RGPD : la compétence des juridictions nationales en question devant la CJUE

Le 14 Mai 2019 à 09h43

Dans un dossier Facebook, la cour d’appel de Bruxelles a renvoyé une série de questions préjudicielles devant la Cour de justice de l’Union européenne (CJUE). Elles sont relatives à la compétence des juridictions nationales.

En février 2018, le tribunal de première instance de Bruxelles avait jugé que le réseau social ne respectait pas la législation belge sur la protection de la vie privée, notamment en raison des cookies et des plug-ins qui permettent de suivre le comportement des internautes, sans consentement préalable.

En amont, les juges s’étaient surtout estimés compétents pour traiter de cette affaire née en 2015. L’entreprise américaine se voyait finalement enjoindre de cesser de suivre et d'enregistrer « le comportement de navigation des personnes qui surfent depuis la Belgique tant qu'il ne met pas ses pratiques en conformité avec la législation belge en matière de vie privée », outre de détruire les données aspirées illégalement et enfin publier le jugement de 84 pages sur son site.

Facebook a contesté en appel cette décision. Confrontés à un problème de compétence avec l’autorité irlandaise, chef de file selon le RGPD, les juges d’appel ont décidé de saisir la CJUE. « Le RGPD prévoit un nouveau mécanisme de coopération entre les autorités de protection des données européennes, notamment celui du guichet unique » relate l’APD, l’autorité belge de protection des données.

« La question se pose alors de savoir si ce mécanisme administratif a également un impact sur la possibilité d’entamer des procédures devant un tribunal. La Cour d’appel de Bruxelles demande dès lors à la Cour de justice de l’Union européenne de se prononcer sur cette question ».

Je ne suis pas certain que les GAFAM soient vraiment embêtés par le fait qu'une autorité ne fait rien puisque contrairement à avant le RGPD où les CNILs devaient être sollicitées sur certains points pour pouvoir mettre en œuvre certains traitements, ce n'est plus le cas que pour les traitements hors UE vers un pays tiers ne présentant pas les garanties suffisantes (et éventuellement certains traitements ultrasensibles), et précisément vers les USA ça passe toujours crème sous réserve de BCR, donc la non intervention de la CNIL n'est plus paralysante.

Donc, en réalité ça va surtout dépendre de l'interprétation de la CJUE: est-ce que le fait d'être chef de file enlève véritablement tout pouvoir aux autres CNILs pour sanctionner ou non, le RGPD est peu clair et laisse une marge d'interprétation (dans un sens ou dans l'autre).

Commentaires (9)

crocodudule

Le 14/05/2019 à 08h48

Et si la réponse est oui (ce qui n’est pas impossible au regard de la philosophie du RGPD), alors on peut définitivement enterrer la règlementation sur la protection des données personnelles contre les GAFAM du fait de la totale inertie de l’autorité de contrôle irlandaise, tandis que cette règlementation ne sera plus contraignante qu’à l’égard des entreprises dont le siège sera en France, Espagne, Allemagne ou la Belgique, seuls états dont l’autorité de contrôle n’est pas totalement fantomatique (avec le risque que certaines entreprises déplacent le siège social ailleurs que dans ces 4 Etats).

M'enfin !

Le 14/05/2019 à 10h31

Les juridictions nationales doivent faire appliquer le droit de l’UE, et donc le RGPD. 

Je ne suis pas sûr d’avoir compris le problème juridique posé. Dans tous les cas il y a une norme, ici européenne. Que ce soit une instance nationale ou européenne qui la fasse respecter ne change rien puisque ces instances y sont soumises. Il ne manquerait pas des bouts dans cette brève pour mieux saisir la problématique ?

Le 14/05/2019 à 11h57

Euh, le RGPD est en application depuis Mai 2018, et l’affaire date de 2015. Même le jugement est antérieur au RGPD. Je suis une bille en droit, mais je pensais qu’une loi/règlement ne s’appliquait pas sur ce qui lui était antérieur. Le doute m’habite.

Le 14/05/2019 à 12h52

M’enfin ! a écrit :

Les juridictions nationales doivent faire appliquer le droit de l’UE, et donc le RGPD. 

Je ne suis pas sûr d’avoir compris le problème juridique posé. Dans tous les cas il y a une norme, ici européenne. Que ce soit une instance nationale ou européenne qui la fasse respecter ne change rien puisque ces instances y sont soumises. Il ne manquerait pas des bouts dans cette brève pour mieux saisir la problématique ?

Le problème est que le RGPD a mis en place (renforce) le principe de l’autorité de contrôle chef de file:

. d’une part si tu as des traitements transfrontaliers tu peux désigner telle ou telle autorité comme ton chef de file, c’est elle qui sera ton interlocuteur.

