Quels pouvoirs le RGPD confère-t-il vraiment à la CNIL et ses homologues ? La Cour de justice de l’Union européenne vient de trancher une partie de la question. En l’occurrence, sur les traitements de données transfrontaliers.
L’arrêt qu’elle a rendu la semaine passée s’inscrit dans une affaire qui remonte à 2015. À l’origine, il y a une révision de la politique de Facebook en matière de données et de cookies. On avait pu constater les pratiques qui s’étaient ensuivies. Dans les grandes lignes, un suivi à la trace des internautes belges, qu’ils soient ou non membres du réseau social.
En septembre 2015, le président de l’autorité de contrôle nationale (Commission de protection de la vie privée) avait fini par intenter une action en cessation à l’encontre de Facebook. Plus précisément de la maison mère et de ses filiales belge et irlandaise.
Condamné en référé (avant de retourner la situation), Facebook l’avait surtout été sur le fond en février 2018. Le tribunal de première instance néerlandophone de Bruxelles avait conclu à une information insuffisante des personnes concernées. Et à l’invalidité du consentement recueilli.
L’affaire avait rebondi en Cour d’appel. Avec, entre-temps, l’entrée en application du RGPD, le 25 mai 2018. Dans ce contexte, la justice a dû examiner d’une part les faits antérieurs à cette date et de l’autre, les faits postérieurs. Pour les premiers, Facebook Belgique dénonçait une action irrecevable, la transposition du RGPD ayant éliminé la base juridique précédente. Pour les seconds, il avançait le mécanisme du « guichet unique ».
Ce mécanisme, arrivé avec le RGPD, pose le principe de l’autorité « chef de file ». Il s’agit, texto, de « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable de traitement ou du sous-traitant ». C’est, de manière générale, à elle que revient la compétence concernant les traitements frontaliers de l’établissement en question. À cet égard, Facebook faisait valoir la compétence exclusive du régulateur irlandais (Data Protection Commissioner). Motif : son établissement sur place étant responsable des traitements de données personnelles pour le compte de tous les utilisateurs européens.
Sur ce dernier point, la Cour d’appel hésitait : la CPVP – devenue Autorité de protection de données – peut-elle agir contre Facebook dès lors que la filiale irlandaise a été identifiée comme responsable du traitement des données concernées ? Elle en avait référé à la CJUE.
Cette dernière a notamment pris en compte les exceptions au principe du « guichet unique » inscrites à l’article 56 du RGPD. Elle y a combiné, entre autres, les principes de coopération entre autorités listés dans les articles 60 à 63. Ses principales conclusions sont les suivantes :
Photo d’illustration © crescendo – Fotolia
Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…
D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).
Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…
L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.
Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…
Après deux reports successifs, Atos a présenté ses résultats annuels 2023. Et comme prévu, ils…