La Cour de justice, régulateur de la gouvernance institutionnelle du RGPD
La sophistication du droit administratif européen prévu pour la mise en œuvre du règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) est telle qu’il est désormais à l’origine d’un contentieux autonome, distinct des questions matérielles relatives à la protection des données personnelles. Si les affaires Schrems ont mis en lumière les relations verticales entre la Commission et les autorités nationales de contrôle, la gouvernance horizontale est aujourd’hui au cœur de l’actualité politique et jurisprudentielle.
L’enjeu : l’efficacité du mécanisme du guichet unique prévu par le RGPD
La principale question dans l’affaire Facebook Belgium porte sur l’efficacité du fonctionnement du mécanisme du guichet unique prévu par le RGPD dans un contexte général d’interrogations sur sa pertinence. Ce système de guichet unique prévoit la compétence de l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement pour agir en tant que chef de file pour les traitements transfrontaliers effectués par ce responsable du traitement. Le défi est celui de la cohérence dans l’application du texte : aussi, en cas de traitement transfrontalier de données, le RGPD organise une centralisation du contrôle par un chef de file, en coopération avec les autres autorités de contrôle concernées. Comme la plupart des géants du numérique ont établi leur filiale européenne en Irlande pour des raisons fiscales, l’autorité irlandaise se retrouve, de fait, au cœur des dossiers les plus importants.
L’enjeu est l’efficacité du droit administratif européen et la pertinence de la régulation institutionnelle pensées pour l’application du RGPD, en particulier l’articulation qu’il prévoit entre les compétences respectives des différentes autorités nationales de contrôle : la compétence du chef de file est-elle exclusive ou partagée avec les autres autorités concernées ? En d’autres termes : une autorité de contrôle non-chef de file peut-elle ester en justice devant une juridiction de son État membre contre des infractions au RGPD pour un traitement de données transfrontalier, en dehors des exceptions prévues par les textes ?
Dans les faits à l’origine du litige ayant donné lieu à la question préjudicielle, l’autorité belge souhaitait pouvoir agir en justice contre Facebook Belgium pour un traitement transfrontalier de données personnelles alors même que le responsable de ce traitement est Facebook Ireland. Les faits à l’origine de cette question ne sont que l’un des exemples d’une problématique devenue plus générale dans laquelle une pluralité d’autorités nationales a émis de fortes critiques à l’égard de l’inaction de l’autorité irlandaise dans un certain nombre de dossiers. La sensibilité politique de cette situation est telle que le gouvernement français souhaite désormais s’assurer qu’un tel système de guichet unique ne soit pas reproduit pour l’application du Digital Services Act. On peut ainsi s’étonner du silence de certains gouvernements, prompts à souligner politiquement les limites du guichet unique, qui n’ont cependant pas saisi ici l’occasion de présenter des observations devant la Cour de justice de l’Union européenne (CJUE) alors même que se présentait une occasion de le faire évoluer. La faible mobilisation étatique contraste avec l’importance de la question que la Cour de justice avait à traiter.
L’application cohérente et homogène du RGPD dans l’Union se révèle être un défi. Pour le relever, la Cour de justice va chercher à défendre « l’effet utile » du mécanisme de guichet unique qui, malgré les difficultés qu’il génère, est au cœur de la volonté du législateur européen. Pour définir un équilibre entre ces éléments contradictoires, la CJUE va reprendre une distinction fondamentale dans la théorie des compétences, celle qui dissocie la répartition des compétences entre autorités de l’exercice des pouvoirs par ces autorités.
Le principe : l’autorité chef de file est, en principe, seule compétente pour adopter une décision constatant qu’un traitement transfrontalier de données personnelles méconnaît le RGPD
Si la répartition des compétences entre autorités de contrôle fixée par le RGPD à travers le mécanisme du guichet unique est appliquée de façon stricte par le juge, le juge encadre l’exercice de leurs pouvoirs par des principes régulateurs bien établis, en particulier l’obligation de coopération loyale. La répartition des compétences entre autorités chef de file et autorités concernées est ainsi préservée par la Cour de justice qui en rappelle fermement le principe : seule l’autorité chef de file est, en principe, compétente pour adopter une décision constatant qu’un traitement transfrontalier de données personnelles méconnaît le RGPD. La compétence des autres autorités de contrôle concernées, même à titre provisoire, n’est que l’exception, précisément encadrée par les textes. Cette limitation des compétences des autorités de contrôle concernées, qui vaut aussi bien pour le pouvoir d’adopter une décision que d’ester en justice, est jugée par la Cour conforme aux exigences de la Charte des droits fondamentaux dès lors que les règles de répartition des compétences « n’enlèvent rien à la responsabilité incombant à chacune de ces autorités de contribuer à un niveau élevé de protection de ces droits ». La protection des droits fondamentaux semble intrinsèquement liée à la cohérence d’ensemble de la régulation institutionnelle prévue par le droit administratif européen issu du RGPD.
