RGPD : la Cour de Justice lutte contre le forum shopping des géants du web

Dans un arrêt important rendu le 15 juin, la Cour de justice de l’Union européenne (CJUE) offre une solution aux CNIL nationales pour défendre les droits de leurs ressortissants malgré l’inertie de la CNIL irlandaise dont dépendent la plupart des géants du web. Les explications de Me Bernard Lamon, spécialiste en droit des technologies.

Actu-Juridique : Dans son arrêt, rendu à la demande de la justice belge, la CJUE décide qu’une autorité nationale peut intervenir contre une violation du RGPD alors même qu’elle n’est pas autorité chef de file. Quel est le sens de cet arrêt ?

Bernard Lamon : Théoriquement, depuis l’entrée en application du RGPD en 2018, les CNIL nationales sont organisées pour que l’initiative des poursuites en cas de violations du RGPD appartienne à l’autorité dans laquelle la société concernée a installé son siège social. L’objectif est double : éviter la multiplication des procédures dans toute l’Europe contre un même prestataire au nom de l’efficacité et faire en sorte d’harmoniser le droit de l’Union en évitant l’accumulation de décisions potentiellement contradictoires. Le problème, c’est que la plupart des sociétés Internet ont décidé de s’installer en Irlande. Le pays présente en effet le double avantage d’être attractif fiscalement et de disposer d’une autorité de contrôle de la protection des données personnelles qui cultive une vision très souple des textes. Facebook et Twitter y sont par exemple installées. Résultat, la sanction des violations du RGPD est quasiment neutralisée par l’inertie du régulateur irlandais. Depuis l’entrée en vigueur du nouveau règlement, celui-ci n’a prononcé qu’une seule sanction, d’un modeste montant de 450 000 euros, à l’encontre de Twitter pour une énorme fuite de données.

Actu-Juridique : La CNIL n’est-elle pas parvenue à surmonter l’obstacle il y a quelques années en sanctionnant Google ?

Si, en effet. Elle a condamné Google à une amende de 50 millions d’euros pour des manquements concernant le traitement des données personnelles des utilisateurs du système d’exploitation Android. Sur un recours de Google, le Conseil d’Etat a confirmé la décision en répondant notamment aux critiques sur le non-respect de la compétence de l’autorité chef de file. Pour la haute juridiction administrative, à la date de la sanction, la filiale irlandaise de Google ne disposait d’aucun pouvoir de contrôle sur les autres filiales européennes ni d’aucun pouvoir décisionnel sur les traitements de données, tout cela relevait du siège aux Etats-Unis. Le système du guichet unique n’était pas donc applicable et la CNIL était compétente pour sanctionner les manquements de Google relatifs au traitement des données des utilisateurs français d’Android. Depuis lors, les géants du web ont compris et ont tous centralisé leur pouvoir décisionnel en Irlande pour relever de la compétence de la CNIL irlandaise.

Actu-Juridique : La décision de la CJUE apporte donc une solution pour redonner au RGPD sont efficacité  ?

BL : : En effet, elle n’est d’ailleurs pas la seule à réagir. Le 20 mai dernier, le Parlement européen a voté une résolution demandant à la Commission européenne d’ouvrir une procédure d’infraction à l’encontre de l’Irlande pour défaut d’application du RGPD. Cette procédure est très rare et symboliquement lourde, elle a par exemple été utilisée  contre  la Hongrie et la Pologne pour non respect de l’état de droit. Pour revenir à la décision de la CJUE elle intervient en réponse à une question préjudicielle de la justice belge qui était appelé à statuer sur des violations du RGPD imputées à Facebook. Elles consistaient notamment en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes belges, détenteurs ou non d’un compte Facebook, au moyen de différentes technologies, telles que les cookies. La juridiction belge se demandait si elle était compétente au regard du principe du guichet unique. En substance, la cour répond, à partir du considérant 43,  que la compétence de l’autorité de contrôle chef de file est la règle, celle des autres autorités l’exception. Mais le système du guichet unique implique de la part de l’autorité de contrôle chef de file une coopération loyale et efficace avec les autres autorités de contrôle concernées. Si ce n’est pas le cas ou si elle s’abstient d’agir, alors l’autorité nationale retrouve sa compétence pour le faire, sous réserve de remplir certaines conditions. La Cour précise qu’il ne faudrait pas en effet que le système du guichet unique aboutisse à encourager le forum shopping et que les citoyens soient ainsi privés en pratique du droit effectif à faire respecter la protection de leurs données personnelles.