La jurisprudence francophone des Cours suprêmes


recherche avancée

13/01/2021 | CJUE | N°C-645/19

CJUE | CJUE, Conclusions de l'avocat général M. M. Bobek, présentées le 13 janvier 2021., Facebook Ireland Ltd e.a. contre Gegevensbeschermingsautoriteit., 13/01/2021, C-645/19


 CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MICHAL BOBEK

présentées le 13 janvier 2021 ( 1 )

Affaire C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

contre

Gegevensbeschermingsautoriteit

[demande de décision préjudicielle formée par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement de données à caractère personnel – Charte des droits fondamentaux de

l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Articles 55, 56, 58, 60, 61 et 66 – Autorités de contrôle – Traitement...

 CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MICHAL BOBEK

présentées le 13 janvier 2021 ( 1 )

Affaire C‑645/19

Facebook Ireland Limited,

Facebook Inc.,

Facebook Belgium BVBA

contre

Gegevensbeschermingsautoriteit

[demande de décision préjudicielle formée par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement de données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Articles 55, 56, 58, 60, 61 et 66 – Autorités de contrôle – Traitement transfrontalier de données – Guichet unique – Autorité de contrôle chef de file – Autorité de contrôle concernée – Compétence – Pouvoirs – Pouvoir d’ester en justice »

I. Introduction

1. Le règlement général sur la protection des données ( 2 ) (ci‑après le « RGPD ») permet-il à une autorité de contrôle d’un État membre d’ester en justice devant une juridiction de cet État contre une infraction alléguée à ce même règlement concernant un traitement de données alors qu’elle n’est pas l’autorité chef de file pour ce qui concerne ce traitement ?

2. Ou bien le nouveau mécanisme de « guichet unique », présenté comme l’une des principales nouveautés instaurées par le RGPD, évite-t-il qu’une telle situation survienne ? Si un responsable du traitement était appelé à se défendre contre un recours concernant un traitement transfrontalier de données intenté par une autorité de contrôle devant une juridiction sise en dehors du lieu de l’établissement principal de ce responsable, serait-ce l’étape de trop qui serait de ce fait incompatible avec le
nouveau mécanisme du RGPD ?

II. Le cadre juridique

A.   Le droit de l’Union

3. Dans le préambule du RGPD, il est notamment indiqué que, « [s]i elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [ni] une insécurité juridique » (considérant 9) ; il convient d’assurer une application cohérente et homogène des règles de protection des données dans l’ensemble de l’Union européenne (considérant 10) ; les autorités de contrôle
devraient surveiller l’application des règles et contribuer à ce que cette application soit cohérente afin de protéger les personnes physiques et de faciliter le libre flux des données à caractère personnel dans le marché intérieur (considérant 123) ; dans les situations de traitement transfrontalier, « l’autorité de contrôle dont relève l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant devrait faire office d’autorité chef de file » et « devrait
coopérer avec les autres autorités concernées » (considérant 124).

4. En vertu de l’article 51, paragraphe 1, du RGPD, « [c]haque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci‑après dénommée “autorité de contrôle”) ».

5. Conformément à l’article 55, paragraphe 1, du RGPD, « [c]haque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève ».

6. L’article 56 du RGPD traite de la compétence de l’autorité de contrôle « chef de file ». Il dispose comme suit en son paragraphe 1 :

« Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60. »

7. L’article 56, paragraphes 2 à 5, du RGPD prévoit que, par dérogation au paragraphe 1, « chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement ». Ces affaires peuvent être traitées par les autorités de contrôle chefs de file, agissant
conformément à la procédure visée à l’article 60 du RGPD ou, « [l]orsque l’autorité de contrôle chef de file décide de ne pas traiter le cas », par l’autorité de contrôle locale, agissant conformément aux articles 61 et 62 du RGPD.

8. L’article 56, paragraphe 6, de ce règlement dispose : « L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. »

9. L’article 58, paragraphe 5, du RGPD, qui concerne les pouvoirs des autorités de contrôle, dispose :

« Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement. »

10. Le chapitre VII du RGPD, intitulé « Coopération et cohérence », inclut les articles 60 à 76. L’article 60 du RGPD, intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées » établit la procédure détaillée que les autorités de contrôle chefs de file sont tenues de suivre en ce qui concerne le traitement transfrontalier de données.

11. Ensuite, l’article 61, paragraphe 2, du RGPD, relatif à l’assistance mutuelle, demande à chaque autorité de contrôle de prendre « toutes les mesures appropriées requises pour répondre à une demande d’une autre autorité de contrôle dans les meilleurs délais et au plus tard un mois après réception de la demande ». L’article 61, paragraphe 8, de ce règlement prévoit que, lorsqu’une autorité de contrôle ne fournit pas les informations demandées, l’autorité de contrôle requérante peut adopter une
mesure provisoire sur le territoire de l’État membre dont elle relève, l’urgence d’intervenir conformément à l’article 66, paragraphe 1, dudit règlement étant présumée.

12. L’article 65, paragraphe 1, sous a), du RGPD, intitulé « Règlement des litiges par le comité », prévoit qu’en vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité européen de la protection des données (ci‑après le « comité ») adopte une décision contraignante notamment lorsqu’une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file ou que l’autorité
de contrôle chef de file a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée.

13. L’article 66 du RGPD, consacré aux procédures d’urgence, prévoit en son paragraphe 1 que, dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence, « adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée
qui n’excède pas trois mois ».

14. Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », inclut les articles 77 à 84. L’article 77, paragraphe 1, du RGPD accorde à toute personne concernée le droit d’introduire auprès d’une autorité de contrôle une réclamation portant sur de possibles violations du règlement concernant le traitement de données à caractère personnel la concernant, « en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la
violation aurait été commise ». L’article 78, paragraphes 1 et 2, du RGPD accorde quant à lui à toute personne physique ou morale le droit de former un recours juridictionnel effectif contre, notamment, une décision juridiquement contraignante d’une autorité de contrôle qui la concerne, ainsi que contre une autorité de contrôle qui ne traite pas une réclamation.

B.   Le droit belge

15. La Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel), telle que modifiée (ci‑après la « WVP »), a transposé la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à
la libre circulation de ces données ( 3 ). Cette loi a institué, entre autres, la Commission de la protection de la vie privée. Conformément à l’article 32, paragraphe 3, de cette loi, « [s]ans préjudice de la compétence des cours et tribunaux ordinaires pour l’application des principes généraux en matière de protection de la vie privée, le Président de la Commission [de la protection de la vie privée] peut soumettre au tribunal de première instance tout litige concernant l’application de la
présente loi et de ses mesures d’exécution ».

16. En vertu de l’article 3 de la Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit (loi du 3 décembre 2017 portant création de l’Autorité de protection des données ; ci‑après la « loi APD »), entrée en vigueur le 25 mai 2018, une autorité de protection des données (ci‑après l’« APD ») a été créée pour succéder à la Commission de la protection de la vie privée. Conformément à l’article 6 de cette loi, l’APD « a le pouvoir de porter toute infraction aux principes
fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice en vue de voir appliquer ces principes fondamentaux ».

17. La loi APD ne contient aucune disposition spécifique concernant les procédures judiciaires engagées sur la base de l’article 32, paragraphe 3, de la WVP qui étaient encore pendantes au 25 mai 2018.

18. La WVP a été abrogée par la Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel). Cette dernière loi met en œuvre les dispositions du RGPD qui imposent ou permettent aux États membres d’adopter des règles plus précises en plus des règles communes.

III. Les faits, la procédure nationale et les questions préjudicielles

19. Le 11 septembre 2015, le président de la Commission de la protection de la vie privée, devenue par la suite l’APD, a intenté une action contre Facebook Inc., Facebook Ireland Ltd et Facebook Belgium BVBA (ci‑après, ensemble, « Facebook ») devant le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles, Belgique). Son recours avait trait à des violations, prétendument commises par Facebook, de la législation relative à la protection des
données et consistant, notamment, en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes en Belgique par l’intermédiaire de technologies telles que les témoins de connexion (ou « cookies »), les modules sociaux (ou « social plug-ins ») et les « pixels ».

20. L’APD soutient en substance que Facebook recourt à diverses technologies afin de surveiller et de suivre les particuliers lorsqu’ils naviguent d’un site Internet à l’autre pour ensuite utiliser les informations collectées afin de profiler leur comportement de navigation et, sur cette base, de leur montrer des publicités ciblées, sans informer correctement les personnes concernées, ni obtenir leur consentement valable. L’APD soutient que Facebook applique ces pratiques, que la personne concernée
soit ou non inscrite sur le réseau social Facebook.

21. L’APD a demandé qu’il soit ordonné à Facebook de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer sans le consentement de ce dernier des témoins de connexion qui demeurent actifs pendant deux ans sur l’appareil utilisé lorsque cet internaute navigue sur une page Internet dans le domaine Facebook.com ou sur les sites de tiers, ainsi que de cesser de collecter de manière excessive des données à l’aide de modules sociaux et de pixels sur des sites de tiers. Elle a en
outre demandé la destruction de toutes les données personnelles obtenues à l’aide de témoins de connexion et de modules sociaux et relatives à tout internaute établi sur le territoire belge.

22. Par une ordonnance interlocutoire rendue le 9 novembre 2015, le président du Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles) a estimé qu’il était compétent pour connaître du litige et que l’action était recevable à l’égard des trois défenderesses. Cette même juridiction a également ordonné à titre provisoire aux défenderesses de cesser certaines activités envers les internautes établis sur le territoire belge.

23. Le 2 mars 2016, Facebook a interjeté appel de cette ordonnance devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique). Par un arrêt du 29 juin 2016, cette juridiction a réformé l’ordonnance de première instance. Elle a notamment jugé qu’elle n’était pas compétente à l’égard des actions intentées à l’encontre de Facebook Inc. et Facebook Ireland Limited mais qu’elle était en revanche compétente pour connaître de l’action intentée à l’encontre de Facebook Belgium. La procédure
au principal a donc été limitée à l’action intentée à l’encontre de cette dernière société. La juridiction a également déclaré qu’il n’y avait pas d’urgence.

24. Je comprends qu’actuellement l’affaire pendante devant le hof van beroep te Brussel (cour d’appel de Bruxelles) porte sur l’appel à l’encontre d’une décision sur le fond rendue ultérieurement par la juridiction de première instance. Dans le cadre de la procédure d’appel, Facebook Belgium soutient notamment que, depuis que le nouveau mécanisme de « guichet unique » du RGPD est opérationnel, l’APD n’a plus la compétence pour reprendre la procédure au principal parce qu’elle n’est pas l’autorité de
contrôle chef de file. S’agissant du traitement transfrontalier en cause, l’autorité de contrôle chef de file serait l’Irish Data Protection Commission. Le principal établissement du responsable du traitement dans l’Union est situé en Irlande (Facebook Ireland).

25. Dans ce contexte, le hof van beroep te Brussel (cour d’appel de Bruxelles) a décidé de surseoir à statuer et de saisir la Cour des questions préjudicielles suivantes :

« 1) L’article 55, paragraphe 1, les articles 56 à 58 et les articles 60 à 66 du [RGPD], lus en combinaison avec les articles 7, 8 et 47 de la [c]harte des droits fondamentaux de l’Union européenne, doivent-ils être interprétés en ce sens qu’une autorité de contrôle qui, en vertu d’une législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, est compétente pour ester en justice devant une juridiction de son État membre contre des infractions à ce règlement, ne
peut pas exercer cette compétence pour ce qui concerne un traitement de données transfrontalier si elle n’est pas l’autorité de contrôle chef de file pour ce qui concerne ce traitement de données transfrontalier ?

2) La réponse à la question qui précède est-elle différente si le responsable de ce traitement transfrontalier n’a pas son établissement principal dans cet État membre mais y a un autre établissement ?

3) La réponse à cette question est-elle différente si l’autorité de contrôle nationale dirige son action en justice contre l’établissement principal du responsable du traitement plutôt que contre l’établissement qui se trouve dans son propre État membre ?

4) La réponse à cette question est-elle différente si l’autorité de contrôle nationale a déjà intenté l’action en justice avant la date à laquelle ce règlement est entré en vigueur (le 25 mai 2018) ?

5) En cas de réponse affirmative à la question précédente, l’article 58, paragraphe 5, du [RGPD] est-il d’effet direct, de sorte qu’une autorité de contrôle nationale peut s’appuyer sur cette disposition pour intenter ou reprendre une instance contre des particuliers, même si l’article 58, paragraphe 5, du [RGPD] n’est pas transposé spécifiquement dans la législation des États membres, malgré l’obligation de le faire ?

6) En cas de réponse affirmative aux questions précédentes, l’issue de telles procédures pourrait-elle faire obstacle à une constatation en sens contraire de l’autorité de contrôle chef de file dans le cas où celle‑ci enquête sur les mêmes activités de traitement transfrontalières ou sur des activités similaires conformément au mécanisme prévu aux articles 56 et 60 du [RGPD] ? »

26. Des observations écrites ont été déposées par Facebook, l’APD, les gouvernements belge, tchèque, italien, polonais, portugais et finlandais, ainsi que par la Commission européenne. Facebook, l’APD et la Commission ont également présenté des observations orales lors de l’audience qui s’est tenue le 5 octobre 2020.