La répartition des compétences est claire : l’autorité de contrôle chef de file est normalement le « seul interlocuteur » du responsable du traitement transfrontalier. La Cour de justice la réaffirme, en dépit des sollicitations de quelques gouvernements pour la faire évoluer. Ceux-ci se fondaient notamment sur la rédaction à la vérité quelque peu ambiguë de l’article 56, § 1, du RGPD qui affirme la compétence du chef de file « sans préjudice de l’article 55 » relatif aux pouvoirs généraux de toute autorité de contrôle pour défendre une interprétation du mécanisme reposant sur une application cumulative des compétences des autorités concernées et du chef de file. Selon cette interprétation, clairement écartée par la Cour, les compétences de chef de file pourraient être exercées en parallèle à celles que l’article 55 confère à toutes les autorités de contrôle, qui resteraient donc libres d’ester en justice contre un traitement transfrontalier.
Fondée sur une confusion manifeste entre compétences et pouvoirs, cette interprétation, au demeurant contraire à l’esprit du RGPD qui avait précisément pour ambition de coordonner les compétences des différentes autorités nationales, est fermement écartée par la Cour de justice. La compétence de principe de l’autorité chef de file ne peut s’accommoder de l’exercice distinct, parallèle, des pouvoirs des autres autorités de contrôle. Le principe même de la régulation institutionnelle prévue la protection des données est que chaque autorité, en participant à cette gouvernance collective, ne peut plus concevoir son action de façon autonome. Cette mise en perspective des pouvoirs des autorités de contrôle dans un cadre institutionnel plus large vaut pour tous leurs pouvoirs : ainsi, toute forme de modulation entre les pouvoirs des autorités de contrôle (qui dissocierait par exemple entre la possibilité d’ester en justice ou les autres pouvoirs de ces autorités) est écartée.
La nuance : l’interprétation de l’exercice des pouvoirs prévus par le système du guichet unique à la lumière de l’obligation de coopération loyale
Le principe de coopération loyale ne concerne ni ne modifie la répartition des compétences : il éclaire la façon de les exercer de manière à ce qu’une interprétation littérale ne la dénature pas, la lettre du RGPD ne doit pas permettre d’en trahir l’esprit. Ainsi, le chef de file doit exercer ses pouvoirs dans le respect de l’obligation de coopération loyale, c’est-à-dire dans une coopération étroite avec les autres autorités concernées. Il ne peut « s’affranchir, dans l’exercice de ses compétences d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées ». Ce principe de coopération loyale est concrétisé, dans le RGPD, par des exigences de coopération et d’assistance mutuelle.
La compétence du chef de file n’est ainsi pas exclusive : d’une part, le texte prévoit des exceptions à cette compétence de principe et, d’autre part, la CJUE permet aux autorités concernées de retrouver une certaine marge de manœuvre en cas d’incompétence négative ou de carence du chef de file. La compétence en matière de traitements transfrontaliers s’apparente ainsi davantage à une compétence partagée, avec l’application d’une logique de préemption en faveur du chef de file, qu’à une compétence parallèle.
One-stop-shop vs forum shopping
La préemption en faveur du chef de file ne doit pas cependant se muer en un aveu d’inconséquence en cas d’incompétence négative. La Cour de justice de l’Union européenne se montre tout aussi ferme sur la tentation d’un contournement du système qui serait rendu possible par l’inaction ou l’insuffisance de la protection assurée par une autorité chef de file. Ainsi, « le mécanisme de guichet unique ne saurait en aucun cas aboutir à ce qu’une autorité de contrôle nationale, en particulier l’autorité de contrôle chef de file, n’assume pas la responsabilité qui lui incombe en vertu du règlement 2016/679 de contribuer à une protection efficace des personnes physiques contre des atteintes à leurs droits fondamentaux, sous peine d’encourager la pratique d’un forum shopping, notamment de la part des responsables de traitement, visant à contourner ces droits fondamentaux et l’application effective » du RGPD (pt 68).
