L'UE soutient l’agence belge de protection de données contre Facebook

La Cour de justice de l’Union européenne (CJUE) s'est, ce mardi, prononcée sur une question préjudicielle concernant l'affaire opposant l'Autorité belge de protection des données (ADP) à Facebook. Les conséquences de cette décision se feront toutefois ressentir bien au-delà des frontières de notre petite Belgique.   

Selon la cour européenne, les autorités nationales de contrôle peuvent dorénavant, sous certaines conditions, attaquer les géants de la technologie devant leur propre juridiction pour violation du règlement général sur la protection des données (RGPD), et ce, peu importe où se situe le siège principal de l'entreprise au sein de l'UE.

Ce fameux RGPD a notamment été mis en place comme un système de lutte contre les infractions à la protection des données personnelles au sein de l'Union. Il doit permettre de garantir une application efficace et cohérente des règles.

Lire aussi | Le transfert des données des Européens vers les États-Unis sous investigation

Ce système transfrontalier a toutefois rapidement montré ses limites. La procédure et la décision d'application dépendaient, en effet, entièrement de l'autorité chef de file, soit l'autorité du pays où l'entreprise a son siège principal. Ce principe, dit du "guichet unique", nuisait gravement à l'application effective des règles et à la protection des personnes, selon l’Organisation européenne des consommateurs. La décision de ce mardi vient donc combler ces manquements.

Une affaire datant de 2015

Les origines de cette décision remontent à 2015, en Belgique. À l’époque, la Commission de protection de la vie privée, devenue ensuite l'APD, décide d’intenter une action en justice contre les pratiques de Facebook. L'organisme belge reprochait alors au géant numérique de surveiller le comportement de navigation des internautes via des "cookies", "plug-ins" et "pixels" et d'utiliser, ensuite, ces informations pour des publicités ciblées.

La question soumise à la Cour européenne par la Cour d'appel de Bruxelles tournait donc, essentiellement, autour de la compétence de l'APD à agir en justice contre Facebook, alors que cette entreprise a son siège européen en Irlande. Le RGPD et son principe de "guichet unique" étant, entre-temps, entré en vigueur. 

"Dans le cadre de la procédure d'appel, Facebook Belgium soutient notamment que depuis que le nouveau mécanisme de 'guichet unique' du RGPD est opérationnel, l'APD n'a plus la compétence pour reprendre la procédure au principal parce qu'elle n'est pas l'autorité de contrôle chef de file. S'agissant du traitement transfrontalier en cause, l'autorité de contrôle chef de file serait l'Irish Data Protection Commission. Le principal établissement du responsable du traitement dans l'Union européenne est situé en Irlande (Facebook Ireland Ltd)", rappelait ainsi l'avocat général à la CJUE Michal Bobek, dans ses conclusions de janvier dernier.

Les géants du numérique en ligne de mire

Vous l’aurez donc compris, si cette décision a été prise suite à une action en justice intentée contre Facebook, elle va impacter l'ensemble des GAFA, soit Google, Apple, Facebook et Amazon.

Toutes les autorités nationales européennes pourront, en effet, de manière proactive, prendre les choses en main et utiliser leurs pleins pouvoirs lorsqu’elles estiment que les droits de leurs consommateurs sont bafoués.

Lire aussi | Accord du G7 sur une taxe d'au moins 15% sur les sociétés

"La plupart des entreprises Big Tech sont basées en Irlande. Ça ne devrait pas être à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l'UE, surtout si elle n’est pas prête à relever le défi," a ainsi relevé Monique Goyens, directrice générale de l’Organisation européenne des consommateurs (BEUC), en réponse à la décision.

La réponse de Facebook

L'entreprise californienne se dit, quant à elle, heureuse que la Cour de Justice européenne ait réaffirmé la valeur et les principes du mécanisme du one-stop-shop et le rôle de l'autorité de contrôle principale. 

"L'arrêt d'aujourd'hui confirme que la compétence des autres autorités pour déroger à ce principe est limitée aux circonstances exceptionnelles décrites dans le RGPD. Nous agréons que ce principe est essentiel pour garantir l'application efficace et cohérente du RGPD dans toute l'UE", a réagi Jack Gilbert, Associate General Counsel chez Facebook.