La Cour de justice de l'UE renforce les pouvoirs des organismes nationaux de surveillance des données,
Ce qui constitue un revers pour Facebook et la big tech
Selon la Cour de justice de l'Union européenne, Facebook Inc. ne peut pas se soustraire entièrement à d'éventuelles injonctions en matière de protection de la vie privée émanant d'autorités de protection des données de l'Union européenne autres que son principal organisme de surveillance basé en Irlande. Sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir « de saisir la justice de toute violation présumée » des règles de l'UE en matière de protection des données, où que ce soit dans l'Union, a déclaré la Cour de justice de l'UE mardi. La décision s’applique également aux grandes entreprises technologiques américaines telles que Google, Twitter et Apple, qui ont toutes leur siège européen en Irlande, et pourrait encourager les agences nationales à agir.
Facebook et d'autres géants de la Silicon Valley pourraient faire l'objet d'un examen plus approfondi et de sanctions dans l'Union européenne, après que la plus haute juridiction de l'Union a autorisé les organismes nationaux de protection de la vie privée à les poursuivre, même s'ils ne sont pas leurs principaux régulateurs. La décision de la Cour de justice de l'Union européenne (CJUE) pourrait encourager les agences nationales à agir contre les grandes entreprises technologiques, quel que soit le pays membre de l’UE choisi pour établir leur siège européen.
L'enjeu est la portée du système dit de "guichet unique", mis en place dans le cadre des règles de l'UE en matière de protection des données depuis mai 2018, qui confie à l'autorité de la base européenne choisie par une entreprise le soin de la superviser, en étroite collaboration avec les autres régulateurs. L'Irlande est devenue le centre européen choisi par certains des plus grands géants américains de la technologie, dont Facebook, mais son autorité de surveillance des données a été critiquée pour avoir pris trop de temps.
Tout comme Facebook, Twitter, Apple et Google ont leur siège européen en Irlande, ce qui les place sous la surveillance du régulateur irlandais de la protection des données en vertu des règles de confidentialité connues sous le nom de RGPD, qui prévoient des amendes pouvant atteindre 4 % du chiffre d'affaires mondial d'une entreprise en cas de violation.
« Sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de saisir une juridiction d'un État membre de toute violation alléguée du RGPD, même si cette autorité n'est pas l'autorité de contrôle principale en ce qui concerne ce traitement », a déclaré la CJUE.
Le BEUC, groupe de pression des consommateurs, s'est félicité de l'arrêt rendu mardi par la Cour de justice de l'Union européenne, qui a soutenu le droit des agences nationales à agir, en invoquant des goulets d'étranglement dans l'application de la législation.
« Il s'agit d'une évolution positive dans la volonté de faire respecter notre vie privée, quel que soit le lieu d'établissement de l'entreprise dans l'UE. Compte tenu des goulets d'étranglement existants dans le système d'application transfrontalière du RGPD, toutes les autorités nationales doivent pouvoir, sous certaines conditions, prendre les choses en main de manière proactive et utiliser leurs pleins pouvoirs lorsque nos droits sont bafoués », a déclaré Monique Goyens, directrice générale du BEUC.
« La plupart des entreprises de la big tech sont basées en Irlande, et ce ne devrait pas être à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l'UE, surtout si elle ne relève pas le défi », a-t-elle poursuivi.
Plusieurs organismes nationaux de surveillance des 27 États membres de l'UE se plaignent depuis longtemps de leur homologue irlandais, estimant qu'il met trop de temps à statuer sur les affaires. Le bureau irlandais de la Commission de protection des données (DPC) a rejeté ces critiques, affirmant qu'il devait être particulièrement méticuleux face à des géants de la technologie puissants et bien financés.
S'exprimant devant une commission de l'Oireachtas irlandais en avril, la commissaire Helen Dixon a défendu le travail de la DPC. Elle a critiqué à la fois un « écrémage superficiel » sur des questions majeures et « l'exagération » de certains critiques, et a également réfuté les critiques concernant le temps nécessaire pour prendre des décisions.