Le système du guichet unique ne doit pas laisser subsister des îlots d’immunité dans l’application du RGPD. On ne saurait être plus clair : le système de répartition des compétences ne doit pas pouvoir être instrumentalisé par les opérateurs économiques qui verraient un effet d’aubaine dans la modération excessive, voire l’inertie, dont pourrait faire preuve une autorité chef de file. La fermeté du rappel de la répartition des compétences s’accompagne de la même fermeté à l’égard des chefs de file qui ne joueraient pas leur rôle, ouvrant ainsi la voie à des détournements du système. Ainsi, plutôt que d’assouplir le système, la Cour de justice préfère le renforcer à travers l’obligation de coopération loyale : le « partage de compétences et de responsabilités entre les autorités de contrôle repose nécessairement sur la prémisse d’une coopération loyale et efficace entre ces autorités ainsi qu’avec la Commission afin d’assurer l’application correcte et cohérente » du RGPD (pt 72).
L’obligation de coopération loyale est conçue de façon ambivalente. D’un côté, les autorités concernées ne peuvent contourner la compétence de principe du chef de file, que ce soit pour adopter une décision ou ester en justice. Elles ne peuvent pas non plus s’en émanciper au motif que cette limitation de leurs pouvoirs serait incompatible avec les droits fondamentaux dès lors que le système de régulation institutionnel retenu intègre les exigences de la Charte de l’Union européenne. D’un autre côté, si l’autorité chef de file ne respecte pas le principe de coopération loyale et en particulier ses obligations d’assistance mutuelle, les autres autorités concernées ne doivent pas être condamnées à l’impuissance. Ainsi, si une autorité a requis l’assistance mutuelle du chef de file et qu’il ne lui fournit pas les informations demandées, elle retrouve des moyens d’agir et pourra dans certains cas s’adresser aux juridictions de son État (pt 71). Pour cela, la Cour de justice va renforcer l’efficacité du dispositif de l’article 61 du RGPD qui prévoit, outre les mesures qui peuvent être justifiées par l’urgence, que l’autorité concernée peut soumettre toute question d’application générale ou produisant des effets dans plusieurs États membres au comité européen de la protection des données (CEPD) pour obtenir un avis, en particulier lorsque l’autorité compétente ne respecte pas ses obligations d’assistance mutuelle. Si cette procédure, assez lourde, avait tout d’un « tigre de papier » (pt 122 des conclusions de l’avocat général Bobek) dans la mesure où l’avis du CEPD ne semble pas avoir d’effet contraignant sur le chef de file défaillant, la Cour de justice en tire cependant des conséquences précises sur la régulation des compétences institutionnelles, dans une logique de vases communicants : à la suite de l’adoption d’un tel avis ou d’une telle décision, et pour autant que le CEPD y soit favorable, l’autorité concernée « doit pouvoir prendre les mesures nécessaires » pour assurer le respect des règles relatives à la protection des droits des personnes et notamment ester en justice. La CJUE ne précise cependant pas davantage ce point qui semble permettre, par une sorte de préemption inversée, une intervention supplétive de l’autorité concernée.
La stratégie d’évitement : la question de l’application du guichet unique aux témoins de connexion
On soulignera ici que la Cour de justice de l’Union européenne, cherchant peut-être à rester au-dessus de la mêlée, s’attache plus ici à résoudre les questions de principe qu’à arbitrer le litige sur le fond. Si c’est bien là son rôle dans la procédure préjudicielle, cette retenue contraste malgré tout quelque peu avec la forte implication qui est la sienne sur d’autres sujets. Ainsi, elle ne tranche pas la question, politiquement délicate, de savoir si le chef de file a rempli ou non son devoir d’assistance mutuelle qu’elle laisse au juge de renvoi le soin d’apprécier, pas plus qu’elle n’arbitre la question du champ d’application matériel du RGPD qui fait aussi l’objet d’un désaccord entre les autorités de contrôle belge et irlandaise. Ainsi, le point de savoir si les témoins de connexion utilisés par Facebook pour collecter les données relèvent du RGPD ou de la directive e-privacy, pourtant essentiel pour la recevabilité de la question préjudicielle, n’est pas arbitré par le juge qui se retranche opportunément derrière la présomption de pertinence des questions du juge de renvoi (comp. avec l’ord. n° 449212 du 4 mars 2021 du Conseil d’État dans l’affaire Google LLC et Google Irlande, dans laquelle le juge du référé a estimé que le mécanisme du guichet unique prévu par le RGPD n’est pas applicable en matière de témoins de connexion dès lors qu’ils sont régis par la directive e-privacy). Cette délimitation du champ matériel du RGPD est pourtant fondamentale car elle peut ouvrir la voie à des stratégies d’évitement du guichet unique. Cette responsabilité laissée au juge national s’explique peut-être ici par l’horizontalité des enjeux de gouvernance.
