Document public
Titre : | Conclusions relatives à la possibilité pour une autorité de protection des données d'un Etat membre d'ester en justice contre des infractions concernant un traitement transfrontalier de données : Facebook (Belgique) |
Titre suivant : | |
Auteurs : | Cour de justice de l'Union européenne (CJUE), Auteur |
Type de document : | Jurisprudences |
Année de publication : | 13/01/2021 |
Numéro de décision ou d'affaire : | C-645/19 |
Langues: | Français |
Mots-clés : |
[Géographie] Belgique [Mots-clés] Données personnelles [Mots-clés] Informatique et libertés [Mots-clés] Réglementation [Mots-clés] Justice [Mots-clés] Recours [Mots-clés] Commission nationale de l'informatique et des libertés (CNIL) [Mots-clés] Internet [Mots-clés] Technologies du numérique [Mots-clés] Contentieux |
Mots-clés: | Réseaux sociaux ; RGPD |
Résumé : |
Le règlement général sur la protection des données (RGPD) permet-il à une autorité de contrôle d’un État membre d’ester en justice devant une juridiction de cet État contre une infraction alléguée à ce même règlement concernant un traitement de données alors qu’elle n’est pas l’autorité chef de file pour ce qui concerne ce traitement ?
Ou bien le nouveau mécanisme de « guichet unique », présenté comme l’une des principales nouveautés instaurées par le RGPD, évite-t-il qu’une telle situation survienne ? Si un responsable du traitement était appelé à se défendre contre un recours concernant un traitement transfrontalier de données intenté par une autorité de contrôle devant une juridiction sise en dehors du lieu de l’établissement principal de ce responsable, serait-ce l’étape de trop qui serait de ce fait incompatible avec le nouveau mécanisme du RGPD ? En l'espèce, en septembre 2015, l'Autorité de protection des données en Belgique avait intenté une action contre Facebook Inc., Facebook Ireland Ltd et Facebook Belgium BVBA (Facebook) devant les juridictions belges. Son recours avait trait à des violations, prétendument commises par Facebook, de la législation relative à la protection des données et consistant, notamment, en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes en Belgique par le biais de technologies telles que les témoins de connexion (ou « cookies »), les modules sociaux (ou « social plug-ins ») et les « pixels ». En appel, la juridiction belge a jugé qu'elle n'était pas compétente à l’égard des actions intentées à l’encontre de Facebook Inc. et Facebook Ireland Limited mais qu’elle était en revanche compétente pour connaître de l’action intentée à l’encontre de Facebook Belgium BVBA. La procédure au principal a donc été limitée à l’action intentée à l’encontre de cette dernière société. Il s'agit savoir si l'Autorité de protection des données peut reprendre l’action en justice contre Facebook Belgium concernant le traitement transfrontalier de données personnelles effectué une fois que le RGPD est devenu applicable étant donné que l’entité qui effectue ce traitement de données est Facebook Ireland Ltd. L'avocat général propose à la Cour de justice de répondre comme suit à question préjudicielle posée par la juridiction belge : - les dispositions du règlement (UE) 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données, RGPD) autorisent l’autorité de contrôle d’un État membre à ester en justice devant une juridiction de cet État membre contre une infraction alléguée à ce règlement pour ce qui concerne un traitement transfrontalier de données même si elle n’est pas l’autorité de contrôle chef de file, pour autant qu’elle le fasse dans les situations et conformément aux procédures prévues par ce même règlement ; – le RGPD s’oppose à ce qu’une autorité de contrôle reprenne une action en justice intentée avant la date à laquelle il est devenu applicable mais concernant un comportement survenant après cette date ; – l’article 58, paragraphe 5, du RGPD a un effet direct, dans la mesure où une autorité de contrôle nationale peut se fonder sur cette disposition pour intenter une action ou reprendre une instance devant les juridictions nationales, même si cette disposition n’a pas été spécifiquement transposée dans la législation nationale. |
ECLI : | EU:C:2021:5 |
Thématique Bulletin documentaire PDF : | Technologies du numérique |
En ligne : | http://curia.europa.eu/juris/document/document.jsf?text=&docid=236410 |