Données personnelles: la justice de l’UE précise les compétences des pays membres

Par

Tout pays de l’UE peut poursuivre en justice une entreprise de l’internet pour une supposée violation de la législation sur la protection de la vie privée, et pas uniquement l’Etat membre où celle-ci a son QG principal, a estimé mardi la justice européenne, saisie d’un litige avec Facebook.

Cet article est en accès libre. L’information nous protège ! Je m’abonne

Tout pays de l’UE peut poursuivre en justice une entreprise de l’internet pour une supposée violation de la législation sur la protection de la vie privée, et pas uniquement l’Etat membre où celle-ci a son QG principal, a estimé mardi la justice européenne, saisie d’un litige avec Facebook.

La Cour de justice de l’UE, établie à Luxembourg, était interrogée par la cour d’appel de Bruxelles, dans le cadre d’une action intentée en 2015 contre le géant américain par le patron de l’autorité belge de protection des données.

Elle était notamment invitée à éclaircir la question de l’application du mécanisme dit de « guichet unique » prévu par le Règlement général sur la protection des données (RGPD, règlement européen de 2016 entré en vigueur en mai 2018).

En vertu de ce mécanisme, ce sont les juridictions irlandaises, celles du pays dans lequel Facebook a établi son siège européen, qui doivent être saisies d’une supposée violation du RGPD par cette multinationale. L’autorité irlandaise de protection des données a été désignée comme « autorité chef de file » pour intenter des actions en justice.

Dans son arrêt rendu mardi, la CJUE précise les conditions d’exercice des autorités nationales (type Cnil en France), et juge que « sous certaines conditions » elles peuvent saisir la justice de leur Etat concernant un traitement de données transfrontalier.

La Cour de justice estime notamment que lorsqu’une autorité nationale de contrôle --qui n’est pas « chef de file »-- a intenté une action en justice avant l’entrée en vigueur du RGPD, « cette action peut être maintenue, en vertu du droit de l’Union ».

C’est précisément le cas de figure belge.

En septembre 2015, le président de l’autorité belge de contrôle de la vie privée (la CPVP, devenue depuis l’Autorité de protection des données) a saisi le tribunal de Bruxelles pour que Facebook cesse de collecter et d’utiliser à l’insu des internautes des informations sur leur comportement en ligne --via entre autres des « cookies », ces micro-fichiers conservant les habitudes des internautes, qu’ils possèdent ou non un compte sur ce réseau social--.

En février 2018, ce tribunal a ordonné à Facebook de cesser de pister les internautes en Belgique sans leur consentement, sous peine d’une astreinte de 250.000 euros par jour.

C’est dans le cadre du procès en appel que la Cour de Luxembourg a été interrogée.

Son arrêt constitue « une évolution positive » dans la lutte pour une meilleure protection des données, a salué le Bureau européen des unions de consommateurs (BEUC).

mad/alm/els

Mediapart n’a pas participé à la rédaction de cette dépêche, qui fait partie du flux automatisé de l’Agence France-Presse (AFP). L’AFP est une agence de presse mondiale d’origine française fournissant des informations rapides, vérifiées et complètes sur les événements qui font l’actualité nationale et internationale, utilisables directement par tous types de médias. En savoir plus.

Pas de mobilisation sans confiance
Pas de confiance sans vérité
Soutenez-nous