Autres questions préjudicielles sur les compétences des autorités de contrôle non-chef de file
D’autres questions plus secondaires faisaient aussi l’objet du renvoi préjudiciel. Au-delà de la récurrente question de l’application temporelle du texte, le juge de renvoi demandait si la répartition des compétences entre autorités de contrôle (chef de file et autorités concernées) pouvait être différente dans l’hypothèse où le responsable du traitement de données transfrontalier a établissement secondaire dans l’État de l’autorité concernée. La réponse est à l’évidence négative dès lors que l’établissement principal est situé dans un autre État membre : l’exercice du pouvoir d’une autorité de contrôle, autre que le chef de file, d’intenter une action en justice ne dépend pas de l’existence d’un établissement du responsable du traitement transfrontalier sur le territoire de cet État membre, même si la présence d’un établissement secondaire peut avoir d’autres conséquences du fait de la qualification d’autorité concernée qu’elle induit.
Le juge de renvoi se demandait également si la compétence de l’autorité nationale non-chef de file était différente selon qu’elle dirige son action en justice contre l’établissement principal du responsable du traitement de données transfrontalier ou contre l’établissement secondaire qui se trouve dans son propre État membre. Le juge de renvoi belge s’interrogeait ainsi en pratique sur sa compétence pour connaître d’un recours dirigé contre Facebook Belgium alors même que, dans l’Union, le siège social de Facebook est en Irlande et que Facebook Ireland est le responsable du traitement des données personnelles pour tout le territoire de l’Union. Là encore, la réponse est négative dès lors que l’établissement principal du responsable de traitement se trouve dans un autre État membre. La répartition des compétences entre autorités nationales de contrôle n’est pas affectée mais la CJUE laisse une souplesse sur l’entité qui peut être mise en cause par le recours de l’autorité de contrôle dans cette hypothèse, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement. En l’occurrence, l’établissement de Facebook en Belgique sert essentiellement aux relations avec les institutions européennes, et de façon secondaire, à la promotion d’activités publicitaires et de marketing. La Cour de justice estime que de telles activités sont indissociablement liées au traitement des données dont Facebook Ireland est le responsable sur le territoire de l’Union et que le traitement doit donc être regardé comme étant effectué « dans le cadre des activités d’un établissement du responsable du traitement » au sens de l’article 3, § 1, du RGPD.
Enfin, la Cour de justice affirme l’effet direct de l’article 58, § 5, du RGPD. Cet article dispose que « chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement ». Si les règlements ont en principe, par nature, un effet direct, on sait que des exceptions ont été très ponctuellement admises par la Cour de justice. La question se posait ici avec une acuité particulière, au-delà même de la rhétorique singulière autour de la supposée « transposition » du RGPD au regard des marges de manœuvre nationales qu’il prévoit, dès lors que la formulation de l’article renvoie au droit national le soin de prévoir les modalités de mises en œuvre de ce droit de recours, laissant ainsi un doute sur son inconditionnalité, qui est pourtant l’une des conditions de l’effet direct avec la précision et la clarté. La reconnaissance d’un effet direct paraît opportune, notamment dans un contexte où l’articulation des compétences entre les autorités nationales rend déjà suffisamment subtile la mise en œuvre de leurs pouvoirs : sophistiquer encore davantage la capacité d’agir de ces autorités nationales de contrôle pourrait les condamner à l’inertie.
Un arrêt de principe ?
Finalelement, l’arrêt réussit le pari d’être déjà considéré comme un arrêt de principe alors même qu’il cherche surtout à préserver le système de gouvernance établi par le législateur européen : le mécanisme du guichet unique est conservé et même renforcé par l’obligation de coopération loyale. Le rôle du juge est ici subtil : son objectif n’est pas de changer la régulation institutionnelle mais d’en limiter les contournements qui le fragilisent et le déconsidèrent.