Recevez chaque jour toute l'actualité du numérique

x

Comment la justice européenne veut favoriser la condamnation des grandes entreprises technologiques

Le juge européen vient de rendre une décision particulièrement importante pour les poursuites judiciaires contre les grandes entreprises technologiques américaines en Europe. Il a décidé qu'une autorité nationale pouvait porter une prétendue violation du RGPD devant une juridiction d'un Etat membre même si elle n'est pas chef de file. Ce litige oppose la Belgique et Facebook, qui soutient que les autorités de ce pays ne sont pas compétentes puisque son siège européen se trouve en Irlande.
Twitter Facebook Linkedin Flipboard Email
×

Comment la justice européenne veut favoriser la condamnation des grandes entreprises technologiques
Comment la justice européenne veut favoriser la condamnation des grandes entreprises technologiques © Council of Europe

La Cour de justice de l'Union européenne (CJUE) a rendu ce mardi 15 juin un arrêt dans lequel elle précise les pouvoirs des autorités de protection des données personnelles en cas de litige transfrontalier. Plus précisément, elle juge que, sous certaines conditions, une autorité nationale peut porter une prétendue violation du Règlement général sur la protection des données (RGPD) devant une juridiction d'un Etat membre, même si elle n'est pas "chef de file". 

Cette décision, qui en apparence ne tranche qu'une question procédurale, a d'importantes conséquences sur la poursuite devant la justice des grandes entreprises technologiques en Europe.

Contourner le guichet unique
En effet, la plupart des cas impliquant une grande entreprise technologique doivent être traités par l'autorité irlandaise, la Data Protection Commission (DPC), car la majorité de ces sociétés ont leur siège à Dublin en vertu du "guichet unique". Ce mécanisme commande qu'une société traitant des données dans un contexte transfrontalier n'a pour interlocutrice qu'une seule autorité de protection des données, à savoir l'autorité de l'Etat membre dans lequel est situé son établissement principal.

Cet arrêt traite d'un litige opposant Facebook et l'autorité belge de la protection des données (APD). En septembre 2015, l'équivalent de la Cnil a saisi le tribunal de première instance néerlandophone de Bruxelles d'une action en cessation à l'encontre de Facebook Ireland, Facebook Inc et Facebook Belgium. Elle souhaite mettre un terme à "une violation grave et à grande échelle, par Facebook, de la législation de protection de la vie privée consistant en la collecte par ce réseau social en ligne d’informations sur le comportement de navigation tant des détenteurs d’un compte Facebook que des non-utilisateurs des services Facebook au moyen de différentes technologies (...)". 

Par un jugement du 16 février 2018, le tribunal s'est jugé compétent pour trancher cette question et a jugé que Facebook n'informait pas suffisamment les internautes belges de la collecte des informations concernées et de leur usage. De plus, le consentement donné par les internautes n'est pas valable. Par conséquent, le juge a demandé à la société américaine de cesser ses pratiques. Facebook et ses filiales ont interjeté appel. 

La Data Protection Commission est-elle seule compétente ?
La cour d'appel de Bruxelles s'est déclarée uniquement compétente pour statuer sur l'appel de la filiale belge de Facebook. Or, avant de statuer sur le fond de l'affaire, elle a renvoyé la question suivante à la CJUE : si, pour les faits postérieurs au 25 mai 2018 (date d'entrée en vigueur du RGPD), la Cnil belge peut agir contre Facebook Belgium, dès lors que Facebook Ireland a été identifié comme étant la responsable du traitement des données concernées. En effet, en vertu du guichet unique, seule la Data Protection Commission devrait être compétente car le siège européen de Facebook se situe en Irlande.

Le juge européen a estimé que dans certains cas, le RGPD autorisait "une autorité de contrôle d'un Etat membre à exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction de cet État et d’ester en justice en ce qui concerne un traitement de données transfrontalier alors qu’elle n’est pas l’autorité chef de file pour ce traitement". Ce pouvoir doit notamment être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le RGPD. 

La cour estime également que cette faculté est bien conforme à certaines dispositions de la charte des droits fondamentaux de l'Union européenne qui garantissent le droit à la protection de ses données et le droit à un recours effectif. 

Les autorités critiquent fortement son homologue irlandais
Cet arrêt s'inscrit dans un contexte de tensions entre certaines autorités. La Data Protection Commission (DPC) est particulièrement critiquée par ses homologues pour sa prétendue inaction vis-à-vis des Gafam. Face à ces accusations, la DPC tente de se défendre. Elle accuse ses homologues d'invoquer des raisons politiques pour remettre en cause son efficacité. Ce sont "les mêmes autorités de protection des données qui critiquent aujourd'hui l'Irlande et le guichet unique" que "celles qui ont rejeté officiellement le concept de guichet unique (…) il n'est pas surprenant qu'il y ait un élément politique dans les critiques qui sont faites", expliquait Helen Dixon, à la tête de la DPC.

La France est l'un des pays qui plaide pour une suppression du système du guichet unique. Mais les responsables européens craignent que cela n'érode le principe de marché commun. "Cela supprimerait l'un des premiers piliers du droit européen et signifierait qu'une entreprise, au lieu d'être soumise à une unique autorité, serait soumise à 27 autorités", a déclaré une source citée par le Financial Times.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.