Une autorité nationale chargée de la protection des données privées, mais non 'chef de file' au sens du règlement 'RGPD' (2016/679), peut uniquement agir en justice dans son État membre dans les cas explicitement prévus par le droit de l'Union européenne, a estimé l'avocat général auprès de la Cour de justice de l'UE, Michal Bobek, dans des conclusions rendues mercredi 13 janvier (affaire C-645/19).
En 2015, l'autorité belge de protection des données avait intenté une action en justice contre plusieurs sociétés du groupe Facebook, dont l'établissement principal du géant numérique dans l'UE situé en Irlande. Elle demande notamment qu’il soit ordonné à Facebook de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer - sans le consentement de ce dernier - certains témoins de connexion ('cookies') sur l’appareil de navigation utilisé lorsque cet internaute navigue sur le site Facebook.com ou sur les sites de tiers.
Le groupe américain soutient que, depuis l'entrée en vigueur du règlement 'RGPD', seule l'autorité irlandaise de protection des données est habilitée à agir contre lui-même pour des questions de transfert transfrontalier des données privées.
Saisie par la Cour d'appel de Bruxelles, la Cour est invitée à interpréter le droit de l'UE.
M. Bobek note, tout d’abord, que l’autorité 'chef de file' dispose d’une compétence générale concernant le traitement transfrontalier de données, y compris pour intenter des actions en justice contre la violation du règlement 'RGPD', et que les autres autorités nationales n’ont qu’un pouvoir limité en la matière.
L'introduction de mécanismes de guichet unique et de coopération entre autorités nationales visait précisément à régler les problèmes, liés au respect des règles nationales différentes par les opérateurs économiques, que posait la directive (95/46/CE) antérieure.
Reste que, selon l'avocat général, l'apport des autorités nationales est crucial pour permettre à une autorité 'chef de file' d'appliquer le règlement 'RGPD' dans des situations transfrontalières.
Et M. Bobek de rappeler les différentes situations suivantes, dans lesquelles une autorité nationale de protection des données peut intenter des actions devant les juridictions de son propre État membre même lorsqu’elle n’est pas 'chef de file' : (1) lorsqu’elle agit en dehors du champ d’application du règlement 'RGPD' ; (2) lorsqu’elle examine un traitement transfrontalier effectué par des autorités publiques, dans l’intérêt public, dans l’exercice de l’autorité publique ou encore par des responsables du traitement qui ne sont pas établis dans l’Union ; (3) lorsqu’elle adopte des mesures urgentes ; (4) lorsqu’elle intervient après que l’autorité de protection des données 'chef de file' a décidé de ne pas traiter un cas.
Voir les conclusions : http://bit.ly/2LOA5g9 (Mathieu Bion)