IV. Analyse

27. En bref, la principale question qui se pose dans la procédure au principal est celle de savoir si l’APD peut reprendre l’action en justice contre Facebook Belgium concernant le traitement transfrontalier de données personnelles effectué une fois que le RGPD est devenu applicable étant donné que l’entité qui effectue ce traitement de données est Facebook Ireland.

28. Afin de répondre à cette question, il convient d’examiner la portée et le fonctionnement de ce que le RGPD lui‑même, dans son considérant 127, désigne comme le mécanisme de « guichet unique ». Ce mécanisme consiste en un ensemble de règles instituant, en cas de traitement transfrontalier de données, un point de contrôle central sous la forme d’une autorité de contrôle chef de file (ci‑après l’« ACF »), qui s’inscrit dans le système des procédures de coopération et de cohérence aux côtés des
autorités de contrôle concernées (ci‑après les « ACC ») afin d’assurer que toutes les autorités de contrôle intéressées soient impliquées.

29. Conformément à l’article 56, paragraphe 1, du RGPD, une autorité de contrôle agit en tant qu’ACF concernant le traitement transfrontalier effectué par des responsables du traitement ou des sous-traitants dont l’établissement principal ou l’établissement unique est situé sur son territoire. En vertu de l’article 4, point 22, du RGPD, une autorité de contrôle agit en tant qu’ACC lorsqu’une des conditions suivantes est satisfaite : « a) le responsable du traitement ou le sous-traitant est établi
sur le territoire de l’État membre dont cette autorité de contrôle relève ; b) des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être ; ou c) une réclamation a été introduite auprès de cette autorité de contrôle ».

30. Avant d’aborder le fond des questions préjudicielles, je formulerai quelques remarques liminaires (section A). J’aborderai ensuite l’examen des questions juridiques soulevées par la juridiction de renvoi. Je m’attacherai plus particulièrement à la première question préjudicielle puisqu’elle se trouve au cœur du litige pendant devant la juridiction de renvoi (section B). Je n’analyserai ensuite que brièvement les autres questions étant donné que, si la réponse à la première question est celle qui
est proposée dans les présentes conclusions, il ne sera plus nécessaire, ou il sera assez simple, de répondre aux autres questions (section C).

A.   Remarques liminaires

31. J’indiquerai d’emblée que j’éprouve quelque difficulté à bien comprendre certains éléments de la procédure au principal.

32. En premier lieu, je dois reconnaître que la pertinence des questions posées au cours de la procédure au principal ne me paraît pas absolument évidente puisqu’il semble que, des parties à l’encontre desquelles l’APD a intenté l’action, seule Facebook Belgium demeure partie défenderesse dans la procédure au principal ( 4 ). Il ressort du dossier de l’affaire que cette société ne serait ni l’établissement principal du responsable du traitement au sens de l’article 4, point 16, du RGPD ni, puisqu’il
semble qu’il s’agisse d’un établissement de la même entreprise, un éventuel « responsable conjoint du traitement » au sens de l’article 26 du RGPD ( 5 ).

33. Les questions préjudicielles bénéficient toutefois d’une présomption de pertinence. Dès lors, la Cour ne refuse de statuer que dans des circonstances limitées, notamment lorsque les exigences figurant à l’article 94 du règlement de procédure de la Cour ne sont pas respectées ou lorsqu’il apparaît de manière manifeste que l’interprétation ou l’appréciation de la validité d’une règle de l’Union, demandées par la juridiction nationale, n’ont aucun rapport avec la réalité ou l’objet du litige au
principal ou lorsque le problème est de nature (totalement) hypothétique ( 6 ). À mon sens, tel est le cas dans la présente affaire. La question de savoir « qui est qui » et « qui peut être poursuivi et pour quel motif exactement » constitue non seulement une appréciation factuelle qu’il appartient en définitive à la juridiction nationale d’effectuer, mais elle est aussi, d’une certaine manière, l’un des éléments des questions déférées à la Cour.

34. En deuxième lieu, il est également difficile de saisir l’élément temporel de la procédure au principal. L’action a été intentée alors que la directive 95/46 était en vigueur. Toutefois, la procédure ne concerne apparemment plus que le comportement adopté après que le nouveau cadre légal est devenu applicable. On peut en effet se demander si la reprise par l’APD de l’action en justice est conforme aux dispositions du RGPD, une interrogation que soulève la quatrième question. Ces questions ne
seraient cependant pertinentes dans la procédure au principal que si une autorité nationale entendait mener à son terme une procédure en cours portant sur des violations alléguées antérieures au moment où le nouveau cadre légal est devenu applicable. Si toutefois la procédure en cours ne devait concerner qu’une irrégularité présumée survenue après que le RGPD est devenu applicable, et était éventuellement combinée à la demande d’interdiction judiciaire (nécessairement hypothétique) de ces
pratiques, il est difficile de comprendre pourquoi, dans la mesure où elle s’estime compétente pour intervenir, l’APD n’a pas mis fin à la procédure en cours et formé un recours sur la base des dispositions pertinentes du RGPD.

35. En troisième lieu, durant l’audience, l’APD a fait référence à un échange qu’elle a eu avec l’autorité de contrôle irlandaise et le comité concernant une des technologies utilisées par Facebook pour collecter des données (les témoins de connexion). Il a été constaté que les deux autorités de contrôle étaient en désaccord sur la question de savoir si cette technologie relevait effectivement du champ d’application matériel du RGPD.

36. À cet égard, et dans la mesure où cela concerne la présente affaire, il peut être intéressant de souligner que certaines activités de traitement de données peuvent en effet relever du champ d’application matériel de plusieurs instruments législatifs de l’Union, auquel cas tous ces instruments sont, sauf disposition contraire, applicables en même temps ( 7 ). Toutefois dans d’autres cas, par exemple lorsque les activités de traitement ne concernent pas des données à caractère personnel au sens de
l’article 4, point 1, du RGPD, ce dernier règlement ne s’applique évidemment pas.

37. En conséquence, lorsque l’irrégularité alléguée de certains types de traitements de données découle d’autres dispositions (du droit de l’Union ou nationales), les procédures et mécanismes établis dans le RGPD n’entrent pas en jeu. Le RGPD ne saurait être utilisé comme une passerelle permettant de faire relever du mécanisme de guichet unique des conduites qui, bien qu’elles impliquent certains flux, ou même certains traitements de données, ne tombent pas sous le coup des obligations qu’il
prévoit.

38. Afin de décider si une affaire relève effectivement du champ d’application matériel du RGPD, une juridiction nationale, y compris toute juridiction de renvoi, est tenue de rechercher la source précise de l’obligation légale pesant sur un opérateur économique dont il est allégué qu’il l’a enfreinte. Si la source de cette obligation n’est pas le RGPD, les procédures établies par cet instrument, qui sont liées à son objectif principal, ne sont logiquement pas non plus applicables.

B.   Sur la première question

39. Par sa première question, la juridiction de renvoi demande en substance si les dispositions du RGPD, lues à la lumière des articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte ») permettent à l’autorité de contrôle d’un État membre d’ester en justice devant une juridiction de cet État pour une infraction alléguée au RGPD pour ce qui concerne un traitement transfrontalier de données même si elle n’est pas l’« autorité de contrôle chef de file ».

40. L’APD et les gouvernements belge, italien, polonais et portugais proposent à la Cour d’apporter une réponse affirmative à la question, tandis que Facebook, les gouvernements tchèques et finlandais et la Commission défendent la position inverse.

41. Dans les développements qui suivent, j’expliquerai les raisons pour lesquelles l’interprétation du RGPD que proposent l’APD et les gouvernements belge, italien, polonais et portugais ne me convainc pas : l’interprétation tant littérale et systématique (section 1) que téléologique et historique (section 2) du RGPD plaide clairement en faveur du contraire. De plus, ni une interprétation du règlement axée sur la Charte (section 3) ni les risques allégués de sous-application du RGPD (section 4) ne
sont de nature à remettre en question ce qui constitue, selon moi, l’interprétation correcte du RGPD, tout du moins pas pour le moment.

42. Cela dit, les conséquences de cette lecture particulière du règlement ne sont, à mon avis, pas aussi extrêmes que celles que suggèrent Facebook, les gouvernements tchèques et finlandais ainsi que la Commission. J’expliquerai donc pourquoi la réponse à donner à la juridiction de renvoi devrait se situer à mi-chemin entre les deux positions présentées dans cette affaire : l’autorité de contrôle d’un État membre est habilitée à ester en justice devant une juridiction de cet État pour une infraction
alléguée au RGPD commise dans le cadre d’un traitement transfrontalier de données même si elle n’est pas l’autorité de contrôle chef de file, pour autant qu’elle le fasse dans les situations et conformément aux procédures prévues par le RGPD (section 5).

1. Une interprétation littérale et systématique du RGPD

43. En premier lieu, il me semble que le libellé des dispositions pertinentes, surtout lorsque celles‑ci sont envisagées dans leur contexte, conforte l’interprétation du RGPD selon laquelle l’ACF dispose d’une compétence générale pour ce qui concerne le traitement transfrontalier de données et les ACC n’ont par conséquent qu’un pouvoir limité en la matière.

44. L’article 56, paragraphe 1, du RGPD dispose que « l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60 » ( 8 ). Selon l’article 56, paragraphe 6, du même RGPD, « [l]’autorité de contrôle chef de file
est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant » ( 9 ). Le considérant 124 de ce règlement fait écho à ces dispositions en énonçant en substance que, en cas de traitement transfrontalier, « l’autorité de contrôle dont relève l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant devrait faire office d’autorité chef de file » (
10 ).

45. La compétence générale de l’ACF pour le traitement transfrontalier de données est également confirmée par le fait que les situations dans lesquelles la compétence en matière de traitement transfrontalier de données est attribuée à d’autres autorités de contrôle sont décrites comme des exceptions à la règle générale. En particulier, l’article 55, paragraphe 2, du RGPD écarte la compétence de l’ACF lorsque le traitement de données est « effectué par des autorités publiques ». De plus,
l’article 56, paragraphe 2, du RGPD prévoit que, par dérogation au principe selon lequel l’ACF est compétente, « chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement ».

46. De plus, l’article 66 du RGPD, qui traite de la « Procédure d’urgence », habilite chaque autorité de contrôle « [d]ans des circonstances exceptionnelles », lorsqu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, à adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois, « par dérogation » aux mécanismes de contrôle de la cohérence
visés aux articles 60, 63, 64 et 65 du RGPD.

47. Il me semble donc qu’il ressort assez clairement du texte du RGPD qu’en matière de traitement transfrontalier, la compétence de l’ACF est la règle et celle d’autres autorités de contrôle constitue l’exception ( 11 ).

48. L’APD et certains gouvernements contestent toutefois cette lecture du RGPD. Selon eux, le texte des dispositions concernées suggère que toute autorité de contrôle dispose d’un droit (presque absolu) d’ester en justice pour d’éventuelles infractions affectant son territoire, que le traitement soit ou non transfrontalier. Ils s’appuient essentiellement sur deux arguments.

49. En premier lieu, ils soutiennent que l’expression « [s]ans préjudice de l’article 55 » par laquelle commence l’article 56, paragraphe 1, du RGPD, signifie que la compétence que cette dernière disposition attribue à l’ACF ne saurait porter atteinte ni limiter les pouvoirs que la première de ces dispositions confère à chaque autorité de contrôle, en ce compris celui d’ester en justice.

50. Cet argument ne me convainc pas.

51. L’article 55, paragraphe 1, du RGPD énonce le principe selon lequel chaque autorité de contrôle « est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève ». Ces missions sont ensuite énumérées à l’article 57 de ce règlement. Les pouvoirs sont énumérés à l’article 58 dudit règlement. Parmi les missions dont ces autorités sont investies, on peut relever celle de contrôler l’application du
RGPD et de veiller au respect de celui‑ci [article 57, paragraphe 1, sous a), du RGPD]. En vertu de l’article 58 du RGPD, les autorités de contrôle sont investies de divers pouvoirs d’enquête (paragraphe 1), de correction (paragraphe 2), d’autorisation et consultatifs (paragraphe 3), ainsi que du pouvoir d’ester en justice (paragraphe 5).

52. En substance, ces dispositions – auxquelles l’article 55 du RGPD renvoie implicitement – englobent la totalité des missions et des pouvoirs dont les autorités de contrôle sont investies en application du RGPD. S’il fallait suivre l’interprétation défendue par l’APD et certains gouvernements, il ne resterait presque rien de la compétence générale de l’ACF, ce qui priverait l’article 56 de tout sens. L’ACF ne serait pas le « seul » interlocuteur ni le « chef de file » des autres autorités de
contrôle. Son rôle se réduirait à celui d’un « point d’information » sans mission clairement définie.

53. L’importance du rôle attribué à l’ACF et, par voie de conséquence, celle du mécanisme de guichet unique, apparaît encore plus clairement à la lecture conjointe et contextuelle de ces dispositions.

54. La prééminence donnée à l’article 56 dans la structure du RGPD en est une première indication. Cet article, le deuxième de la section pertinente du RGPD (chapitre VI « Autorités de contrôle indépendantes », section 2 « Compétence, missions et pouvoirs »), se trouve juste après la disposition générale relative à la compétence et avant les autres dispositions générales relatives aux « missions » et aux « pouvoirs ». Le législateur de l’Union a donc décidé de mettre en avant le caractère central de
la compétence de l’ACF avant même de préciser les missions et pouvoirs spécifiques de toutes les autorités de contrôle.

