
Document public
Titre : | Arrêt relatif à la possibilité pour une autorité de protection des données d'un Etat membre d'ester en justice contre des infractions concernant un traitement transfrontalier de données : Facebook (Belgique) |
Titre précédent : | |
Auteurs : | Cour de justice de l'Union européenne (CJUE), Auteur |
Type de document : | Jurisprudences |
Année de publication : | 15/06/2021 |
Numéro de décision ou d'affaire : | C-645/19 |
Langues: | Français |
Mots-clés : |
[Géographie] Belgique [Mots-clés] Données personnelles [Mots-clés] Informatique et libertés [Mots-clés] Réglementation [Mots-clés] Justice [Mots-clés] Recours [Mots-clés] Commission nationale de l'informatique et des libertés (CNIL) [Mots-clés] Internet [Mots-clés] Technologies du numérique [Mots-clés] Contentieux |
Mots-clés: | Réseaux sociaux ; RGPD |
Résumé : |
Le règlement général sur la protection des données (RGPD) permet-il à une autorité de contrôle d’un État membre d’ester en justice devant une juridiction de cet État contre une infraction alléguée à ce même règlement concernant un traitement de données alors qu’elle n’est pas l’autorité chef de file pour ce qui concerne ce traitement ?
Ou bien le nouveau mécanisme de « guichet unique », présenté comme l’une des principales nouveautés instaurées par le RGPD, évite-t-il qu’une telle situation survienne ? Si un responsable du traitement était appelé à se défendre contre un recours concernant un traitement transfrontalier de données intenté par une autorité de contrôle devant une juridiction sise en dehors du lieu de l’établissement principal de ce responsable, serait-ce l’étape de trop qui serait de ce fait incompatible avec le nouveau mécanisme du RGPD ? En l'espèce, en septembre 2015, l'Autorité de protection des données en Belgique avait intenté une action contre Facebook Inc., Facebook Ireland Ltd et Facebook Belgium BVBA (Facebook) devant les juridictions belges. Son recours avait trait à des violations, prétendument commises par Facebook, de la législation relative à la protection des données et consistant, notamment, en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes en Belgique par le biais de technologies telles que les témoins de connexion (ou « cookies »), les modules sociaux (ou « social plug-ins ») et les « pixels ». En appel, la juridiction belge a jugé qu'elle n'était pas compétente à l’égard des actions intentées à l’encontre de Facebook Inc. et Facebook Ireland Limited mais qu’elle était en revanche compétente pour connaître de l’action intentée à l’encontre de Facebook Belgium BVBA. La procédure au principal a donc été limitée à l’action intentée à l’encontre de cette dernière société. Il s'agit savoir si l'Autorité de protection des données peut reprendre l’action en justice contre Facebook Belgium concernant le traitement transfrontalier de données personnelles effectué une fois que le RGPD est devenu applicable étant donné que l’entité qui effectue ce traitement de données est Facebook Ireland Ltd. La Cour de justice juge que, sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre, même si elle n’est pas l’autorité chef de file pour ce traitement. |
ECLI : | EU:C:2021:483 |
En ligne : | https://curia.europa.eu/juris/document/document.jsf?text=&docid=242821 |