de manière efficace et cohérente dans l’ensemble de l’UE ».
Cela reste l’exception au RGPD et non la règle
Mais La CJUE précise que cette décision reste l’exception au RGPD et non la règle, car le traitement doit s’effectuer dans le respect des procédures de coopération et de contrôle de la cohérence prévues. Toujours dans le cadre du « guichet unique », elle invite les autorités de régulations nationales concernées par une plainte dans ce domaine à dialoguer afin de parvenir à un consensus et à une décision unique valable dans tous les pays européens où le traitement des données pose problème. La Cour d’appel de Bruxelles doit déterminer désormais si l’autorité irlandaise de régulation a bien partagé les informations nécessaires concernant Facebook conformément au RGPD…
Rappelons que l’UE souhaitait pourtant, lors de l’instauration du RGPD en 2018, éviter qu’une entreprise soit poursuivie dans chaque pays de l’Union européenne pour une même raison. Une autorité de régulation était alors désignée comme autorité chef de file pour tous les pays concernés par la plainte.