55. Plus fondamentalement, l’importance du rôle de l’ACF ressort également des dispositions du chapitre VII du RGPD (intitulé « Coopération et cohérence »), qui définit les divers procédures et mécanismes que doivent suivre les autorités de contrôle afin d’assurer une application cohérente du RGPD. En particulier, l’article 60, qui commence le chapitre et auquel l’article 56, paragraphe 1, fait référence, établit la procédure de « [c]oopération entre l’autorité de contrôle chef de file et les autres
autorités de contrôle concernées ».

56. Il est clair qu’il s’agit de ce qui doit être la procédure à suivre lorsqu’il est nécessaire d’intenter une action répressive à l’encontre d’un traitement transfrontalier. Tout comme les autres procédures prévues au chapitre VII du RGPD, cette procédure n’est pas optionnelle. Les termes impératifs utilisés, particulièrement à l’article 51, paragraphe 2, et à l’article 63 du RGPD, indiquent sans équivoque que les autorités de contrôle doivent coopérer et qu’elles doivent le faire en recourant
(obligatoirement) aux procédures et mécanismes établis à cet effet.

57. La signification de l’expression « [s]ans préjudice de l’article 55 » figurant à l’article 56, paragraphe 1, du RGPD diffère donc de celle suggérée par l’APD. À mon avis, cette formule, dans son contexte, signifie simplement que, même si, dans une situation donnée, l’ACF est compétente pour l’affaire impliquant un traitement transfrontalier en vertu de l’article 56 du RGPD, toutes les autorités de contrôle conservent naturellement les pouvoirs généraux dont elles sont investies en vertu de
l’article 55 (et de l’article 58) du RGPD.

58. En vertu de l’article 55, paragraphe 1, du RGPD, les États membres doivent permettre à l’autorité de contrôle d’exercer les missions et les pouvoirs prévus par le règlement. Cette disposition confère donc à chaque autorité de contrôle un pouvoir (ou une compétence) général(e) d’agir sur son territoire, et cela reste vrai indépendamment (« sans préjudice») du caractère transfrontalier ou non de ce traitement et que cette autorité intervienne en qualité d’ACF ou d’ACC ( 12 ). Toutefois,
l’article 55 du RGPD ne régit pas les situations dans lesquelles ce pouvoir d’intervenir sera exercé dans une affaire individuelle, ni la manière dont il le sera. Ces questions sont en effet régies par d’autres dispositions du RGPD, notamment par celles qui figurent au chapitre VII de ce règlement. Conformément à ces dispositions, le fait qu’une autorité de contrôle puisse exercer le pouvoir général d’agir et la manière dont elle exerce ce pouvoir dépendent notamment de la circonstance qu’elle
soit, à l’égard d’un responsable du traitement ou d’un sous-traitant donné, l’ACF ou l’ACC ( 13 ).

59. À cet égard et en conclusion, je partage dès lors l’avis du comité qui, dans un avis récent, s’est référé à l’article 56, paragraphe 1, du RGPD comme à une « règle supérieure » et à une « lex specialis » : cet article « est prioritaire [par rapport à la règle générale de l’article 55 du RGPD] lorsque se présente une situation de traitement qui remplit les conditions mentionnées dans ledit article » ( 14 ).

60. Par conséquent, j’estime que l’APD et certains gouvernements font une interprétation inexacte de l’article 55 et de l’article 56, paragraphe 1, du RGPD. Ces intervenants sortent la première partie de la phrase figurant à l’article 56, paragraphe 1, du RGPD de son contexte afin d’inverser la relation entre la règle et l’exception. Cela a pour effet d’édulcorer le contenu normatif d’une série de dispositions du RGPD et méconnaît l’objectif, que souligne notamment le considérant 10 de ce règlement,
d’assurer une application plus cohérente et homogène des règles de protection des données. En substance, cela impliquerait un retour au régime antérieur de la directive 95/46.

61. En second lieu, l’APD et certains gouvernements soutiennent qu’il découle du libellé même de l’article 58, paragraphe 5, du RGPD que toutes les autorités de contrôle doivent pouvoir ester en justice pour toute violation éventuelle des règles de protection des données impliquant leur territoire, quelle que soit la nature (nationale ou transfrontalière) du traitement. Cela a selon moi pour conséquence que, même s’il fallait interpréter le mécanisme de guichet unique en ce sens qu’il limite les
pouvoirs d’autres autorités de contrôle en ce qui concerne le traitement transfrontalier, cette limitation ne pourrait porter que sur les recours administratifs et non sur les procédures juridictionnelles.

62. Ce second argument est également indéfendable, selon moi. Il souffre de la même « tare » que l’argument précédent, qui consiste à lire une disposition spécifique du RGPD en l’« isolant cliniquement » du reste du règlement et à lui accorder trop d’importance.

63. L’article 58, paragraphe 5, du RGPD dispose que « [c]haque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement ».

64. Cette disposition exige, d’une part, que les États membres autorisent les autorités de contrôle à entretenir des relations étroites avec les autorités judiciaires (y compris éventuellement des autorités pénales) et, d’autre part, qu’ils leur accordent la qualité pour agir (non seulement passivement mais également activement) devant leurs cours et tribunaux nationaux. En d’autres termes, les autorités de contrôle devraient en principe pouvoir concerter les autorités judiciaires et, le cas
échéant, ester en justice. Je comprends que le législateur de l’Union ait considéré qu’une telle disposition expresse était nécessaire puisque, malgré le texte de l’article 28, paragraphe 3, de la directive 95/46 ( 15 ), les législations des États membres présentaient d’importantes différences en la matière, ce qui a posé des problèmes de mise en œuvre ( 16 ). La présente affaire, qui a commencé alors que cette directive était encore en vigueur, en est un bel exemple : elle a soulevé, en droit
national, la question de la qualité pour agir de la Commission de la protection de la vie privée et celle de la pertinence de la base juridique du recours formé par son président.

65. Cependant, comme il a déjà été indiqué ci‑dessus ( 17 ), l’article 58, paragraphe 5, du RGPD définit des pouvoirs dont toutes les autorités de contrôle, sans exception, doivent être investies, sans (ou avant de) déterminer à ce stade si, dans une affaire individuelle, cette autorité serait l’ACF compétente ou l’ACC, voire éventuellement une autorité de contrôle non concernée. L’article 58, paragraphe 5, du RGPD ne régit pas les situations dans lesquelles le pouvoir d’ester en justice doit être
exercé ni la manière dont il doit l’être. C’est vraisemblablement pour cette raison que cette disposition inclut les termes « le cas échéant ». Cette question fait l’objet d’autres dispositions du RGPD.

66. De plus, ni le libellé ni la structure de l’article 58 du RGPD ne suggèrent – comme le soutient l’APD – qu’une distinction pourrait être établie entre les pouvoirs administratifs des autorités (qui seraient soumis aux contraintes découlant du mécanisme de guichet unique) et le pouvoir d’ester en justice (qui ne serait pas soumis à ces contraintes). Cette disposition énumère, paragraphe par paragraphe, les différents pouvoirs dont les autorités de contrôle doivent être investies, en les
regroupant selon leur finalité (pouvoirs d’enquête, pouvoir d’adopter des mesures correctrices, pouvoirs consultatifs, etc.). Le libellé de ces paragraphes est assez similaire et indique en substance que chaque autorité de contrôle doit disposer des pouvoirs qu’il énonce.

67. Dès lors, je n’aperçois pas sur quelle base le paragraphe 5 de l’article 58 du RGPD pourrait être interprété différemment des paragraphes 1 à 3 de ce même article. Seule une de ces deux affirmations est correcte : soit chacune des autorités de contrôle dispose de tous les pouvoirs qui ne sont pas contraints par le mécanisme de guichet unique, soit tous ces pouvoirs doivent être exercés conformément aux procédures et dans les limites prévues par ledit règlement.

68. Pour les raisons exposées aux points 51 et 52 des présentes conclusions, la première hypothèse ne peut être confirmée. En fait, une lecture de l’article 58 du RGPD dans ce contexte fait clairement apparaître que, en réalité, c’est le contraire de ce qu’affirment l’ADP et certains gouvernements qui est correct.

69. Chaque autorité de contrôle est en effet tenue de contribuer à l’application correcte et cohérente du règlement. À cet effet, chaque autorité de contrôle – indépendamment de son rôle d’ACF ou d’ACC impliquée dans une affaire spécifique – doit, par exemple, examiner les plaintes dont elle est saisie et cela, avec toute la diligence requise ( 18 ). En fait, même lorsque les infractions alléguées concernent un traitement transfrontalier et qu’une autorité n’est pas l’ACF, d’autres autorités de
contrôle devraient pouvoir examiner la question afin d’apporter une contribution significative lorsqu’il leur est demandé de le faire dans le cadre des mécanismes de coopération et de cohérence ( 19 ) ou d’adopter des mesures urgentes. Toutefois, il appartient alors en principe à l’ACF d’adopter des mesures contraignantes afin que le responsable du traitement ou le sous-traitant respecte le RGPD ( 20 ). En particulier, comme il ressort de l’arrêt rendu récemment dans l’affaire Facebook Ireland
et Schrems, il appartient à « l’autorité nationale de contrôle compétente [de], le cas échéant, introduire un recours devant les juridictions nationales » ( 21 ). Dès lors, suggérer que les autorités de contrôle pourraient s’affranchir des mécanismes de cohérence et de coopération lorsqu’elles souhaitent ester en justice est incompatible avec le texte du RGPD et la jurisprudence de la Cour.

70. En outre, d’un point de vue pratique, il serait illogique d’empêcher une autorité d’ouvrir une procédure administrative afin de discuter de la violation présumée des règles de protection des données avec les opérateurs concernés mais de lui permettre d’ester en justice immédiatement concernant la même question. La voie judiciaire est souvent un instrument de dernier ressort vers lequel une autorité peut se tourner lorsqu’un problème ne peut pas être traité de manière efficace au travers de
discussions (formelles et informelles) et d’une prise de décision administrative.

71. La distinction que suggère l’APD, qui ne permettrait pas à une autorité de contrôle d’enquêter, préparer, traiter et décider (sur le plan administratif) mais qui lui permettrait en revanche d’immédiatement ester en justice serait dangereusement près de transformer les autorités administratives en personnages de westerns qui tirent d’abord et discutent (peut-être) ensuite (« When you have to shoot, shoot ; don’t talk » ( 22 )). Je ne suis pas certain que ce serait une manière raisonnable ou
appropriée pour les autorités administratives de traiter les infractions présumées aux règles de protection des données.

72. En outre, et ce point est plus important, permettre aux autorités de contrôle de saisir librement leurs juridictions nationales alors qu’elles ne peuvent pas faire usage de leurs pouvoirs administratifs sans passer par les mécanismes de coopération et de cohérence prévus par le RGPD ouvrirait la voie à un contournement aisé de ces mécanismes. Ainsi, en cas de désaccord sur un projet de décision, tant l’ACF que chacune des ACC pourraient « prendre les choses en main » et ester en justice devant
les juridictions nationales, court-circuitant de la sorte la procédure prévue à l’article 60, paragraphe 4, et à l’article 65 du RGPD.

73. Cela viderait également de son sens l’une des principales fonctions du comité – une entité instituée par le RGPD, composée du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données (CEPD) ( 23 ). L’une des missions du comité consiste précisément à surveiller et garantir la bonne application du RGPD lorsqu’un désaccord survient entre différentes autorités de contrôle ( 24 ). Dans ces cas, le comité intervient en qualité d’enceinte de règlement
des litiges et d’instance de décision. S’il fallait retenir l’interprétation défendue par l’APD et certains gouvernements, le mécanisme prévu à l’article 65 du RGPD pourrait être totalement mis de côté : chaque autorité pourrait suivre sa propre voie et court-circuiter le comité.

74. La situation ainsi créée serait l’exact opposé de ce que le législateur de l’Union entendait réaliser avec le nouveau système, comme je l’expliquerai dans la section suivante.

2. Une interprétation téléologique et historique du RGPD

75. Comme l’indique le considérant 9 du RGPD, le législateur de l’Union a considéré que, « [s]i elle [est demeurée] satisfaisante en ce qui concerne ses objectifs et ses principes, la directive [95/46] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent ».

76. La nécessité d’assurer la cohérence est donc devenue le principal enjeu de l’instrument législatif destiné à remplacer la directive 95/46. Cet objectif était considéré comme important dans une double perspective : d’une part, afin d’assurer la cohérence et un degré élevé de protection des personnes physiques et, d’autre part, afin de lever les obstacles à la circulation des données à caractère personnel au sein de l’Union, tout en assurant sécurité juridique et transparence aux opérateurs
économiques ( 25 ).

77. Ce dernier élément mérite d’être souligné. Sous l’empire de la directive 95/46, les opérateurs économiques exerçant des activités dans l’Union étaient tenus de respecter les différents ensembles de règles nationales transposant cette directive et de se concerter, simultanément, avec toutes les autorités nationales de protection des données. Non seulement cette situation était onéreuse, lourde et chronophage pour les opérateurs économiques mais elle était aussi immanquablement source
d’incertitudes et de conflits pour eux comme pour leurs clients ( 26 ).

