La CJUE vient de poser que, sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre, même si elle n’est pas l’autorité chef de file pour ce traitement.
Dans son arrêt, rendu en grande chambre, la Cour précise les pouvoirs des autorités nationales de contrôle dans ce cadre :
- l’autorité nationale de contrôle, n’ayant pas la qualité d’autorité chef de file en ce qui concerne un traitement transfrontalier, doit exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre et, le cas échéant, d’ester en justice afin d’assurer l’application de ce règlement. Ainsi, d’une part, le RGPD doit conférer à cette autorité de contrôle une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce règlement et, d’autre part, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.
- En deuxième lieu, la Cour juge que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice ne requiert pas que le responsable du traitement ou le sous- traitant pour le traitement transfrontalier de données à caractère personnel visé par cette action dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. Cependant, l’exercice de ce pouvoir doit relever du champ d’application territoriale du RGPD, ce qui suppose que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.
- En troisième lieu, la Cour dit pour droit que, en cas de traitement de données transfrontalier, le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation du RGPD devant une juridiction de cet État et, le cas échéant, d’ester en justice peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir.
Cependant, la Cour précise que l’exercice de ce pouvoir suppose que le RGPD soit d’application. En l’occurrence, les activités de l’établissement du groupe Facebook situé en Belgique étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union, ce traitement est effectué « dans le cadre des activités d’un établissement du responsable du traitement » et partant, relève bien du champ d’application du RGPD. - En quatrième lieu, la Cour juge que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » a intenté, avant la date d’entrée en vigueur du RGPD, une action en justice visant un traitement transfrontalier de données à caractère personnel, cette action peut être maintenue, en vertu du droit de l’Union, sur le fondement des dispositions de la directive relative à la protection des données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. En outre, cette action peut être intentée par cette autorité pour des infractions commises après la date d’entrée en vigueur du RGPD, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à cette même autorité une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles prévues par ce règlement et dans le respect des procédures de coopération que ce dernier prévoit.
- En cinquième lieu, la Cour reconnaît l’effet direct de la disposition du RGPD en vertu de laquelle chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice. Par conséquent, une telle autorité peut invoquer cette disposition pour intenter ou reprendre une action contre des particuliers, même si elle n’a pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.
NB : ce qui précède reprend pour partie des phrases du très bon communiqué de la CJUE.