La commission « vie privée » peut agir contre Facebook dans quatre cas
La commission belge pour la protection des données n’a qu’un pouvoir limité à quatre situations pour agir en Belgique contre Facebook sur le traitement transfrontalier de données, du fait de la compétence générale conférée à son homologue d’Irlande où le géant américain a installé son siège principal pour l’UE.
C’est du moins la conclusion rendue mercredi par l’avocat général de la Cour de Justice de l’Union européenne, qui avait été interrogée par la cour d’appel de Bruxelles dans une affaire en cours depuis 2015.
La « commission vie privée » (devenue depuis l’Autorité de Protection des Données, APD) avait intenté une action devant le tribunal de première instance néerlandophone de Bruxelles contre le groupe Facebook pour contester la collecte d’informations non seulement sur le comportement de navigation des détenteurs d’un compte Facebook, mais aussi sur celui de non-utilisateurs, grâce à différentes technologies comme les cookies, les plug-ins sociaux (boutons « J’aime » ou « Partager ») ou encore les pixels.
Elle a demandé au tribunal d’ordonner à Facebook de mettre fin aux actes portant atteinte à la vie privée et de détruire toutes les données collectées.
Le juge s’est alors déclaré internationalement compétent à l’égard des sociétés Facebook Ireland et Facebook Inc., citées par la commission « vie privée » en plus de Facebook Belgium. Il a fait droit à la demande du président de la commission vie privée, en jugeant que Facebook n’informait pas suffisamment les internautes belges sur la collecte des informations et sur l’usage qui en est fait. Les sociétés Facebook ont fait appel de ce jugement.
Et là, divergence: la cour d’appel de Bruxelles s’est déclaré incompétente pour statuer à l’égard de Facebook Ireland et Facebook Inc., tout en s’estimant compétente pour connaître de l’action intentée à l’encontre de Facebook Belgium.
Or cette dernière soutient qu’en vertu du règlement général sur la protection des données (le fameaux « RGPD »), il revient à l’autorité de contrôle de l’État membre dans lequel le responsable du traitement a son établissement principal ou son établissement unique de se prononcer sur le traitement des données, en tant qu’autorité cheffe de file. En l’espèce, il s’agirait donc de la Commission irlandaise de protection des données, puisqu’au sein de l’Union européenne, le siège social de Facebook est situé en Irlande.
Facebook Belgium affirme en effet qu’à compter de la date à laquelle le RGPD est devenu applicable, la commission vie privée n’est plus compétente pour poursuivre la procédure judiciaire en cause contre Facebook.
L’avocat général, dont les conclusions ne lient pas la Cour, est plus nuancé: l’autorité irlandaise dispose d’une compétence générale pour ce qui concerne le traitement transfrontalier de données, y compris pour intenter des actions en justice contre la violation du RGPD, mais les autres autorités de contrôle concernées peuvent intenter une action devant leur juridiction nationale dans quatre cas.
Il faut, dit l’avocat général, qu’elles agissent en dehors du champ d’application matériel du RGPD. Ou qu’elles examinent un traitement transfrontalier effectué par des autorités publiques, dans l’intérêt public, dans l’exercice de l’autorité publique ou encore par des responsables du traitement qui ne sont pas établis dans l’Union. C’est aussi possible lorsqu’elles adoptent des mesures urgentes, ou interviennent après que l’autorité de protection irlandaise a décidé de ne pas traiter un cas, selon l’avocat général.
La Cour de Justice de l’UE doit encore rendre son arrêt, après quoi la Cour d’appel de Bruxelles le confrontera avec le cas d’espèce.