78. Une série d’arrêts ont également fait apparaître les limites du système mis en place par la directive 95/46. Dans l’affaire Weltimmo, la Cour a considéré que le principe de territorialité limitait strictement les pouvoirs des autorités de protection des données : ces autorités ne pouvaient agir que contre les infractions commises sur le territoire dont elles relevaient et devaient dans tous les autres cas demander aux autorités des autres États membres d’intervenir ( 27 ). Dans l’affaire
Wirtschaftsakademie Schleswig-Holstein, la Cour a jugé que, en cas de traitement transfrontalier, chaque autorité de protection des données pouvait exercer ses pouvoirs à l’égard d’une entité établie sur son territoire, indépendamment des positions et actions de l’autorité de protection des données de l’État membre dans lequel le responsable du traitement a son siège ( 28 ).

79. Toutefois, dans le monde virtuel du traitement de données, la délimitation de la compétence des différentes autorités selon des lignes territoriales pose souvent problème ( 29 ). De plus, l’absence de mécanismes clairs de coordination entre les autorités nationales était source d’incohérences et d’incertitudes.

80. L’introduction du mécanisme de guichet unique, avec le rôle important de l’ACF, et les mécanismes de coopération mis en place pour impliquer d’autres autorités de contrôle, avait donc précisément pour objectif de résoudre ces problèmes ( 30 ). Dans l’arrêt Google (Portée territoriale du déréférencement), la Cour a souligné l’importance des mécanismes de coopération et de cohérence pour l’application correcte et cohérente du RGPD ainsi que leur caractère contraignant ( 31 ). Plus récemment, dans
l’affaire Facebook Ireland et Schrems, l’avocat général Saugmandsgaard Øe a également souligné que les mécanismes de coopération et de cohérence institués au chapitre VII du RGPD sont destinés à écarter le risque que les autorités de contrôle adoptent des approches divergentes à l’égard du traitement transfrontalier ( 32 ).

81. Il est vrai que – comme le fait remarquer l’APD – au cours du processus législatif, le Conseil de l’Union européenne et le Parlement européen ont tous deux cherché à limiter la compétence de l’ACF telle que l’avait initialement prévue la Commission. Toutefois, les modifications apportées dans le texte définitif du RGPD ne laissent planer aucun doute sur l’interprétation de la réglementation illustrée ci‑dessus mais, au contraire, elles la confirment.

82. Selon la proposition initiale de la Commission, du fait du mécanisme de guichet unique, en matière de traitement transfrontalier, une seule autorité de contrôle (l’ACF) devait être chargée de la surveillance des activités du responsable du traitement ou du sous-traitant dans toute l’Union et de la prise des décisions y afférentes ( 33 ). Cette proposition a toutefois suscité des débats au Conseil et au Parlement.

83. Le Conseil est finalement parvenu à s’accorder sur un texte basé sur une proposition présentée par la présidence ( 34 ). Cette proposition ne remettait nullement en question le mécanisme de guichet unique en tant que tel, auquel le Conseil se référait comme à « l’un des piliers essentiels » du nouveau cadre juridique ( 35 ). La proposition de la présidence a en fin de compte débouché sur deux séries d’amendements très spécifiques.

84. Premièrement, le Conseil a souhaité introduire certaines exceptions à la compétence générale de l’ACF : pour ce qui concerne le traitement effectué par des autorités publiques et pour les situations nationales. Le Conseil a donc proposé d’introduire deux dispositions qui ne figuraient pas dans la proposition de la Commission ( 36 ), et qui sont aujourd’hui l’article 55, paragraphe 2, et l’article 56, paragraphe 2, du RGPD ( 37 ).

85. Deuxièmement, le Conseil souhaitait assouplir le rôle et la compétence de l’ACF en rendant la procédure plus inclusive. Le texte de la proposition de la Commission était jugé quelque peu ambigu sur cette question et susceptible d’engendrer une compétence exclusive de l’ACF en matière de traitement transfrontalier. Quelques corrections ont donc été apportées dans le texte afin d’encore « rapprocher » les personnes physiques des autorités de contrôle ( 38 ). L’implication d’autres autorités de
contrôle dans la procédure de prise de décision a notamment été significativement augmentée.

86. De son côté, le Parlement a également soutenu la création d’un mécanisme de guichet unique, avec un rôle accru pour l’ACF, mais il a proposé de renforcer le système de coopération entre autorités de contrôle. L’exposé des motifs du projet de rapport ( 39 ) et la résolution législative du Parlement européen du 12 mars 2014 ( 40 ) sont assez clairs à cet égard.

87. En substance, après intervention du Conseil et du Parlement, le mécanisme de guichet unique, qui penchait auparavant du côté de l’ACF, est devenu un mécanisme plus équilibré reposant sur deux piliers : le rôle de chef de file de l’ACF est préservé pour ce qui concerne le traitement transfrontalier, mais il s’accompagne maintenant d’un rôle renforcé des autres autorités de contrôle, qui participent activement au processus grâce aux mécanismes de coopération et de cohérence, et d’un rôle d’arbitre
et de guide du comité en cas de désaccord.

88. L’interprétation téléologique et historique du RGPD confirme donc l’importance du mécanisme de guichet unique et, par conséquent, la compétence de l’ACF pour ce qui concerne le traitement transfrontalier. L’interprétation des dispositions du RGPD avancée par l’APD et certains gouvernements est incompatible avec l’intention du législateur de l’Union, telle qu’elle se déduit du préambule et des dispositions du règlement et des travaux préparatoires.

89. Je conclus donc qu’une approche textuelle, contextuelle, téléologique et historique de l’interprétation des dispositions pertinentes du RGPD confirme que les autorités de contrôle sont tenues de suivre les règles relatives à la compétence et aux mécanismes et procédures de coopération et de cohérence institués par ce règlement. Lorsqu’elles sont confrontées à un traitement transfrontalier, ces autorités doivent agir dans le cadre établi par le RGPD.

90. Toutefois, l’APD et certains gouvernements invoquent deux séries d’arguments supplémentaires qui plaident, selon eux, en faveur du renforcement des pouvoirs de toutes les autorités de contrôle d’agir de manière unilatérale, même pour ce qui concerne le traitement transfrontalier. Dans les sections qui suivent, j’expliquerai pourquoi ces arguments ne devraient pas remettre en question l’interprétation du RGPD que j’ai suggérée ci‑dessus, tout du moins pas à l’heure actuelle.

3. Une interprétation du RGPD fondée sur la Charte

91. L’APD soutient que les autorités de contrôle doivent nécessairement être investies d’un pouvoir, non limité, d’ester en justice contre les responsables de traitement et les sous-traitants, y compris lorsque le traitement en cause a un caractère transfrontalier, afin d’assurer le respect des articles 7, 8 et 47 de la Charte. Deux préoccupations principales semblent sous-tendre les arguments de l’APD sur ce point bien qu’aucune des deux n’ait été complètement développée dans les observations de
cette dernière ( 41 ).

92. La première préoccupation de l’APD semble liée à la réduction du nombre d’autorités qui peuvent agir à l’égard d’un comportement donné. Elle semble reposer sur l’idée, non exprimée, qu’un niveau élevé de protection requiert une multiplicité d’autorités susceptibles de faire respecter le RGPD, même en agissant en parallèle. Pour le dire simplement, le niveau de protection est d’autant plus élevé que le nombre d’autorités impliquées est important.

93. Je ne pense pas que ce soit nécessairement le cas, du moins pour ce qui est du niveau de protection.

94. Il est vrai que, comme l’a indiqué la Cour, le droit de l’Union relatif à la protection des données, lu à la lumière des articles 7 et 8 de la Charte, tend à assurer un niveau élevé de protection du droit fondamental au respect de la vie privée notamment en matière de traitement de données à caractère personnel ( 42 ).

95. Néanmoins, le législateur de l’Union a considéré qu’assurer un « niveau [...] élevé de protection des personnes physiques » requiert un « cadre de protection des données solide et plus cohérent » ( 43 ). À cet effet, le cadre mis en place par le RGPD vise à assurer la cohérence à tous les niveaux : pour les personnes physiques, pour les opérateurs économiques, pour les responsables du traitement et les sous-traitants, et pour les autorités de contrôle ( 44 ). En ce qui concerne ces dernières, le
RGPD tend, comme le confirme son considérant 116, à promouvoir une « coopération plus étroite » entre elles ( 45 ).

96. Par conséquent, contrairement à ce que soutient l’APD, aux yeux du législateur de l’Union, la recherche d’un niveau élevé de protection des droits et libertés des personnes concernées cadre parfaitement avec l’application du mécanisme de guichet unique illustré ci‑dessus. En permettant une approche plus cohérente, efficace et transparente en la matière, les mécanismes de coopération et de cohérence prévus dans le RPGD devraient contribuer à mettre l’accent sur la promotion et la préservation des
droits énoncés, notamment, aux articles 7 et 8 de la Charte.

97. En d’autres termes, un niveau de protection cohérent et uniforme n’empêche certainement pas cette protection d’être placée à un niveau élevé. La question est simplement de savoir où placer ce point de référence uniforme. Après tout, il est peu probable que la coexistence de plusieurs actions, sans liens entre elles et éventuellement contradictoires, engagées par les autorités de contrôle poursuive réellement l’objectif d’assurer un niveau élevé de protection des droits des particuliers. La
cohérence et la clarté assurées par des autorités de contrôle agissant de concert serviraient mieux cet objectif.

98. La seconde préoccupation exprimée par l’APD pose la question de la proximité entre les particuliers qui introduisent une réclamation et les autorités qui prendront des mesures pour y répondre. La question est, en substance, celle de savoir si des particuliers peuvent utilement introduire un recours contre l’action, ou l’inaction, des autorités de contrôle concernant leurs réclamations.

99. En effet, l’article 78 du RGPD confirme le droit de toute personne physique ou morale de former un recours juridictionnel effectif contre une autorité de contrôle. De plus, afin d’être cohérents avec l’article 47 de la Charte, les recours prévus par le RGPD ne peuvent imposer aux personnes concernées de se conformer à des modalités qui, au regard de leur statut de personnes physiques, pourraient affecter de manière disproportionnée leur droit à un recours effectif devant un tribunal (par
exemple, en augmentant les frais ou en retardant le recours) ( 46 ).

100. Pourtant aucun des arguments (assez vagues) avancés par chaque partie sur ce point n’explique clairement en quoi l’interprétation du RGPD avancée par Facebook, les gouvernements tchèques et finlandais et la Commission serait contraire à l’article 47 de la Charte.

101. Pour commencer, le RGPD prévoit expressément le droit pour les personnes concernées de former des recours tant contre les responsables du traitement et les sous-traitants que contre les autorités de contrôle. Sur le plan structurel, il est donc difficile de comprendre pourquoi le RGPD ne serait pas conforme à l’article 47 de la Charte.

102. S’agissant du droit des personnes concernées d’ester en justice contre les responsables du traitement et les sous-traitants, ces personnes peuvent choisir d’intenter une action devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou dans lequel elles‑mêmes résident ( 47 ). Cette règle semble plutôt favorable aux personnes concernées ou, tout au moins, elle ne semble pas présenter de difficultés pour elles ( 48 ).

103. S’agissant du droit des personnes concernées de former des recours contre les autorités de contrôle, la situation est plus complexe. Tout d’abord, les personnes concernées ont le droit de contester tant les actions que l’inaction des autorités de contrôle. En particulier, elles peuvent intenter une action contre toute autorité de contrôle qui « ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou [qui] n’agit pas alors qu’une action est nécessaire pour protéger
les droits de la personne concernée » ( 49 ).

104. Toutefois, à la différence des recours contre les responsables du traitement et les sous-traitants, les actions contre les autorités de contrôle doivent être intentées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie ( 50 ). Même si cette règle peut sembler moins favorable aux particuliers, il faut garder à l’esprit que, conformément à l’article 60, paragraphes 8 et 9, du RGPD, lorsqu’une réclamation introduite par une personne concernée est
refusée ou rejetée, la décision pertinente est adoptée et notifiée à la personne concernée par l’autorité de contrôle auprès de laquelle la réclamation a été introduite. Tel est le cas que cette autorité soit ou non l’ACF, ce qui permet (le cas échéant) à la personne concernée d’entamer une action dans son propre État membre.

105. Ces mécanismes de transfert de la compétence d’adopter les décisions et, si nécessaire, d’adopter des décisions à deux niveaux (l’ACF à l’égard du responsable du traitement ou du sous-traitant, et l’autorité de contrôle nationale à l’égard de la personne ayant introduit la réclamation) semblent spécifiquement destinés à éviter que les personnes concernées aient à faire le tour des juridictions dans l’Union pour intenter une action contre des autorités de contrôle inactives.

106. Je reconnais néanmoins que cette solution peut susciter un certain nombre de questions pratiques. Quel sera exactement le contenu de chacune de ces décisions ? Ce contenu sera-t-il identique ( 51 ) ou différent ? Une personne concernée sera-t-elle autorisée à contester toutes les questions dont elle estime qu’elles ont trait à son affaire, même celles qui, en fait, font partie de la décision de l’ACF ? Ou bien la décision de l’autorité de contrôle auprès de laquelle la réclamation a été
introduite ne sera-t-elle dans une large mesure qu’une « coquille vide », qui ne traitera la réclamation que de manière formelle, tandis que le contenu véritable se trouvera dans la décision de l’ACF ? Dans ce cas, afin d’avoir accès à un « contrôle juridictionnel effectif » au sens de l’article 78 du RGPD et de l’article 47 de la Charte, la personne concernée devra-t-elle dans tous les cas intenter une action devant les juridictions de l’État membre sur le territoire duquel l’ACF est établie ?
Comment s’appliqueraient les règles d’accès à un recours juridictionnel effectif en ce qui concerne le contrôle de toute décision sous‑jacente, que ce soit au niveau horizontal (parmi les autorités de contrôle agissant conjointement) ou vertical (pour le contrôle d’un avis ou d’une décision du comité dans le cadre du mécanisme de cohérence qui précède et est effectivement susceptible de déterminer la décision finale d’une autorité de contrôle) ( 52 ) ?

