Les grandes entreprises technologiques et les problématiques du “guichet unique”

Written By Charlotte Gerrish

En juillet dernier, la Cour de Justice Européenne a estimé que les plateformes de médias sociaux pouvaient désormais être poursuivies non seulement par l'Autorité de Protection des Données (APD) de l'État membre (EM) dans lequel se trouve le siège de l'entreprise, mais aussi par les autorités des autres EM concernés par la violation transfrontalière des données en question.

Les tribunaux ont donc, au plaisir et au déplaisir respectifs de beaucoup, modifié le mécanisme du “One Stop Shop” (OSS) (soit le “guichet unique” en français).   

Le mécanisme du “OSS” ou du “guichet unique” entre en jeu lorsqu'une plainte transfrontalière relative à des données est déposée. Selon cette interprétation du RGPD, une plainte pour violation de données à l'encontre d'une entreprise doit être traitée par l'APD de l'EM dans lequel se trouve le siège de l'entreprise. Toutefois, étant donné que Facebook, Twitter, Google et d'autres géants des médias sociaux ont tous leur siège européen à Dublin, la plupart des plaintes transfrontalières pour violation de données doivent être transmises et traitées par la Commission Irlandaise de Protection des Données (Irish Data Protection Commission, IDPC). Si le l'Autorité de protection des données (APD) belge voulait intenter une action contre Twitter, il serait tenu, en vertu du RGPD, de transmettre l'affaire à l'autorité irlandaise.  

Les avantages de ce système de guichet unique sont que les règles de protection des données sont unifiées et centralisées via Dublin (pour ne pas utiliser le terme monopolisé). Un autre avantage, comme l'a déclaré Helen Dixon (IDPC) en 2018, est que “l'avantage essentiel du OSS est que [les entreprises] sont soumises à une seule décision, un seul appel et une seule amende, elles ne sont pas soumises à la juridiction de beaucoup d'Autorités de Contrôle et donc à des amendes dans les États membres”.

En d'autres termes, le système OSS simplifie les mesures d'exécution.  

D'autre part, l’autorité de contrôle à Dublin a été de plus en plus critiqué par les régulateurs de l'UE pour avoir laissé une accumulation de cas non traités ou traités trop lentement. "La plupart des entreprises Big Tech sont basées en Irlande, et ce ne devrait pas être à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l'UE, surtout si elle ne relève pas le défi." En effet, la quantité de plaintes relatives aux données déposées en Irlande par 26 autres EM a créé un effet de goulot d'étranglement.  

Mais l'affaire de l’été dernier a apporté une modification au système OSS : à partir de juillet 2021, le RGPD doit être interprété comme permettant aux Autorités de protection des données des EM qui n'hébergent pas le siège de l'entreprise (Autres Autorités de Contrôle Concernées) d'intenter une action contre l'entreprise sans nécessairement passer par l'Autorité de l'EM qui héberge le siège (l'Autorité de Contrôle Chef de File).  

En effet, l'une des questions soumises à la Cour de Justice Européenne était de savoir si le RGPD doit être interprété comme signifiant qu’une “Autre Autorité de Contrôle Concernée” a la compétence d'intenter une action contre l'entreprise en violation des règles de protection des données en plus de l'autorité principale. En d'autres termes, si une autorité concernée peut intenter une action contre une entreprise dans le cadre de plaintes transfrontalières relatives aux données sans être l'autorité principale, ce que le mécanisme du OSS a empêché jusqu'à présent. 

