CJUE : pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données (RGPD)

La CJUE précise les conditions d’exercice des pouvoirs des autorités nationales de contrôle pour le traitement transfrontalier de données en application du Règlement général sur la protection des données.Dans un arrêt du 15 juin 2021 (affaire C-645/19), la Cour de justice de l’Union européenne précise les pouvoirs des autorités nationales de contrôle dans le cadre du Règlement général sur la protection des données (Règlement 2016/679 du 27 avril 2016 – RGPD).Elle juge que ce règlement autorise, sous certaines conditions, une autorité de contrôle d’un Etat membre à exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet Etat et d’ester en justice en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’autorité chef de file pour ce traitement.
En premier lieu, la Cour précise les conditions dans lesquelles une autorité nationale de contrôle, n’ayant pas la qualité d’autorité chef de file en ce qui concerne un traitement transfrontalier, doit exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un Etat membre et, le cas échéant, d’ester en justice afin d’assurer l’application de ce règlement.Ainsi, d’une part, le RGPD doit conférer à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce règlement et, d’autre part, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.
En deuxième lieu, la Cour juge que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un Etat membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel visé par cette action dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet Etat membre.Cependant, l’exercice de ce pouvoir doit relever du champ d’application territoriale du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.
En troisième lieu, la Cour dit pour droit que, en cas de traitement de données transfrontalier, le pouvoir d’une autorité de contrôle d’un Etat membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation du RGPD devant une juridiction de cet Etat et, le cas échéant, d’ester en justice peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’Etat membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.Cependant, l’exercice de ce pouvoir suppose que le RGPD soit d’application. En l’occurrence, les activités de l’établissement du groupe Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union, ce traitement est effectué « dans le cadre des activités d’un établissement du responsable du traitement » et partant, relève bien du champ d’application du RGPD.
En quatrième lieu, la Cour juge que, lorsqu’une autorité de contrôle d’un Etat membre qui n’est pas l’ »autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du RGPD, une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l’Union, sur le fondement des dispositions de la directive relative à la protection des données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée.En outre, cette action peut être intentée par cette autorité pour des infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à cette même autorité une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles prévues par ce règlement et dans le respect des procédures de coopération que ce dernier prévoit.
En cinquième lieu, la Cour reconnaît l’effet direct de la disposition du RGPD en vertu de laquelle chaque Etat membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice.Par conséquent, une telle autorité peut invoquer cette disposition pour intenter ou reprendre une action contre des particuliers, même si elle n’a pas été spécifiquement mise en œuvre dans la législation de l’Etat membre concerné.