107. Les questions épineuses susceptibles de se poser ne manquent pas. L’expérience pratique pourrait un jour révéler de réels problèmes concernant la qualité ou même le niveau de protection juridique inhérent au nouveau système. À l’heure actuelle, toutefois, ces questions ne sont encore que des conjectures. À ce stade, et certainement dans cette affaire, aucun élément soulevant de réels problèmes à cet égard n’a été soumis à la Cour.

4. Une éventuelle mise en œuvre insuffisante du RGPD

108. L’APD soutient en substance que le contrôle du respect du RGPD dans les situations transfrontalières ne saurait être laissé qu’à l’ACF et aux personnes concernées qui pourraient être affectées par le traitement. C’est précisément le rôle de chaque autorité de contrôle d’agir afin de protéger les droits des particuliers susceptibles d’être affectés par le traitement de données. En particulier, une autorité de contrôle ne peut pas exercer correctement sa mission si, dans chaque affaire, la
décision d’intenter une action contre une violation présumée – et la manière de le faire – est laissée à la discrétion d’une autre autorité.

109. À mon avis, cet argument constitue en substance un défi direct pour le nouveau mécanisme de coopération introduit par le RGPD. J’y apporterai une réponse à double niveau : d’une part, s’agissant du droit positif, on peut considérer que le RGPD comporte des mécanismes destinés à éviter de tels scénarios. D’autre part, s’agissant de la mise en œuvre effective et des effets des nouveaux systèmes, ces craintes sont, à ce stade, prématurées et hypothétiques.

110. Premièrement, il faut préciser d’emblée que le fait qu’une autorité de contrôle ne soit pas l’ACF à l’égard d’un responsable du traitement ou d’un sous-traitant donné ne signifie nullement – comme l’affirme l’APD – que les violations du RGPD qui revêtiraient un caractère pénal ne pourraient pas être poursuivies correctement. Le pouvoir de « porter toute violation du présent règlement à l’attention des autorités judiciaires » visé à l’article 58, paragraphe 5, du RGPD inclut bien évidemment
celui de se mettre en rapport avec les autorités pénales telles que le ministère public. Ce pouvoir est cohérent avec la mission des autorités de contrôle de surveiller et d’assurer l’application du RGPD sur le territoire dont elles relèvent et ne fait pas obstacle à l’efficacité des mécanismes de coopération et de cohérence visés au chapitre VII du RGPD. À ce propos, il va sans dire que si ces mécanismes sont contraignants à l’égard des autorités de contrôle, ils ne s’appliquent pas à d’autres
autorités des États membres, en particulier celles qui ont pour mission de poursuivre les infractions pénales.

111. Deuxièmement, et surtout, si le système prévu par le RGPD est envisagé dans sa globalité, il semble assez clair que l’ACF n’est pas la seule à faire appliquer le RGPD dans les situations transfrontalières. Elle serait plutôt un primus inter pares. En principe, une ACF ne peut agir (sur le plan administratif ou judiciaire) qu’avec l’accord des ACC. Dans le cadre de la procédure prévue à l’article 60 du RGPD, l’ACF est tenue de rechercher un consensus ( 53 ). Elle ne peut ignorer les points de
vue des ACC. Non seulement l’ACF est obligée de tenir « dûment compte » de ces points de vue, mais toute objection formelle exprimée par une ACC a pour effet de bloquer l’adoption du projet de décision de l’ACF. En dernière instance, une divergence de vues persistante entre les autorités est tranchée par une entité spécifique (le comité) composée des représentants de toutes les autorités de contrôle de l’Union. À cet égard, l’opinion de l’ACF n’a donc pas plus de poids que celle de toute autre
autorité ( 54 ).

112. Comme l’a indiqué l’ancien CEPD, M. Peter Hustinx, dans le cadre du RGPD, le rôle d’une ACF ne devrait pas être perçu comme une compétence exclusive, mais comme une manière structurée de coopérer avec d’autres autorités de contrôle nationales compétentes ( 55 ). Le RGPD prévoit un partage de la responsabilité de surveiller son application et d’en assurer la cohérence. À cette fin, les autorités de contrôle sont investies de missions et de certains pouvoirs ; certains droits leur sont accordés
mais certains devoirs leur sont également imposés. Parmi ces devoirs, on peut notamment citer l’obligation de suivre certaines procédures et certains mécanismes destinés à assurer la cohérence. Le souhait d’une autorité de « faire cavalier seul » ( 56 ) pour faire appliquer (par la voie judiciaire) le RGPD, sans coopérer avec les autres autorités n’est pas conciliable avec la lettre, ni avec l’esprit, de ce règlement.

113. Comme il a été indiqué aux points 76 et 77 des présentes conclusions, le RGPD repose sur un équilibre délicat entre la nécessité d’assurer un niveau élevé de protection des personnes physiques et celle de lever les obstacles aux flux de données personnelles au sein de l’Union. Comme le soulignent notamment le considérant 10 et l’article 1er, paragraphe 1, du RGPD, ces deux objectifs sont inextricablement liés. Les autorités de contrôle nationales doivent donc assurer un juste équilibre entre
elles, ainsi que l’a souligné avec constance la Cour dans ses premiers arrêts en matière de protection des données ( 57 ). L’article 51, paragraphe 1, du RGPD reflète cette approche lorsqu’il définit la mission des autorités de contrôle ( 58 ).

114. Troisièmement, le RGPD ne prévoit pas uniquement des mécanismes de résolution des divergences ayant trait à la manière dont il doit être appliqué, à savoir un arbitrage entre les points de vue et opinions divergents exprimés par les autorités de contrôle. Il inclut également des mécanismes de résolution des situations d’inerties administratives. Sont notamment visées les situations dans lesquelles, à défaut d’expertise et/ou de personnel, ou pour toute autre raison, une ACF n’entreprend aucune
action significative pour rechercher de possibles violations du RGPD et, le cas échéant, pour en faire appliquer les règles.

115. En principe, le RGPD requiert une action rapide de l’ACF en cas de traitement transfrontalier. En particulier, en vertu de l’article 60, paragraphe 3, du RGPD, une ACF doit communiquer « sans tarder les informations utiles sur la question aux autres autorités de contrôle [et] soumet[tre] sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et [tenir] dûment compte de leur point de vue » ( 59 ).

116. Si une ACF ne se conforme pas à cette obligation ou, plus généralement, si elle omet d’agir lorsqu’elle est tenue de le faire, on peut se demander si les autorités de contrôle concernées qui veulent procéder à une enquête ou éventuellement adopter des mesures d’exécution disposent d’une voie de recours ( 60 ). Je pense que ces autorités peuvent suivre au moins deux voies différentes, qui ne s’excluent pas mutuellement.

117. D’une part, conformément à l’article 61, paragraphes 1 et 2, du RGPD, une autorité de contrôle peut demander à une autre autorité de contrôle de communiquer « les informations utiles et [de lui prêter] assistance en vue de mettre en œuvre et d’appliquer le [RGPD] » ( 61 ). Cette demande peut prendre la forme d’une demande d’informations, y compris « sur la conduite d’une enquête », ou d’autres mesures d’assistance (telles que la conduite d’inspections et d’enquêtes ou la mise en place de
mesures de coopération effective). L’autorité requise doit répondre à une telle demande « dans les meilleurs délais et au plus tard un mois après réception de la demande ».

118. En vertu de l’article 61, paragraphes 5 et 8, du RGPD, en l’absence de réponse dans le délai prévu, ou en cas de refus de répondre à la demande, l’autorité de contrôle requérante peut « adopter une mesure provisoire sur le territoire de l’État membre dont elle relève conformément à l’article 55, paragraphe 1 ». Dans ce cas, « les circonstances permettant de considérer qu’il est urgent d’intervenir conformément à l’article 66, paragraphe 1, sont réputées réunies et nécessitent une décision
contraignante d’urgence du comité en application de l’article 66, paragraphe 2 » ( 62 ).

119. Il me semble que ce mécanisme pourrait également être utilisé (et est probablement destiné à l’être ( 63 )) par une ACC à l’égard d’une ACF. L’absence d’action de l’ACF dans un cas particulier de traitement transfrontalier, malgré la demande formulée à cet effet par l’ACC, pourrait donc habiliter cette dernière à adopter les mesures urgentes jugées nécessaires pour protéger les intérêts des personnes concernées. En effet, les circonstances exceptionnelles justifiant une intervention urgente
sont réputées réunies et ne doivent pas être démontrées.

120. D’autre part, l’article 64, paragraphe 2, du RGPD permet à toute autorité de contrôle (ou au président du comité ou à la Commission) de « demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 » ( 64 ).

121. Il est difficile de savoir si la décision du comité est juridiquement contraignante à l’égard de l’ACF concernée ( 65 ). Toutefois, conformément à l’article 65, paragraphe 1, sous c), du RGPD, lorsqu’une autorité de contrôle compétente ne suit pas l’avis émis par le comité en vertu de l’article 64 de ce règlement, toute ACC (ou la Commission) peut saisir le comité de la question et donc entamer la procédure de règlement des litiges prévue à cette fin. Cette procédure pourrait, le cas échéant,
déboucher sur une décision contraignante ( 66 ).

122. Cela dit, il faut reconnaître que les deux mécanismes illustrés ci‑dessus (articles 61 et 66 du RGPD, d’une part, et articles 64 et 65 de ce règlement, d’autre part) sont assez lourds. Leur fonctionnement concret n’est pas toujours très clair. Dès lors, si, sur le papier, les dispositions mentionnées semblent susceptibles d’éviter ces problèmes, seule leur future mise en œuvre nous dira si, en pratique, elles ne seront pas seulement des « tigres de papier ».

123. Cela me ramène au second volet de l’argument invoqué en ce qui concerne la mise en œuvre insuffisante, et à son caractère plutôt hypothétique et non étayé, certainement pour le moment. Je dois reconnaître que, du moins selon moi, si les risques de mise en application insuffisante du RGPD suggérés par l’APD et quelques autres intervenants devaient se concrétiser, le système serait, dans sa totalité, mûr pour une profonde réforme.

124. D’un point de vue structurel, ce pourrait en effet être le cas si la nouvelle structure devait générer des « nids » réglementaires pour certains opérateurs qui, après avoir effectivement choisi eux‑mêmes leur régulateur national en situant leur établissement principal dans l’Union, en conséquence, seraient non pas surveillés mais en réalité protégés des autres régulateurs par une ACF donnée. La plupart des gens conviendront qu’une concurrence réglementaire prenant la forme d’une course au
nivellement par le bas entre les États membres serait tout aussi malsaine et dangereuse que l’incohérence réglementaire – le type d’absence de coordination et de cohérence caractéristique de l’ancienne structure. Un réseau de régimes réglementaires pourrait permettre d’éviter les incohérences et divergences en favorisant le consensus et la coopération. Néanmoins, le prix du consensus serait le blocage des plus actifs, particulièrement dans un système où la coopération renforcée est nécessaire
pour parvenir à une décision. Dans un tel système, la responsabilité collective pourrait aboutir à l’irresponsabilité collective et, partant, à l’inertie.

125. Toutefois, en ce qui concerne ces dangers, le cadre juridique mis en place par le RGPD n’en est encore qu’à ses débuts. Il est difficile de prédire – surtout pour une juridiction dans le cadre d’une procédure unique, ou assez singulière – comment fonctionneront les mécanismes institués par ce règlement dans la pratique et quelle sera leur effectivité. Dans un tel cadre, comme pour les questions éventuelles concernant la protection des droits fondamentaux et l’interprétation conforme à la
Charte ( 67 ), la prudence s’impose.

126. Selon moi, la Cour serait mal avisée de retoucher de manière significative ce cadre – qui constitue le résultat (délicat et soigneusement élaboré) d’un processus législatif long et intense – en interprétant certaines phrases tirées de leur contexte et sur la base d’éléments qui ne sont actuellement que présomptions et spéculations. C’est d’autant plus vrai si l’interprétation proposée par certaines parties consiste simplement à lire certains éléments essentiels en dehors du cadre du règlement
et à revenir de facto à l’ancien système de la directive 95/46, que le législateur de l’Union a, en ce qui concerne sa dimension institutionnelle, expressément et clairement rejeté.

127. Cette intention législative extrêmement claire démontrée à la fois, comme il ressort des sections précédentes des présentes conclusions, par le texte et la structure du RGPD et par la volonté attestée du législateur fournit également une réponse à d’éventuels autres problèmes structurels, tels que ceux qui concernent le juste équilibre entre le contrôle privé et le contrôle public des règles de protection des données et du RGPD. Est-il logique de réserver à une autorité unique et donc, à un
seul État membre, le contrôle public dont la mise en œuvre n’aboutira qu’au terme d’une longue et lourde procédure administrative alors que le contrôle privé de ces mêmes règles pourrait être effectué plus rapidement en pratique et devant les juridictions (civiles) de tous les États membres ? Les autorités de contrôle nationales devraient-elles avoir un moindre accès aux tribunaux par rapport aux consommateurs privés ? La plupart des affaires de protection des données ne finiront-elles pas
devant les juridictions nationales (et, éventuellement, devant la Cour au travers d’une question préjudicielle) par des recours formés par des parties privées, en court-circuitant complètement les régulateurs nationaux institués à cette fin parce que ces derniers seraient encore en train de coopérer et de coordonner leurs positions ? Dans ce régime, ne risque-t-on pas de voir le contrôle privé remplacer totalement le contrôle public ?