Pour répondre à la juridiction de renvoi, la Cour de Justice Européenne a évalué la base juridique du RGPD via le TFUE et la Charte, concluant que le RGPD exige des institutions, organes et organismes de l'UE ainsi que des autorités compétentes des EM d'assurer un "niveau élevé de protection" des droits consacrés par l'article 16 du TFUE et l'article 8(1) de la Charte. Toutefois, la Cour a mis en évidence un paradoxe dans cette conclusion, à savoir que les autorités des États membres ne peuvent pas respecter leur obligation de protéger à un "niveau élevé" les droits des résidents de l'UE tels qu'ils sont consacrés par l'article 16, paragraphe 1, du TFUE sans avoir au préalable la compétence pour agir dans certains cas de traitement des données. Il en résulte que les Autres Autorités Concernées en matière de données, en plus des Autorités de Contrôle Chef de File, doivent être en mesure d'exercer certaines compétences, mais pas toutes, sinon cela annulerait complètement l'OSS. 

Les tribunaux ont trouvé un compromis qui permet aux EM de respecter leurs obligations sans abroger l'OSS : la "Procédure d'Urgence", inscrite à l'article 66 du RGPD. L'article 66 stipule que dans des circonstances exceptionnelles, une autorité de protection des données concernée agissant en raison d'un besoin urgent de protéger les droits des personnes concernées peut déroger au principe de cohérence et adopter dans l'immédiat des mesures provisoires et valables jusqu'à une période de trois mois, mais pas au-delà. Toutes les mesures prises par l'autorité concernée doivent être immédiatement communiquées à l'autorité chef de file et à la Commission. En outre, il est dans les compétences de l'autorité concernée de demander un avis urgent ou une décision contraignante à la Commission si l'autorité chef de file n'est pas considérée par l'autorité concernée comme ayant pris des mesures appropriées en ce qui concerne les droits et libertés des personnes concernées. L'exercice des droits de l'autorité concernée au titre de l'article 66 est qualifié, non seulement en ce qu'il requiert un élément d'urgence, mais aussi en ce qu'il doit notifier sa décision à l'autorité chef de file afin que celle-ci puisse, à sa discrétion, se saisir ou non de l'affaire. Cela a été souligné lors de l'audition, au cours de laquelle il a été indiqué que l'Autorité principale ayant compétence pour prendre une décision contraignante est la règle, et que "la compétence des Autres Autorités de Contrôle Concernées pour l'adoption d'une telle décision, même à titre provisoire, constitue l'exception" (paragraphe 63).

En termes simples, les tribunaux n'ont pas donné carte blanche aux Autres Autorités, mais leur ont plutôt donné un champ d'action limité. Cela modifie le système OSS plutôt que de le remanier entièrement, et soutient les obligations fondées sur le traité imposées non seulement aux États Membres, mais aussi aux Autorité de Contrôle Chef de File, qui subissent actuellement l'effet de goulot d'étranglement à Dublin. L'espoir est qu'un tel système révisé serve mieux les droits en matière de données des 500 millions de résidents de l'UE.   

Les réactions à l'arrêt de la CJCE restent contradictoires : Le Bureau Européen des Unions de Consommateurs se réjouit du verdict et prévoit qu'il contribuera à protéger les données personnelles des consommateurs. Même l'avocat général associé de Facebook s'est réjoui du fait que la Cour "a confirmé la valeur et les principes du mécanisme des logiciels libres" pour l'essentiel. Toutefois, le groupe de pression technologique CCIA craint que le respect de la protection des données dans l'UE ne devienne ainsi “plus incohérent, fragmenté et incertain”. Le responsable de la politique européenne du groupe a déclaré que “si la Cour a confirmé le principe du OSS, elle a également ouvert la porte à toutes les Autorités nationales chargées de la protection des données pour qu'elles engagent de multiples procédures contre les entreprises”.

Nous verrons dans les mois à venir comment ce système modifié influe sur le traitement des données et l'application de la loi sur les violations.

Pour en savoir plus, nous restons à votre disposition !

 Article par Anthi Pesmazoglou et Alix Balsan @ Gerrish Legal

Charlotte Gerrish
Previous

Protéger votre branding avec une stratégie de marque

Next

L'avenir des achats en ligne : Réconcilier la réalité augmentée et le droit à la vie privée