La présente décision, rendue par la Cour de justice de l’Union européenne, apporte des clarifications substantielles sur les pouvoirs d’action en justice des autorités de contrôle en matière de protection des données personnelles. Les faits sous-jacents, non rapportés dans l’extrait, concernent vraisemblablement un litige où une autorité de contrôle nationale a souhaité poursuivre une entreprise pour des manquements au Règlement général sur la protection des données (RGPD) dans le cadre d’un traitement transfrontalier, alors même qu’elle n’était pas l’autorité désignée comme « chef de file ». La procédure a conduit une juridiction nationale à interroger la Cour, par la voie de questions préjudicielles, sur l’interprétation des dispositions du RGPD relatives à la répartition des compétences entre les différentes autorités de contrôle européennes. Le problème de droit central consistait à déterminer si, et dans quelles conditions, une autorité de contrôle qui n’est pas l’autorité chef de file peut engager une action en justice dans son propre État membre pour une violation du règlement. En réponse, la Cour de justice articule une solution nuancée : elle reconnaît ce pouvoir mais l’encadre strictement dans les procédures de coopération prévues par le texte. Ainsi, la Cour établit un équilibre entre l’efficacité du mécanisme du guichet unique et la nécessité de garantir une protection effective des droits des personnes sur tout le territoire de l’Union.
Il convient d’analyser la clarification par la Cour des conditions d’exercice de cette action en justice par une autorité non-chef de file (I), avant d’étudier la portée pratique de la compétence qui lui est ainsi reconnue (II).
La Cour de justice affirme l’existence d’une compétence d’action pour les autorités nationales, mais la subordonne à des conditions strictes (A), tout en garantissant la force de cette prérogative par la reconnaissance de l’effet direct de la disposition l’instituant (B).
Le règlement 2016/679 a instauré un mécanisme de « guichet unique » visant à ce qu’un seul interlocuteur, l’autorité de contrôle « chef de file » de l’État membre de l’établissement principal du responsable de traitement, soit compétent pour les traitements de données transfrontaliers. Toutefois, cette centralisation ne doit pas priver les autres autorités de contrôle de tout pouvoir d’intervention. La Cour précise ainsi qu’une autorité non-chef de file peut ester en justice, mais encadre cette faculté de manière rigoureuse. Elle juge que ce pouvoir est ouvert « pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement ». En d’autres termes, l’action en justice nationale n’est pas une voie autonome permettant de contourner le guichet unique ; elle constitue le prolongement procédural d’une compétence matérielle déjà reconnue par le règlement, par exemple en cas d’urgence ou lorsque le traitement ne concerne que des personnes sur son territoire. Cette interprétation préserve l’architecture du RGPD en obligeant l’autorité qui agit à se conformer aux mécanismes de coopération définis aux articles 60 et suivants, assurant ainsi une application cohérente du droit de l’Union.
Afin de garantir l’effectivité de ce pouvoir d’agir en justice, la Cour de justice énonce une précision fondamentale en jugeant que l’article 58, paragraphe 5, du règlement « a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers ». Cette reconnaissance de l’effet direct vertical est classique en droit de l’Union européenne mais prend ici une importance particulière. Elle signifie qu’une autorité de contrôle peut se prévaloir de cette disposition devant ses juridictions nationales, même en l’absence de mesure de transposition spécifique ou adéquate dans son droit interne. Une telle solution assure une application uniforme du RGPD sur l’ensemble du territoire de l’Union et empêche qu’une défaillance du législateur national ne vienne paralyser l’action d’une autorité de contrôle dans la défense des droits des personnes concernées. La Cour renforce ainsi l’arsenal des autorités de protection des données, leur donnant les moyens juridiques de remplir pleinement leur mission de surveillance et de sanction, indépendamment des éventuelles lenteurs ou omissions des États membres dans l’adaptation de leur législation.
Après avoir posé les conditions de l’exercice de l’action, la Cour en précise les implications concrètes, tant sur le plan territorial que temporel.
La Cour de justice tire les conséquences pratiques de sa solution en définissant largement le champ d’application de l’action en justice (A) et en apportant des clarifications sur les situations transitoires et les entités pouvant être visées (B).
Pour assurer une protection maximale des personnes, la Cour étend la portée territoriale du pouvoir de poursuite de l’autorité de contrôle. Elle juge que l’exercice de ce pouvoir « ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre ». Cette solution est essentielle pour éviter que des responsables de traitement, en choisissant de ne pas avoir de présence physique dans un État membre, ne puissent échapper à la compétence de son autorité de contrôle alors même qu’ils traitent massivement les données de ses résidents. La compétence de l’autorité est ainsi liée non pas à la localisation de l’entreprise poursuivie, mais bien aux effets du traitement de données sur son territoire. Cette approche, conforme à la logique extraterritoriale du RGPD, garantit que les personnes concernées disposent d’un recours effectif par l’intermédiaire de leur autorité de contrôle locale, même face à des acteurs économiques établis dans d’autres États membres.
La décision aborde également les questions liées à la transition entre l’ancienne directive 95/46/CE et le RGPD, ainsi que la détermination du défendeur à l’action. D’une part, la Cour assure la continuité juridique en précisant qu’une action intentée avant l’entrée en application du RGPD peut se poursuivre sur le fondement de la directive de 1995, laquelle « demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée ». Pour les infractions postérieures, l’action doit se fonder sur le RGPD, dans le respect des conditions de compétence définies par la Cour. D’autre part, la décision clarifie que l’action en justice peut viser tant l’établissement principal que tout autre établissement du responsable du traitement, pour autant que le litige concerne un traitement effectué dans le cadre des activités de cet établissement. Cette flexibilité permet à l’autorité de contrôle de diriger son action de la manière la plus efficace, en fonction de l’organisation de l’entreprise et de la localisation des activités litigieuses, renforçant ainsi l’effectivité des poursuites.