. d’autre part, cela permet d’organiser la coopération des autorités sur tel ou tel sujet/traitement et éviter que celles-ci se tirent dans les pieds; ainsi un des considérant du RGPD précise ; “l’autorité de contrôle de l’État membre dans lequel le responsable du traitement a son établissement principal devrait rester l’autorité de contrôle chef de file compétente,” celle du sous-traitant devenant alors une autorité de coopération (ou “concernée”) avec l’autorité chef de file du responsable du traitement et ainsi de suite…

En principe l’autorité chef de file est par ailleurs celle qui est “compétente pour adopter des décisions contraignantes”, là où les autorités de coopération (ou “concernées) ne sont “qu’associées” au processus décisionnel.

Sur le papier c’est une super idée, sauf qu’il suffit que l’autorité chef de file ne fasse pas son boulot notamment en étant d’une inertie totale pour rendre inopérant le RGPD.

Et c’est précisément ce qui se déroule actuellement ; Google notamment, mais encore ici Facebook, tentent de tout renvoyer sur l’autorité irlandaise. Si elles y parviennent les CNILs “actives” (principalement France, Espagne, Allemagne, Belgique) risquent de se trouver paralyser, ne pouvant prendre l’initiative sur l’autorité irlandaise.

Le 14/05/2019 à 13h12

Merci pour ces  lumières. Du coup cela renforce la nécessité d’une harmonisation des « CNIL » européennes ?

Le 14/05/2019 à 13h23

M’enfin ! a écrit :

Merci pour ces  lumières. Du coup cela renforce la nécessité d’une harmonisation des « CNIL » européennes ?

On pourrait le voir ainsi, sauf que c’est déjà le rôle du Comité (ex-G29, regroupant les CNILs européennes) et des lignes directrices qu’il adopte.

En réalité, le fond du problème est économique, les CNILs qui sont dans des paradis fiscaux (ou quasiment) semblent proportionnellement complaisantes au CA des entreprises qui y domicilient leurs sièges sociaux, alors s’agissant de GAFAS…

Tsinpen

Le 18/05/2019 à 16h40

crocodudule a écrit :

Sur le papier c’est une super idée, sauf qu’il suffit que l’autorité chef de file ne fasse pas son boulot notamment en étant d’une inertie totale pour rendre inopérant le RGPD.

En pratique, si l’autorité cheffe de file est à ce point-là inerte, on pourra toujours constater son décès, ce qui lui retire la compétence dont tu parlais, non ?

Je veux dire par là que même si un peu d’inertie de l’autorité X arrangerait bien les GAFAM, au final si aucune décision n’est prise ça ne les arrangera pas non plus " />

Le 20/05/2019 à 12h58

Tsinpen a écrit :

En pratique, si l’autorité cheffe de file est à ce point-là inerte, on pourra toujours constater son décès, ce qui lui retire la compétence dont tu parlais, non ?

  Je veux dire par là que même si un peu d'inertie de l'autorité X arrangerait bien les GAFAM, au final si aucune décision n'est prise ça ne les arrangera pas non plus ">

Le 20/05/2019 à 14h25

crocodudule a écrit :

Je ne suis pas certain que les GAFAM soient vraiment embêtés (…), donc la non intervention de la CNIL n’est plus paralysante.

Autrement dit, les super-amendes en % du CA ne servent à rien (pas mêmes dissuasives !), et donc ce n’est pas grâce aux autorités type CNIL que les pratiques évoluent (lorsqu’elles évoluent). Il me semble qu’il y a un paradoxe, mais je ne le vois pas ?

crocodudule a écrit :

Donc, en réalité ça va surtout dépendre de l’interprétation de la CJUE: est-ce que le fait d’être chef de file enlève véritablement tout pouvoir aux autres CNILs pour sanctionner ou non, le RGPD est peu clair et laisse une marge d’interprétation (dans un sens ou dans l’autre).

…ah mais dans ce cas ce serait étrangement bizarre de voir une autorité irlandaise dire comment doivent être appliquées les spécificités du droit national d’un autre pays !

Sans compter le problème de la langue pour les européens non anglophones (la majorité du continent, rien que ça) => on dirait bien que le lobby des interprètes est plus puissant qu’il n’y parait " />

Catégories

Nous suivre

À propos

RGPD : la compétence des juridictions nationales en question devant la CJUE

#Flock : Chic, c’est l’Ascension !

La pression américaine monte encore d’un cran contre le chinois Huawei

OpenAI a détruit les jeux de données de livres sur lesquels elle a entrainé ses premiers modèles

L’histoire du BASIC, lancé il y a plus de 60 ans

Plus de 170 000 Français victimes d’un réseau de faux sites marchands chinois

Fuite de données clients chez Dell

Le créateur du rançongiciel LockBit serait un Russe de 31 ans

Google lance son Pixel 8a, à 549 euros

Granite : IBM lance son pavé dans la mare des modèles de langage pour la génération de code

Stack Overflow signe avec OpenAI

Commentaires (9)