128. Quoi qu’il en soit, le législateur de l’Union a fait un choix institutionnel et structurel clair et il n’y a, selon moi, aucun doute sur les objectifs qu’il souhaitait atteindre. Dans ces circonstances, pour le dire de manière métaphorique, il convient d’être indulgent avec le nouveau-né, tout au moins pour le moment. Si toutefois l’enfant devait mal tourner, ce qui devrait être étayé par des faits et des arguments solides, je ne pense pas que la Cour fermerait les yeux sur les lacunes qui
pourraient ainsi émerger au niveau de la protection des droits fondamentaux garantis par la Charte et de son contrôle effectif par les régulateurs compétents. Quant à savoir si la question porte sur l’interprétation de dispositions de droit dérivé conformément à la Charte ou sur la validité des dispositions, ou même sections, pertinentes du droit dérivé, cela devrait faire l’objet d’une autre affaire.

5. Conclusion intermédiaire

129. Tous les éléments d’interprétation qui viennent d’être évoqués amènent donc à une seule et même conclusion : l’ACF a une compétence générale pour ce qui est du traitement transfrontalier. Toutes les autorités de contrôle (qu’elles soient ACF ou ACC) sont tenues d’agir, surtout dans le cas d’un traitement transfrontalier, conformément aux procédures et mécanismes prévus par le RGPD.

130. Cela dit, en résulte-t-il pour autant qu’il est toujours interdit, par principe, à une autorité de contrôle qui n’est pas l’ACF d’ester en justice devant les juridictions nationales contre un responsable du traitement ou un sous-traitant lorsque le traitement en cause a un caractère transfrontalier ?

131. La réponse est non.

132. Premièrement, les autorités de contrôle peuvent évidemment saisir une juridiction nationale lorsqu’elles agissent en dehors du champ d’application matériel du RGPD, pour autant que le droit national les y autorise et que le droit de l’Union ne le leur interdise pas, par exemple parce que le traitement ne porte pas sur des données à caractère personnel ou parce que le traitement de données à caractère personnel est effectué en dehors du cadre des activités visées à l’article 2, paragraphe 2, du
RGPD ( 68 ).

133. Deuxièmement, malgré le caractère transfrontalier du traitement, dans les situations visées à l’article 55, paragraphe 2, du RGPD (traitement effectué par des autorités publiques, mais aussi tout traitement effectué dans l’intérêt public ou dans l’exercice de l’autorité publique), l’autorité de contrôle locale demeure investie de la compétence réglementaire laquelle inclut naturellement également, le cas échéant, la compétence d’ester en justice.

134. Troisièmement, dans certains cas, même en présence d’un traitement transfrontalier de données à caractère personnel relevant du RGPD, aucune autorité de contrôle ne peut agir en qualité d’ACF. Puisque le mécanisme de coopération et de cohérence prévu par le RGPD ne s’applique qu’aux responsables du traitement possédant au moins un établissement dans l’Union, il n’y a pas d’ACF en ce qui concerne le traitement transfrontalier effectué par des responsables du traitement sans établissement dans
l’Union. Cela signifie que les responsables du traitement ne possédant aucun établissement dans l’Union doivent s’adresser aux autorités de contrôle locales dans chacun des États membres dans lesquels ils exercent des activités ( 69 ).

135. Quatrièmement, toute autorité de contrôle peut adopter des mesures urgentes lorsque les conditions sont remplies. Il existe en outre des situations dans lesquelles l’urgence des mesures est présumée. Tel peut être le cas, par exemple, lorsqu’une ACC est potentiellement confrontée à l’inertie persistante de l’ACF compétente. Puisque l’article 66, paragraphe 1, du RGPD prévoit un ensemble de mesures à côté du mécanisme de cohérence, il est permis de supposer que, dans cette situation
exceptionnelle, l’ensemble des pouvoirs dont une autorité de contrôle est investie (mais que cette dernière ne met pas en œuvre dans des circonstances normales parce que les règles spéciales de compétence d’une ACF en matière de traitement transfrontalier l’en empêchent) sont réactivés et peuvent être exercés temporairement. Cela inclut dès lors naturellement le pouvoir d’ester en justice en application de l’article 58, paragraphe 5, du RGPD.

136. Enfin, cinquièmement, par souci d’exhaustivité, il faut souligner qu’il se peut également qu’une autorité de contrôle qui a informé l’ACF puisse récupérer (ou plutôt conserver) le pouvoir d’ester en justice si l’ACF décide de ne pas traiter le cas en application de l’article 56, paragraphe 5, du RGPD. À première vue, cette dernière disposition pourrait bien permettre aux deux autorités de contrôle de s’accorder sur celle qui est la mieux placée pour traiter une affaire.

137. En résumé, les dispositions du RGPD ne contiennent aucune interdiction générale pour les autorités de contrôle, et en particulier pour les ACC, d’intenter une action en justice contre d’éventuelles violations des règles de protection des données. Au contraire, diverses situations dans lesquelles elles sont habilitées à le faire sont expressément envisagées dans le RGPD ou en découlent implicitement ( 70 ).

138. En général, toutefois, il est de la plus haute importance que, lorsque les procédures et mécanismes prévus par le RGPD (en particulier ceux qui figurent aux chapitres VI et VII de ce règlement) sont applicables, tant l’ACF que les ACC les mettent dûment en œuvre. Les règles du RGPD indiquent très clairement qu’aucune de ces autorités ne doit agir en dehors, ou en méconnaissance, de ce cadre juridique.

139. Cela dit, c’est toutefois à la juridiction de renvoi qu’il revient de déterminer si l’APD a respecté ces procédures et mécanismes dans la présente affaire – une question qui a fait l’objet de discussions au cours de l’audience mais qui reste assez incertaine compte tenu du contexte procédural particulier de la présente affaire ( 71 ).

140. Par conséquent, il conviendrait de répondre à la première question que les dispositions du RGPD permettent à l’autorité de contrôle d’un État membre d’ester en justice devant une juridiction de cet État pour une infraction alléguée au RGPD pour ce qui concerne le traitement transfrontalier de données, pour autant que ce soit dans les situations et selon les procédures prévues par ce règlement.

C.   Les autres questions préjudicielles

1. Sur la deuxième question

141. Par sa deuxième question, la juridiction de renvoi demande si la réponse à la première question est différente si le responsable du traitement transfrontalier n’a pas son établissement principal dans cet État membre mais qu’il y a un autre établissement.

142. Compte tenu de la réponse proposée pour la première question, la réponse à apporter à la deuxième question est assez claire : en principe, non, pour autant que l’« établissement principal » au sens de l’article 4, point 16, du RGPD soit effectivement situé dans un autre État membre.

143. En principe, le fait qu’un responsable du traitement ait un établissement secondaire dans un État membre n’affecte pas la capacité de l’autorité de contrôle locale d’ester en justice en ce qui concerne un traitement transfrontalier donné, conformément à l’article 58, paragraphe 5, du RGPD. En d’autres termes, en cas de traitement transfrontalier, le champ des pouvoirs attribués à une autorité de contrôle et la manière dont ces pouvoirs devraient être exercés ne dépendent pas, en général, du
fait que le responsable du traitement ou le sous-traitant, qui a son établissement principal dans un autre État membre, ait également un établissement dans l’État membre de cette autorité.

144. Toutefois, comme cela a déjà été indiqué plus haut ( 72 ), comme élément préliminaire à cette conclusion, une juridiction nationale doit tout d’abord déterminer quel est, dans les faits, l’établissement principal pour les besoins d’une opération de traitement donnée. À cet égard, l’article 4, point 16, sous a), du RGPD adopte une compréhension dynamique ( 73 ) de ce qui est considéré être l’établissement principal et qui ne doit pas nécessairement coïncider avec la structure sociale statique
d’une entreprise.

145. De plus, la circonstance que le responsable du traitement ou le sous-traitant ait un établissement (secondaire) sur le territoire de l’autorité de contrôle fait de cette dernière une ACC au sens de l’article 4, point 22, du RGPD. Les ACC sont investies d’importants pouvoirs dans le cadre des procédures prévues au chapitre VII du RGPD ( 74 ).

146. En outre, l’article 56, paragraphe 2, du RGPD prévoit une exception à la compétence générale de l’ACF en matière de traitement transfrontalier : « chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement ». Cette compétence doit être exercée
conformément à la procédure visée aux paragraphes 3 à 5 de ce même article ( 75 ).

2. Sur la troisième question

147. Par sa troisième question, la juridiction de renvoi demande si la réponse à la première question serait différente selon que l’autorité de contrôle nationale dirige son action en justice contre l’établissement principal du responsable du traitement ou contre l’établissement qui se trouve dans son propre État membre.

148. À la lumière de la réponse proposée pour la première question, et pour autant qu’elle ne fasse pas double emploi avec la deuxième question, la troisième question appelle également une réponse négative.

149. À nouveau, pour autant que les faits d’une affaire permettent d’établir que l’établissement principal pour une opération de traitement est, conformément à l’article 4, point 16, du RGPD, effectivement situé dans un autre État membre, l’autorité de contrôle de l’État membre dans lequel est situé un établissement du responsable du traitement n’est pas l’ACF, mais elle pourrait devenir une ACC. Toutefois, dans cette appréciation, la compétence d’ester en justice de l’autorité de contrôle ne dépend
pas du fait que l’action soit intentée contre l’établissement principal du responsable du traitement ou contre l’établissement situé dans son propre État membre ( 76 ).

150. Par souci d’exhaustivité, on pourrait ajouter que l’article 58, paragraphe 5, du RGPD est formulé en termes généraux et qu’il ne précise pas les entités à l’encontre desquelles les autorités de contrôle devraient ou pourraient intenter une action. Cela a suscité, dans les observations présentées par certaines parties, un curieux débat concernant une question sur laquelle, bien qu’elle ne me paraisse pas dénuée d’importance, il n’est pas nécessaire que la Cour se penche dans la présente affaire.
Cette question est la suivante : dans la mesure où elles sont effectivement compétentes pour ce faire en vertu du RGPD, les autorités de contrôle ne peuvent-elles agir que contre l’(es) établissement(s) du responsable du traitement ou du sous-traitant situé(s) sur le territoire dont elles relèvent ou peuvent-elles également agir contre des établissements situés à l’étranger ?

151. D’un côté, les gouvernements belge, italien et polonais soulignent que l’article 55, paragraphe 1, du RGPD limite la compétence territoriale de chaque autorité de contrôle à son propre territoire. Ils en déduisent que les autorités de contrôle ne peuvent agir que contre des établissements nationaux.

152. Toutefois le texte ne me paraît pas aussi clair : il fait référence à l’exercice des pouvoirs que confère le RGPD « sur le territoire de l’État membre dont elle relève ». Je ne lis pas dans cette disposition qu’elle s’oppose nécessairement à une action intentée contre un établissement situé dans un autre État membre. L’élément territorial inclus à l’article 55, paragraphe 1, du RGPD, lu à la lumière du champ d’application global du RGPD visé à l’article 1er, paragraphe 1, et à l’article 3 de ce
règlement, qui active la compétence d’une autorité de contrôle dans une situation donnée, porte sur les effets du traitement de données sur le territoire d’un État membre. Il ne vient pas limiter les actions intentées contre les responsables du traitement et les sous-traitants établis hors des frontières nationales.

153. De l’autre côté, l’APD suggère que chaque autorité de contrôle a le pouvoir d’agir contre toutes les violations du RGPD qui surviennent sur son territoire, que le responsable du traitement ou le sous-traitant ait ou non un établissement sur son territoire. Cela signifie qu’une autorité devrait pouvoir ester en justice contre des établissements situés à l’étranger. À ce propos, l’APD fait référence à l’arrêt que la Cour a rendu dans l’affaire Wirtschaftsakademie Schleswig-Holstein ( 77 ). Dans
cet arrêt, la Cour a jugé que les articles 4 et 28 de la directive 95/46 permettent à l’autorité de contrôle d’un État membre d’exercer le pouvoir d’ester en justice à l’égard d’un établissement de cette entreprise situé sur le territoire de cet État membre. Tel était le cas même si cet établissement était uniquement chargé de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire dudit État membre et que la responsabilité exclusive de la collecte et du traitement
des données à caractère personnel incombait, pour l’ensemble du territoire de l’Union, à un établissement situé dans un autre État membre.

154. L’APD soutient à juste titre que, dans la mesure où le RGPD contient, en la matière, des dispositions semblables à celles de la directive 95/46 ( 78 ), les principes énoncés par la Cour dans l’affaire Wirtschaftsakademie Schleswig-Holstein devraient être valables, mutatis mutandis, à l’égard du RGPD. Cependant, cet arrêt a seulement indiqué qu’un établissement local peut être attrait en justice par l’autorité alors que le traitement est (dans sa majeure partie) effectué par un établissement
situé ailleurs dans l’Union. Cet arrêt n’a pas, du moins pas expressément, confirmé ni infirmé que l’autorité de contrôle pouvait également agir contre ce dernier établissement.