Son bureau a ouvert au moins 27 enquêtes sur la vie privée visant Apple, Google et d'autres entreprises technologiques. Facebook serait impliqué dans neuf de ces enquêtes. Parmi les autres affaires en cours de traitement par l'Irlande figurent Instagram et WhatsApp, propriété de Facebook, ainsi que Twitter, Apple, Verizon Media, LinkedIn, propriété de Microsoft, et Quantcast, annonceur numérique américain.
Facebook "satisfait" de la décision rendue par la CJUE
L'affaire a été portée devant la Cour de justice de l'Union européenne à la suite d'un défi lancé par Facebook contre la compétence territoriale de l’autorité de surveillance des données belge pour l'empêcher de suivre les utilisateurs en Belgique grâce à des cookies stockés dans les plug-ins sociaux de la société, qu'ils aient un compte ou non. Les juges de l'UE ont déclaré que le tribunal belge, qui a demandé l'avis du tribunal de l'UE, devra décider si les procédures et "les règles de répartition des pouvoirs" ont été correctement appliquées dans le litige concerné et si les violations présumées visées par l'autorité belge relèvent de sa compétence et sont conformes à l'arrêt rendu mardi.
Facebook a dit être "satisfait" de la décision de la CJUE. « Nous sommes heureux que la CJUE ait confirmé la valeur et les principes du mécanisme de guichet unique, et ait souligné son importance pour assurer l'application efficace et cohérente du RGPD dans toute l'UE », a déclaré Jack Gilbert, avocat général associé de Facebook.
Le règlement général sur la protection des données de l'UE a donné aux régulateurs de données des pouvoirs sans précédent pour imposer aux entreprises des amendes basées sur leur chiffre d'affaires annuel. La politique du guichet unique avait soulevé des questions sur les pouvoirs des régulateurs de l'UE autres que les Irlandais pour sanctionner une entreprise comme Facebook.
Le système « exige une coopération étroite, sincère et efficace entre ces autorités, afin d'assurer une protection cohérente et homogène des règles de protection des données à caractère personnel et de préserver ainsi son efficacité », a déclaré la Cour. Une autorité qui n'est pas le principal organisme de surveillance d'une entreprise peut désormais engager une action en justice pour une violation transfrontalière de la confidentialité des données, pour autant qu'elle respecte la « répartition des compétences » prévue par le droit communautaire, a déclaré la Cour.
Le groupe de lobbying technologique CCIA a déclaré que la décision pourrait conduire à une application incohérente et incertaine et faire grimper les coûts. « Il a également ouvert la porte à toutes les autorités nationales chargées de la protection des données pour qu'elles engagent de multiples procédures contre les entreprises », a déclaré Alex Roure, directeur des politiques de CCIA Europe.
« La conformité à la protection des données dans l'UE risque de devenir plus incohérente, fragmentée et incertaine. Nous demandons instamment aux autorités nationales d'être prudentes dans le lancement de procédures multiples qui affaibliraient la sécurité juridique et compliqueraient davantage la conformité à la protection des données dans l'UE », a-t-il ajouté.
Sources : CJEU, BEUC
Et vous ?
Quel commentaire faites-vous de la décision rendue par la CJEU ?
Facebook se dit satisfait de cette décision. Qu’en pensez-vous ?
Selon le groupe CCIA, cette décision pourrait rendre plus incohérente, fragmentée et incertaine la conformité à la protection des données dans l'UE. Quel commentaire en faites-vous ?
Voir aussi :
Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées
Facebook décide de mettre à jour sa politique de confidentialité en prélude à la mise en place du GDPR en Europe, d'après un communiqué
USA : Microsoft appelle à une réglementation fédérale de l'industrie technologique, qui devrait être interopérable avec le GDPR
Facebook minimise les impacts du GDPR sur ses affaires et rassure ses investisseurs, qui ont exprimé des inquiétudes
Partager