2021
Affaire Facebook : l’Avocat Général de la CJUE a remis ses conclusions
L’Avocat Général de la Cour de Justice de l’Union Européenne (CJEU) a remis ce 13/01 ses conclusions dans le cadre de l’affaire qui oppose Facebook à l’Autorité de protection des données. Selon ses conclusions, qui confirment le principe défendu par l'APD, le mécanisme dit du « one-stop shop » prévu par le RGPD n’empêche pas les autorités de protection des données de saisir les tribunaux nationaux pour autant que ce soit dans des situations spécifiquement prévues par le RGPD. La CJUE doit maintenant prendre une décision dans cette affaire. La date du prononcé n’est pas encore connue.
Affaire Facebook : contexte
En 2015, la Commission vie privée (devenue entretemps l’Autorité de protection des données) a lancé une procédure contre Facebook concernant ce qu’elle considère une atteinte grave à la vie privée des citoyens belges : la collecte d’informations sur les habitudes privées de navigation de millions d'internautes en Belgique, et ce en plaçant des cookies sur leurs ordinateurs et en recueillant ensuite ces cookies via ses modules sociaux et pixels présents sur les sites internet qu’ils consultent.
Avant de se prononcer, la Cour d’Appel de Bruxelles, devant laquelle se trouvait le dossier décida de référer des questions à la Cour de justice de l'Union européenne afin de vérifier que l’Autorité peut effectivement poursuivre sa procédure à l’encontre de Facebook vu l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018.
Position de l’Autorité
Le RGPD met en effet en place un mécanisme de coopération entre autorités européennes dit le « one-stop shop » (ou guichet unique) qui prévoit que l’autorité du pays où se trouve l’établissement principal de l’entreprise mise en cause (dans le cas de Facebook, l’Autorité irlandaise) soit compétente pour prendre des sanctions.
La question se pose alors de savoir si ce mécanisme de one-stop-shop a également un impact sur la possibilité d’entamer des procédures devant un tribunal, ou si les autorités nationales (comme l’APD) gardent la possibilité de s’adresser à un juge. C’est là le cœur des questions posées par la Cour d’Appel à la Cour de Justice de l’Union Européenne.
L’APD défend sa compétence de mener cette procédure jusqu’au bout. Pour elle, le nouveau mécanisme de guichet unique du RGPD ne remet pas en question sa capacité à s’adresser à un juge civil dans des cas exceptionnels.
Conclusions de l’Avocat Général
La 5 octobre 2020 a eu lieu la première audition devant la CJUE. Ce 13 janvier 2021, l’Avocat Général Michal Bobek a présenté des conclusions qui confirment le principe défendu par l'APD, car celles-ci indiquent qu'une autorité nationale qui n'est pas autorité chef de file pour un traitement de données transfrontalier peut en effet s'adresser à un juge national dans certaines conditions, à savoir « dans les situations pour lesquelles le RGPD lui en attribue explicitement la compétence et conformément aux procédures prévues par ce même règlement. » (Source : Communiqué de la CJUE)
David Stevens, Président de l’APD : « Nous sommes heureux de constater que l’Avocat Général confirme le principe selon lequel les autorités de protection des données peuvent lancer des actions devant des tribunaux nationaux, à condition que celles-ci n’empiètent pas sur la coopération loyale entre autorités de protection des données. Si des citoyens peuvent défendre leurs droits devant des tribunaux, les autorités doivent également pouvoir saisir la justice en leur nom dans certains cas exceptionnels. »
La suite de la procédure
Sur base de ces conclusions, l’affaire sera maintenant jugée par la Cour de Justice de l’UE. La date du prononcé n’est pas encore connue.
Hielke Hijmans, Président de la Chambre Contentieuse de l’APD conclut : « Il est important de rappeler que l’avis d’aujourd’hui n’est pas définitif et que c’est à la Cour de Justice de l’UE que revient la décision finale. Elle seule peut décider de l’interprétation correcte du RGPD. Dans tous les cas, nous espérons que la Cour de Justice de l'UE confirmera l'ouverture faite dans les conclusions de l'Avocat Général sur la possibilité pour les autorités de protection des données de défendre les droits des citoyens devant des tribunaux nationaux. Évidemment, ceci n’a pas d’impact sur l’importance du système du one-stop shop qui organise la coopération entre autorités européennes. Ce guichet unique est l’instrument clé d’une application efficace et harmonisée du RGPD vis-à-vis des entreprises internationales. »
Les conclusions de l'Avocat Général sont disponibles ici.
Un communiqué de la Cour de Justice de l'UE sur ces conclusions est disponible ici.
La Procédure complète devant la Cour de Justice est décrite ici.
L’affaire, en ce compris les questions posées à la Cour de Justice de l’UE, est consignée sur ce lien.
Ligne du temps de l’affaire Facebook
2015
- La Commission vie privée (qui est devenue l’Autorité de protection des données le 25 mai 2018) lance une procédure contre Facebook devant les tribunaux.
Février 2018
- Le Tribunal de Première instance de Bruxelles statue en faveur des arguments de la Commission vie privée
- Facebook fait appel au jugement du 16 Février 2018
27 et 28 Mars 2019
- L’APD présente devant la Cour d’appel ses arguments selon lesquels les tribunaux belges sont compétents dans cette affaire
8 Mai 2019
- Avant de se prononcer sur le fond de l’affaire, la Cour d’appel de Bruxelles réfère des questions à la Cour de justice de l’UE
5 Octobre 2020
- L’APD présente ses arguments devant la CJUE
13 Janvier 2021
- L’Avocat Général de la CJUE présente des conclusions qui confirment la possibilité de principe pour les superviseurs nationaux de – dans certains cas - saisir les tribunaux nationaux, même dans des affaires transfrontalières