Un arrêt rendu par la Cour de justice de l'Union européenne a précisé certains aspects du RGPD. Avec cette décision, il est confirmé que Facebook et n'importe quelle autre entreprise sont bien exposées à l'action de n'importe quelle Cnil européenne, si les conditions le permettent.

C’est un souci potentiel pour Facebook, mais une bonne nouvelle pour la Commission nationale de l’informatique et des libertés (Cnil). Ce mardi 15 juin, la Cour de justice de l’Union européenne a rendu un arrêt qui pourrait modifier relativement le panorama des procédures lancées contre le réseau social, et plus généralement contre n’importe quelle société en infraction potentielle avec le RGPD.

En effet, cet arrêt ouvre des perspectives aux autorités nationales chargées de veiller au bon usage des données personnelles — en France, il s’agit de la Cnil. Concrètement, la décision dit qu’une autorité nationale peut, dans certains cas, agir directement, sans avoir besoin de passer par son homologue du pays dans lequel la société accusée d’être en infraction opère au niveau européen.

cjue
La Cour de justice de l’Union européenne // Source : Harald Deischinger

Autrement dit, la Cnil pourrait dans certaines circonstances s’attaquer directement à Facebook, sans passer par son homologue irlandaise, qui endosse depuis 2018 le rôle d’autorité cheffe de file, puisque c’est depuis l’Irlande que Facebook pilote ses activités au sein de l’Union européenne. Cette notion d’autorité de contrôle cheffe de file est arrivée avec le Règlement général sur la protection des données.

La décision rendue par la Cour de justice de l’Union européenne est la conséquence d’un contentieux entre Facebook et la Commission belge de la protection de la vie privée (CPBP) qui remonte à 2015. L’instance belge reprochait à Facebook de procéder à un traçage des internautes, via les cookies présents sur les sites web, sans tenir compte de leur consentement, qu’ils aient un compte ou non.

L’affaire entre la CPBP et Facebook durant plusieurs années, compte tenu de la longueur de la procédure et des mécanismes d’appel, elle a fini par se poursuivre jusqu’en 2018, année où le RGPD est entré pleinement en application. S’est alors posée la question de savoir si la procédure lancée par la CPBP était toujours viable, puisque le RGPD prévoit le fameux mécanisme de l’autorité cheffe de file.

Une décision qui conforte potentiellement la Cnil

L’arrêt de la Cour clarifie donc ce qui relève de l’autorité cheffe de file, en vertu du guichet unique, un mécanisme de coopération qui fait en sorte que c’est l’autorité de protection  du pays européen dans lequel est installée la société mise en cause (Luxembourg pour les activités européennes d’Amazon, Irlande pour Google ou Facebook, par exemple) qui prend en charge les dossiers la concernant.

Ainsi, une action qui a été lancée contre une entreprise par une autorité de protection des données avant la date d’entrée en vigueur du RGPD peut se poursuivre, même si elle ne s’avère pas être l’autorité cheffe de file. Cela fait partie des exceptions acceptées par la Cour de justice de l’Union européenne. « Cette action peut être maintenue, en vertu du droit de l’Union », écrit-elle.

Mais, plus important encore, la Cour de justice considère qu’une telle action peut aussi être intentée « pour des infractions commises après la date d’entrée en vigueur du RGPD », si des conditions particulières sont remplies. Ainsi, il est possible de s’affranchir de l’autorité cheffe de file s’il s’avère qu’elle ne se montre pas coopérative ou si elle n’intègre pas dans sa réflexion les points de vue de ses homologues.

Dans certaines circonstances, la Cnil pourrait ainsi agir directement contre Facebook. // Source : Montage Numerama

« Dans l’exercice de ses compétences, explique ainsi la Cour, l’autorité de contrôle chef de file ne saurait s’affranchir d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées ». Dans le cas contraire, les autres instances européennes ont le droit, à titre exceptionnel, d’agir d’elles-mêmes. Cela ne vaut pas que pour Facebook : cela concerne n’importe quelle entité.

« De ce fait, dans le cadre de cette coopération, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file », ajoute la Cour.

L’existence du guichet unique et de l’autorité de contrôle cheffe de file n’empêche pas la Cnil de lancer des actions contre des entreprises qui basent leurs activités européennes ailleurs qu’en France. Preuve en est avec la sanction pécuniaire importante contre Google et Amazon fin 2020. Facebook est de ce fait potentiellement exposé à une action, si les conditions pour le faire sont satisfaites. Les griefs, en tout cas, ne manquent pas.

Partager sur les réseaux sociaux

La suite en vidéo