155. Il me semble néanmoins que, en créant un point de contrôle central, le nouveau mécanisme de guichet unique implique nécessairement qu’une autorité de contrôle puisse également agir contre des établissements situés à l’étranger. Je ne suis pas certain que le nouveau système puisse fonctionner correctement s’il exclut que les autorités de contrôle, en particulier l’ACF, aient la possibilité d’intenter des actions en justice contre des établissements situés ailleurs ( 79 ).

3. Sur la quatrième question

156. Par sa quatrième question, la juridiction de renvoi demande si la réponse à la première question serait différente si l’autorité de contrôle nationale avait déjà intenté l’action en justice avant la date à laquelle le RGPD est entré en vigueur.

157. Il convient de souligner d’emblée que le RGPD ne contient aucune règle transitoire ni aucune autre règle régissant le statut des procédures pendantes au moment de l’entrée en vigueur du nouveau régime.

158. Compte tenu de ce qui précède, la réponse à la question devrait selon moi être : « cela dépend ».

159. D’une part, s’agissant des infractions aux règles de protection des données commises par des responsables du traitement ou des sous-traitants avant la date à laquelle le RGPD est devenu applicable, je pense que ces procédures peuvent se poursuivre. Je ne vois aucune raison d’obliger les autorités à abandonner des actions d’exécution qui ont trait à des comportements passés qui étaient (prétendument) illégaux lorsqu’ils ont eu lieu et à l’encontre desquels les autorités étaient (à l’époque)
habilitées à agir. Toute autre solution déboucherait sur une sorte d’amnistie à l’égard de certaines infractions à la législation en matière de protection des données.

160. Par ailleurs, la situation est différente pour ce qui est des actions intentées contre certaines infractions qui ne se sont pas encore matérialisées puisque ces dernières sont commises après la date à laquelle le RGPD est devenu applicable ( 80 ). À cet égard, comme dans toute autre situation où de nouvelles règles sont applicables aux situations survenant sous l’empire du nouveau régime légal, les nouvelles règles de fond ne seront applicables qu’aux faits survenant après la date à laquelle le
nouvel instrument est devenu applicable ( 81 ).

161. Il appartient à la juridiction de renvoi de déterminer lequel de ces deux scénarios reflète effectivement l’état actuel de la procédure au principal ( 82 ). S’il s’agit du premier, je suggérerais que la procédure en cours puisse se poursuivre, certainement du point du droit de l’Union, pour autant qu’elle ne porte que sur la constatation éventuelle de violations commises dans le passé. S’il s’agit du second, la procédure nationale devrait être abandonnée. En effet, le nouveau régime met en
place un système de compétences et de pouvoirs différent, avec pour conséquence qu’une ACC ne peut pas intenter d’action contre les infractions résultant d’un traitement transfrontalier en dehors de certaines situations spécifiques, et sans suivre les procédures et mécanismes prévus à cet effet.

162. La solution inverse impliquerait la prolongation de facto du système mis en place par la directive 95/46, alors que le droit de l’Union et le droit national l’ont expressément abrogé et remplacé par un nouveau système. Après tout, si l’APD pouvait effectivement obtenir une injonction interdisant à Facebook d’adopter à l’avenir (et, soit dit en passant, pendant combien de temps ?) les pratiques en cause dans la procédure au principal, cela n’interférerait-il pas avec la compétence relative à la
(même) conduite que le RGPD a attribuée, depuis le 25 mai 2018, à l’ACF et aux ACC, éventuellement combinée à des décisions (ou décisions judiciaires) contradictoires émanant de différents États membres ?

4. Sur la cinquième question

163. Par sa cinquième question – posée en cas de réponse affirmative à la première question –, la juridiction de renvoi cherche à savoir si l’article 58, paragraphe 5, du RGPD est d’effet direct, de sorte qu’une autorité de contrôle nationale peut s’appuyer sur cette disposition pour intenter une action ou reprendre une instance contre des parties privées, même si cet article n’a pas été spécifiquement transposé dans la législation nationale.

164. Pour rappel, l’article 58, paragraphe 5, du RGPD dispose : « Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement. »

165. Facebook ainsi que les gouvernements tchèques et portugais indiquent que cette disposition requiert clairement une action des États membres : ils doivent mettre en place des dispositions habilitant les autorités de contrôle à ester en justice. Pour être pleinement opérationnel, le pouvoir d’ester en justice peut également nécessiter des règles nationales déterminant, notamment, les juridictions compétentes, les conditions pour qu’une action puisse être intentée, et les procédures à suivre.

166. Compte tenu de ma proposition de réponse à la première question, il n’est pas nécessaire de répondre à la cinquième question. Toutefois, par souci d’exhaustivité, je ne vois pour ma part aucun inconvénient à me rallier à l’APD pour considérer que le contenu normatif de cette disposition particulière du droit de l’Union est non équivoque et directement applicable. À cet égard, il faut garder à l’esprit que, en général, une disposition de droit de l’Union a un effet direct dans tous les cas où,
du point de vue de son contenu, elle est suffisamment claire, précise et inconditionnelle pour pouvoir être invoquée à l’encontre d’une disposition nationale contraire ou encore en tant qu’elle est de nature à définir des droits que les particuliers sont en mesure de faire valoir à l’égard de l’État ( 83 ).

167. Indépendamment du fait que la disposition est contenue dans un règlement (un instrument qui, en vertu de l’article 288 TFUE, est « obligatoire dans tous ses éléments et [...]est directement applicable dans tout État membre » ( 84 )), il me semble qu’une règle spécifique et directement applicable peut être tirée de l’article 58, paragraphe 5, du RGPD. Cette règle est très simple : les autorités de contrôle doivent avoir qualité pour agir devant les juridictions nationales, elles sont habilitées
à ester en justice en vertu du droit national. L’action intentée devant une juridiction nationale ne saurait être déclarée irrecevable pour défaut de personnalité juridique.

168. Même si je conviens avec Facebook et les gouvernements tchèque et portugais que les États membres peuvent prévoir des règles, des conditions ou des compétences plus particulières pour les actions intentées par les autorités de contrôle, ces règles ne sont nullement nécessaires à la mise en œuvre de celle, directement applicable, de l’article 58, paragraphe 5, du RGPD. Lorsque le législateur national n’a pas introduit de règles ad hoc, les règles par défaut des codes de procédure nationaux
(qu’il s’agisse de codes de procédure administrative ou, par défaut, de codes de procédure civile) s’appliqueront naturellement à toute action intentée par les autorités de contrôle. Ainsi, s’il n’existe pas de règles d’exécution sur la compétence, il est raisonnable de supposer que la règle générale par défaut, que l’on peut trouver dans n’importe quel code de procédure (civile) et selon laquelle, sauf disposition contraire, la juridiction par défaut est celle du lieu où le défendeur est
établi, serait applicable.

5. Sur la sixième question

169. Par sa sixième et dernière question, la juridiction de renvoi demande si, dans le cas où l’autorité de contrôle nationale est habilitée à agir, l’issue d’une telle procédure peut faire obstacle à une constatation en sens contraire de l’autorité de contrôle chef de file dans le cas où celle‑ci enquête sur les mêmes activités de traitement transfrontalières ou sur des activités similaires conformément au mécanisme prévu aux articles 56 et 60 du RGPD.

170. Compte tenu de ma proposition de réponse à la première question, il n’est pas nécessaire de répondre à cette question.

171. Toutefois, le problème qu’elle soulève montre une nouvelle fois pourquoi il conviendrait de répondre à la première question de la manière proposée ci‑dessus. S’il fallait priver de leur caractère contraignant les mécanismes de cohérence et de coopération prévus dans le RGPD, et rendre ainsi le mécanisme de guichet unique « optionnel », ou en réalité inexistant, la cohérence du système dans son ensemble en serait sévèrement affectée. Les règles de compétence contenues dans le RGPD seraient, en
substance, remplacées par une « course à la première décision judiciaire » entre toutes les autorités de contrôle. En définitive, la première à obtenir une décision définitive dans son propre ressort deviendrait alors la véritable ACF pour le reste de l’Union, comme le suggère la sixième question.

V. Conclusion

172. Je propose à la Cour de répondre comme suit à la question préjudicielle posée par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique) :

– les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) autorisent l’autorité de contrôle d’un État membre à ester en justice devant une juridiction de cet État membre pour une infraction alléguée à ce règlement pour ce
qui concerne un traitement transfrontalier de données même si elle n’est pas l’autorité de contrôle chef de file, pour autant qu’elle le fasse dans les situations et conformément aux procédures prévues par ce même règlement ;

– le règlement général sur la protection des données s’oppose à ce qu’une autorité de contrôle reprenne une action en justice intentée avant la date à laquelle il est devenu applicable mais concernant un comportement survenant après cette date ;

– l’article 58, paragraphe 5, du règlement général sur la protection des données a un effet direct, dans la mesure où une autorité de contrôle nationale peut se fonder sur cette disposition pour intenter une action ou reprendre une instance devant les juridictions nationales, même si cette disposition n’a pas été spécifiquement transposée dans la législation nationale.

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( 1 ) Langue originale : l’anglais.

( 2 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

( 3 ) JO 1995, L 281, p. 31.

( 4 ) Pour les raisons indiquées au point 23 des présentes conclusions.

( 5 ) À cet égard, la Cour a itérativement jugé que, en vertu de la directive 95/46, la notion de « responsable du traitement » devait être interprétée largement – voir, par exemple, arrêts récents du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 66), et du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 65, 66 et 70). Je ne vois pas pourquoi il n’en irait pas de même à l’égard du RGPD.

( 6 ) Voir, par exemple, arrêts du 25 juillet 2018, Confédération paysanne e.a. (C‑528/16, EU:C:2018:583, points 72 et 73, ainsi que jurisprudence citée), et du 1er octobre 2019, Blaise e.a. (C‑616/17, EU:C:2019:800, point 35).

( 7 ) Ainsi, dans mes conclusions dans l’affaire Fashion ID, j’ai exposé les raisons pour lesquelles les règles de la directive 95/46 alors en vigueur et de la directive « vie privée » [directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)] étaient
susceptibles de s’appliquer dans une affaire concernant le placement de témoins de connexion (C‑40/17, EU:C:2018:1039, points 111 à 115). À cet égard, plus généralement, voir Comité européen de la protection des données, avis 5/2019, du 12 mars 2019, sur l’interaction entre la directive « vie privée et communications électroniques » et le RGPD, en ce qui concerne plus particulièrement les compétences, les tâches et les pouvoirs des autorités chargées de la protection des données. Voir, également,
Groupe de travail « article 29 » sur la protection des données, document de travail no 02/2013 énonçant des lignes directrices sur le recueil du consentement pour le dépôt de cookies, 1676/13/EN WP 208, du 2 octobre 2013.

( 8 ) Mise en italique par mes soins.

( 9 ) Mise en italique par mes soins.

( 10 ) Mise en italique par mes soins.

( 11 ) Voir, dans la doctrine, Bensoussan, A. (éd.), Règlement européen sur la protection des données – Textes, commentaires et orientations pratiques, 2e éd., Bruylant, Bruxelles, 2017, p. 363.

( 12 ) Voir, dans le même sens, Hijmans, H., « Comment to Article 56 of the GDPR », dans Kuner, C., Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 921.

( 13 ) Par analogie avec le droit administratif général (ou les codes de procédure judiciaire), une entité pourrait avoir le pouvoir (général) d’agir mais pourrait ne pas nécessairement avoir la compétence (rationae materiae, personae, temporis, loci…) d’exercer ce pouvoir et de trancher un litige individuel. Ainsi, par exemple, le fait qu’une juridiction pénale ait le pouvoir de rendre un arrêt en matière pénale ne signifie pas nécessairement qu’elle soit également compétente pour le faire dans une
affaire portant sur un crime donné commis par une personne donnée (une autre juridiction pourrait en effet être compétente dans ce cas).

( 14 ) Comité européen de la protection des données, avis 8/2019 sur la compétence d’une autorité de contrôle en cas de changement de circonstances concernant l’établissement principal ou unique, du 9 juillet 2019, points 19 et 20.

( 15 ) Dans ses passages pertinents, cet article indiquait : « Chaque autorité de contrôle dispose notamment [...] du pouvoir d’ester en justice en cas de violation des dispositions nationales prises en application de la présente directive ou du pouvoir de porter ces violations à la connaissance de l’autorité judiciaire. »

( 16 ) Voir premier rapport de la Commission sur la mise en œuvre de la directive relative à la protection des données (95/46/CE), du 15 mai 2003, COM(2003) 265 final, p. 12 et 13, ainsi que son annexe « Analyse et étude d’incidence de la mise en œuvre de la directive CE 95/46 dans les États membres », p. 40. Voir, également, Agence des droits fondamentaux de l’Union européenne, Access to data protection remedies in EU Member States – Report, 2012, plus particulièrement p. 20 à 22.

( 17 ) Voir, points 51, 57 et 58 des présentes conclusions.

( 18 ) Arrêts du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 63), et du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 109).

( 19 ) Dans certains cas, une ACC est habilitée à (et devrait donc être en mesure de) soumettre à l’ACF un projet de décision : voir article 56, paragraphes 2 à 4, du RGPD.

( 20 ) Voir, à cet égard, le considérant 125 du RGPD.

