Le Conseil d’Etat vient de rendre une décision portant sur :
- la compétence répressive (sanctions administratives) de la CNIL en matière de protection des données personnelles appliquées à un établissement se bornant à assurer, en France, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement de données
- l’application en pareil cas de l’article 50 de la charte des droits fondamentaux de l’Union européenne (CDFUE), et donc de la règle du non bis in idem (art. 50). Au nombre de ces conditions se trouve le fait que la procédure pénale doit être définitivement close.
Voici le résumé de la base Ariane qui préfigure celui des tables du rec. :
« 1) Il résulte de la jurisprudence de la Cour de justice de l’Union européenne (CJUE), notamment de son arrêt du 5 juin 2018, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein contre Wirtschaftsakademie Schleswig-Holstein GmbH (C-210/16), qu’au vu de l’objectif poursuivi par la directive 95/46/CE du 24 octobre 1995, consistant à assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la protection de la vie privée et à la protection des données à caractère personnel, un traitement de données à caractère personnel peut être regardé comme effectué « dans le cadre des activités » d’un établissement national non seulement si cet établissement intervient lui-même dans la mise en oeuvre de ce traitement, mais aussi dans le cas où ce dernier se borne à assurer, sur le territoire d’un Etat membre, la promotion et la vente d’espaces publicitaires permettant de rentabiliser les services offerts par le responsable d’un traitement consistant à collecter des données à caractère personnel par le biais de traceurs de connexion installés sur les terminaux des visiteurs d’un site. Il résulte de l’arrêt de la CJUE du 15 juin 2021, Facebook Ireland Ltd e.a. (C-645/19), que le paragraphe 1 de l’article 3 du règlement (UE) 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD) doit être interprété de la même façon. Au I de l’article 3 de la loi n° 78-17 du 6 janvier 1978, le législateur a repris les termes figurant tant au paragraphe 1 de l’article 4 de la directive 95/46/CE du 24 octobre 1995 que, désormais, au paragraphe 1 de l’article 3 du RGPD et a entendu définir le champ d’application de la loi du 6 janvier 1978, y compris de son article 82 – et, en conséquence, le champ de compétence de la Commission nationale de l’informatique et des libertés (CNIL) pour sanctionner les manquements à ces dispositions -, en référence à l’interprétation, rappelée au paragraphe précédent, que la CJUE a donnée de la directive 95/46/CE et, désormais, du RGPD.
« 2) Selon l’article 50 de la charte des droits fondamentaux de l’Union européenne (CDFUE), tel qu’interprété par la Cour de Justice de l’Union européenne (CDFUE) dans ses arrêts Aklagaren c/ Akerberg Fransson du 26 février 2013 (C-617/10), Powszechny Zaklad Ubezpieczen na Zycie SA du 3 avril 2019 (C-617/17) et Bpost SA c/ Autorité belge de la concurrence du 22 mars 2022 (C-117/20), ce n’est que lorsqu’une procédure à caractère pénal, au sens de ces dispositions, est définitivement close, notamment lorsqu’une sanction pénale est devenue définitive, ce qui suppose qu’une décision a été rendue à la suite d’une appréciation portant sur le fond de l’affaire et n’est plus susceptible de recours, que ces dispositions s’opposent à ce que des poursuites de nature pénale pour la même infraction soient par la suite diligentées contre une même personne et, le cas échéant, qu’une sanction à caractère pénal soit prononcée.»
Voir aussi :
- RGPD : les autorités nationales sont-elles enfermées dans leurs frontières ?
- Non bis in idem entre sanction pénale et sanction en droit de la concurrence : la CJUE précise la protection qu’offre le droit de l’Union contre la double incrimination
- Non bis in idem… quoique (harmonisation des positions des juges européens CJUE et CEDH)
- Il n’est pas inconstitutionnel qu’une même sanction administrative puisse être infligée autant de fois qu’il y a eu d’actes, répétés ou simultanés, pouvant entraîner ladite sanction
- Recette d’un cookie à 100 M €
- etc.
Source : Conseil d’État, 27 juin 2022, n° 451423, à mentionner aux tables du recueil Lebon
Vous devez être connecté pour poster un commentaire.