CJUE – Facebook Ireland e.a. – C-645/19

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-645/19

Nom:

Facebook Ireland e.a.

Date:

15 juin 2021

Pays:

Belgique

Lien:

Cliquer ici

Contexte

Le 11 septembre 2015, le président de la Commission de la protection de la vie privée (CPVP) a intenté une action en cessation à l’encontre de Facebook Ireland, de Facebook Inc. et de Facebook Belgium devant le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles, Belgique). La CPVP n’étant pas dotée de la personnalité juridique, il incombait à son président d’intenter des recours afin de garantir le respect de la législation en matière de protection des données à caractère personnel. Toutefois, la CPVP elle-même a demandé l’intervention volontaire dans la procédure engagée par son président.

Par jugement du 16 février 2018, le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles) s’est déclaré compétent pour statuer sur ladite action en cessation, en tant qu’elle visait Facebook Ireland, Facebook Inc. et Facebook Belgium, et a déclaré irrecevable la demande d’intervention volontaire présentée par la CPVP. Sur le fond, cette juridiction a enjoint à Facebook Ireland, à Facebook Inc. et à Facebook Belgium, premièrement, de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer, sans son consentement, des cookies qui restent actifs pendant deux ans.

Le 2 mars 2018, Facebook Ireland, Facebook Inc. et Facebook Belgium ont interjeté appel de ce jugement devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), la juridiction de renvoi. Devant cette juridiction, l’APD agit en tant que successeur légal tant du président de la CPVP, qui avait intenté l’action en cessation, que de la CPVP elle-même.

Apport(s)
Autorité de contrôle - Pouvoir de porter toute violation du RGPD à l'attention des autorités judiciaires et d'ester en justice - Nécessité d'être une autorité "chef de file" - Absence sous réserve de compétence Extrait(s) pertinent(s)75. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement 2016/679, lus en combinaison avec les articles 7, 8 et 47 de la Charte, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement. Article(s) du RGPD Article 55 – Compétence Article 56 – Compétence de l’autorité de contrôle chef de file Article 57 – Missions Article 58 – Pouvoirs Article 60 – Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées Article 61 – Assistance mutuelle Article 62 – Opérations conjointes des autorités de contrôle Article 63 – Mécanisme de contrôle de la cohérence Article 64 – Avis du comité Article 65 – Règlement des litiges par le comité Article 66 – Procédure d’urgence Fait référence à > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 > CJUE – Google – C-507/17 Autres informations
Autorité de contrôle - Pouvoir de porter toute violation du RGPD à l'attention des autorités judiciaires et d'ester en justice - Nécessité que le responsable ou sous-traitant ait un établissement dans l'Etat Membre de l'autorité - Absence sous réserve de compétence Extrait(s) pertinent(s)84. Il y a lieu, dès lors, de répondre à la deuxième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. Article(s) du RGPD Article 58 – Pouvoirs Fait référence à Autres informations
Action par une autorité de contrôle qui n'est pas "chef de file" - 1) Pouvoir de porter toute violation du RGPD à l'attention des autorités judiciaires et d'ester en justice - Admission - 2) Nécessité que l'établissement principal du responsable se trouve dans l'Etat Membre de l'autorité - Absence sous réserve de compétence Extrait(s) pertinent(s)96. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la troisième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question posée. Article(s) du RGPD Article 58 – Pouvoirs Fait référence à > CJUE – Wirtschaftsakademie Schleswig-Holstein – C-210/16 Autres informations
Action par une autorité de contrôle qui n'est pas "chef de file" - 1) Maintien de l'action en date du 25 mai 2018 sur le fondement de la directive 95/46 - Admission - 2) A titre général, adoption d'une décision - Admission à titre d'exception, et sous conditions Extrait(s) pertinent(s)105. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la quatrième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier. Article(s) du RGPD Article 56 – Compétence de l’autorité de contrôle chef de file Article 58 – Pouvoirs Fait référence à Autres informations
Autorité de contrôle - Pouvoir de porter toute violation du RGPD à l'attention des autorités judiciaires et d'ester en justice - Effet direct - Admission Extrait(s) pertinent(s)113. Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la cinquième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si cette disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné. Article(s) du RGPD Article 58 – Pouvoirs Fait référence à Autres informations