( 21 ) Arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 120) (mise en italique par mes soins). Dans le même sens, précisant que l’autorité de contrôle compétente est tenue de réagir à une violation du RGPD et de choisir le moyen le plus efficace pour ce faire, voir conclusions de l’avocat général Saugmandsgaard Øe dans l’affaire Facebook Ireland et Schrems (C‑311/18, EU:C:2019:1145, points 147 et 148). Comparez ces positions avec l’arrêt du 6 octobre 2015,
Schrems (C‑362/14, EU:C:2015:650, point 65), dans lequel la Cour a indiqué que, conformément à la directive 95/46, toute autorité nationale de contrôle doit pouvoir ester en justice.

( 22 ) Cette célèbre réplique du film Le Bon, la Brute et le Truand (un film de 1966, réalisé par Sergio Leone, avec Clint Eastwood, Lee Van Cleef et Eli Wallach, produit par Produzioni Europee Associate et United Artists) est traduite dans la version en langue française par : « Quand on tire, on raconte pas sa vie ».

( 23 ) Article 68 du RGPD.

( 24 ) Voir, plus particulièrement, article 70, paragraphe 1, sous a), du RGPD.

( 25 ) Voir exposé des motifs de la proposition de la Commission de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11 final. Voir, également, considérants 10, 13 et 123 du RGPD.

( 26 ) Sur cette question, voir Giurgiu, A., et Larsen, T., « Roles and Powers of National Data Protection Authorities – Moving from Directive 95/46/EC to the GDPR : Stronger and More “European” DPAs as Guardians of Consistency ?», European Data Protection Law Review, 2016, p. 342 à 352, spécialement p 349, ainsi que Voigt, P., et von dem Bussche, A., The EU General Data Protection Regulation (GDPR) – A Practical Guide, Springer, 2017, p. 190 à 192.

( 27 ) Arrêt du 1er octobre 2015, Weltimmo (C‑230/14, EU:C:2015:639, points 42 à 60).

( 28 ) Arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, points 65 à 74).

( 29 ) Voir, par exemple, Miglio, A., « The Competence of Supervisory Authorities and the One-stop-shop Mechanism », EU Law Live – Weekend edition, no 28, 2020, p. 10 à 14, spécialement p. 11.

( 30 ) Voir conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 103).

( 31 ) Arrêt du 24 septembre 2019 (C‑507/17, EU:C:2019:772, point 68).

( 32 ) C‑311/18, EU:C:2019:1145, point 155.

( 33 ) Voir considérants 97 et 98 de la proposition de la Commission (voir note en bas de page 25 des présentes conclusions).

( 34 ) Voir documents du Conseil 15656/1/14 REV 1, du 28 novembre 2014, et 16526/14, des 4 et 5 décembre 2014, p. 2, 8 et 9.

( 35 ) Ibid., p. 1.

( 36 ) Voir document du Conseil 5419/1/16 REV 1 du 8 avril 2016, p. 203 à 205.

( 37 ) Voir, point 45 des présentes conclusions.

( 38 ) Document du Conseil 15656/1/14 REV 1, du 28 novembre 2014, p. 2.

( 39 ) Voir document A7‑0402/2013 du 22 novembre 2013, qui indique que le mécanisme de guichet unique « augure très favorablement d’une application cohérente de la législation en matière de protection des données partout dans l’Union ».

( 40 ) Document EP-PE_TC1-COD(2012)0011 du 12 mars 2014 (voir plus particulièrement les amendements 148, 149, 158, 159 et 167).

( 41 ) De même, je suppose que les dispositions de la Charte et les droits invoqués sont ceux des personnes physiques, que l’autorité de contrôle est appelée à protéger et non ceux de l’autorité de contrôle elle‑même. L’idée que des autorités administratives, c’est‑à‑dire des émanations de l’État, soient titulaires de droits (humains) fondamentaux qu’ils pourraient invoquer à l’encontre de l’État (ou plutôt les uns à l’encontre des autres ou même, en cas d’effet direct horizontal, à l’encontre de
particuliers) est en effet assez singulière. À mon sens, la réponse devrait clairement être négative, mais je reconnais qu’il existe différentes approches dans les États membres. Quoi qu’il en soit, dans le contexte de la présente affaire, cette question peut rester inexplorée.

( 42 ) Voir, à cet égard, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 39).

( 43 ) Voir considérants 7, 9 et 10 du RGPD (mise en italique par mes soins).

( 44 ) Voir, à cet égard, les considérants 10, 11 et 13 du RGPD.

( 45 ) Mise en italique par mes soins.

( 46 ) Voir, à cet égard, arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, points 54 à 76 et jurisprudence citée).

( 47 ) Voir article 79 et considérant 145 du RGPD.

( 48 ) Compte tenu de ce qu’en pratique, cette solution correspond à ce qui serait généralement le for (actoris) dans les contrats de consommation en vertu du règlement de Bruxelles – voir, en général, arrêt du 25 janvier 2018, Schrems (C‑498/16, EU:C:2018:37).

( 49 ) Voir considérants 141 et 143 du RGPD et arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 110).

( 50 ) Voir considérant 143 et article 78 du RGPD.

( 51 ) Pour une telle approche dans un autre contexte réglementaire (décentralisé), voir mes conclusions dans l’affaire Astellas Pharma (C‑557/16, EU:C:2017:957).

( 52 ) Sur cette dernière question, l’article 78, paragraphe 4, du RGPD indique que, « [d]ans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée ». En pratique, ce pourrait être la seule voie pour obtenir un contrôle juridictionnel des décisions du comité puisque, comme le
confirme de manière inquiétante le considérant 143 du RGPD, « [t]oute personne physique ou morale » (ce qui inclut donc les personnes concernées) peut, lorsque les conditions prévues à l’article 263 TFUE sont réunies, contester une décision juridiquement contraignante du comité devant la Cour. Toutefois, compte tenu de l’interprétation restrictive que fait la Cour des conditions de la qualité pour agir des particuliers énoncées à l’article 263, quatrième alinéa, TFUE, il n’est pas aisé d’identifier
les situations dans lesquelles des particuliers pourraient être considérés comme directement affectés par les décisions du comité, puisque ces dernières devraient en tout état de cause être « appliquées » à la situation d’une personne concernée spécifique par une décision subséquente de l’ACF ou d’une autorité de contrôle concernée. Dans une telle situation, comme dans bien d’autres domaines du droit de l’Union [pour une critique de cette architecture, voir mes conclusions dans l’affaire Région de
Bruxelles-Capitale/Commission (C‑352/19 P, EU:C:2020:588, points 137 à 147)], la seule façon de contester une décision du comité serait en définitive la voie de la question préjudicielle au titre de l’article 267 TFUE, qui est limitée aux instances dans lesquelles une juridiction nationale plus curieuse souhaite « lever le bouclier » sur son propre contrôle juridictionnel que place devant elle l’autorité de contrôle nationale sous la forme de l’avis du comité « transmis » en vertu de l’article 78,
paragraphe 4, du RGPD.

( 53 ) Voir, en particulier, l’article 60, paragraphe 1, du RGPD.

( 54 ) Hijmans, H., « Comment to Article 56 of the GDPR », dans Kuner, C., Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 918.

( 55 ) Hustinx, P., « EU Data Protection Law : The Review of Directive 95/46/EC and the General Data Protection Regulation », dans Cremona, M. (éd.), New Technologies and EU Law, Oxford University Press, Oxford, 2017, p. 123.

( 56 ) Pour cette expression, voir Conseil, « Débat d’orientation sur le mécanisme de guichet unique », 10139/14, du 26 mai 2014, p. 4.

( 57 ) Voir, par exemple, arrêt du 9 mars 2010, Commission/Allemagne (C‑518/07, EU:C:2010:125, point 24). Plus récemment, voir arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 42).

( 58 ) Voir point 4 des présentes conclusions.

( 59 ) Mise en italique par mes soins.

( 60 ) Dans ce contexte, j’ajouterai simplement que les autorités de contrôle auprès desquelles une réclamation est introduite – qu’elles soient ACF ou ACC – ne sont pas seulement tenues d’examiner cette réclamation avec toute la diligence requise (voir point 69 des présentes conclusions) mais qu’elles sont également tenues de s’acquitter « avec toute la diligence requise de [leur] mission consistant à veiller au plein respect du RGPD » [voir, à cet égard, arrêt du 16 juillet 2020, Facebook Ireland
et Schrems (C‑311/18, EU:C:2020:559, point 112) (mise en italique par mes soins)].

( 61 ) Mise en italique par mes soins.

( 62 ) Mise en italique par mes soins.

( 63 ) Voir Tosoni, L., « Comment to Article 60 of GDPR », dans Kuner, C., Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 969.

( 64 ) Mise en italique par mes soins.

( 65 ) En fonction du type de mesure concernée, comme le précise le considérant 138 du RGPD. Toutefois, en faisant preuve de réalisme, il serait surprenant qu’une ACF décide d’ignorer une décision du comité, même si cette décision n’est pas contraignante en vertu du RGPD (en particulier parce que ce qui n’est pas contraignant dans un premier temps pourrait bien le devenir par la suite).

( 66 ) Voir, dans le même sens, de manière plus détaillée, Van Eecke, P., et Šimkus, A., « Comment to Article 64 », dans Kuner, C., Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 1011.

( 67 ) Voir points 106 et 107 des présentes conclusions.

( 68 ) Voir points 35 à 38 des présentes conclusions.

( 69 ) Voir, également, Groupe de travail « article 29 » sur la protection des données, Lignes directrices concernant la désignation d’une autorité de contrôle chef de file d’un responsable du traitement ou d’un sous-traitant, WP 244 rev.01, version révisée du 5 avril 2017, p. 10.

( 70 ) De plus, je n’affirme pas que les exemples qui viennent d’être cités constituent une liste fermée. En outre, ne pourrait-il pas exister une situation dans laquelle la décision finale prise dans un cas de traitement transfrontalier donné – par un accord entre l’ACF et les ACC ou à la suite du règlement d’un litige par le comité – habiliterait une ou plusieurs autorités de contrôle concernées à effectuer certains actes de contrôle sur leur territoire respectif, par exemple entamer une procédure
judiciaire ?

( 71 ) Comme indiqué aux points 31 à 38 des présentes conclusions.

( 72 ) Points 32 et 33 des présentes conclusions.

( 73 ) Comme ce devrait en principe être le cas pour tout traitement et pour la définition de son contrôle (conjoint). Le contrôle effectif des finalités et des moyens du traitement doit s’apprécier en tenant compte d’une opération de traitement donnée et non en termes abstraits, statiques, au regard d’un « traitement » indéfini – voir arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 71 à 74).

( 74 ) Voir points 111 et 112 des présentes conclusions.

( 75 ) Voir points 45 et 84 des présentes conclusions.

( 76 ) En revenant ainsi indirectement à la question initiale de savoir pour quelle raison un tel établissement est en fait poursuivi dans cet État membre après la date à laquelle le RGPD est devenu applicable, comme indiqué aux points 32 à 34 des présentes conclusions.

( 77 ) Arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388).

( 78 ) Comparez, en particulier le nouvel article 3, paragraphe 1, avec l’ancien article 4, paragraphe 1, sous a), et le nouvel article 58, paragraphe 6, avec l’ancien article 28, paragraphe 3, troisième tiret.

( 79 ) Toutefois, comme il a été suggéré à la note en bas de page 70 des présentes conclusions, il est également concevable qu’une prise de décision coordonnée puisse aboutir à des mesures d’exécution coordonnées.

( 80 ) Voir, par analogie, arrêt du 14 février 2012, Toshiba Corporation e.a. (C‑17/10, EU:C:2012:72, en particulier, point 60).

( 81 ) Pour une analyse détaillée illustrée par des exemples, voir mes conclusions dans l’affaire Nemec (C‑256/15, EU:C:2016:619, points 27 à 44).

( 82 ) Voir, également, point 34 des présentes conclusions.

( 83 ) Pour plus de détails, voir mes conclusions dans l’affaire Klohn (C‑167/17, EU:C:2018:387, points 36 à 46).

( 84 ) Même si bien sûr l’applicabilité directe n’est pas l’effet direct, et si les conditions de l’effet direct s’appliquent aux dispositions d’un règlement qui prévoit ou nécessite leur transposition – voir, par exemple, arrêts du 11 janvier 2001, Monte Arcosu (C‑403/98, EU:C:2001:6, points 26 à 28) ; du 28 octobre 2010, SGS Belgium e.a. (C‑367/09, EU:C:2010:648, points 33 et suiv.), et du 14 avril 2011, Vlaamse Dierenartsenvereniging et Janssens (C‑42/10, C‑45/10 et C‑57/10, EU:C:2011:253,
points 48 à 50).


Synthèse
Numéro d'arrêt : C-645/19
Date de la décision : 13/01/2021
Type de recours : Recours préjudiciel, Recours préjudiciel - irrecevable

Analyses

Demande de décision préjudicielle, introduite par le hof van beroep te Brussel.

Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de “guichet unique” – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d’ester en justice.

Principes, objectifs et mission des traités

Charte des droits fondamentaux

Droits fondamentaux

Protection des données


Parties
Demandeurs : Facebook Ireland Ltd e.a.
Défendeurs : Gegevensbeschermingsautoriteit.

Composition du Tribunal
Avocat général : Bobek

Origine de la décision
Date de l'import : 30/06/2023
Fonds documentaire ?: http: publications.europa.eu
Identifiant ECLI : ECLI:EU:C:2021:5

Source

Voir la source

Association des cours judiciaires suprmes francophones
Organisation internationale de la francophonie
Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie. Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie.
Logo iall 2012 website award