Par Sébastien Canévet, Maître de conférences en droit privé, Université de Poitiers

Trois ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD), celui-ci a-t-il tenu toutes ses promesses ? Alors que ce règlement, qui renforce et harmonise à l’échelon européen la protection des données instituée en France en 1978 par la loi « Informatique et Libertés », le comportement de l’Irlande freine la mise en œuvre de cette protection.

Comment la coopération entre autorités est-t-elle prévue ?

Les diverses autorités nationales de protection des données de l’Union européenne (UE) ont été conçues pour être indépendantes des gouvernements de leurs pays respectifs. Cependant, afin de tendre à l’harmonisation de leurs pratiques, le RGPD a organisé un régime d’interdépendance entre ces autorités. Il l’a fait au travers d’un nouvel organe de l’UE : le Comité européen de la protection des données (CEPD ou « European data protection board », EDPB en anglais). Le CEPD regroupe les vingt-sept autorités nationales de l’UE, ainsi que le Contrôleur européen de la protection des données (« European data protection supervisor », ou EDPS). Il s’agit de l’autorité locale supervisant les traitements de données des institutions de l’UE (il ne faut pas le confondre avec l’EDPB, en dépit de leurs acronymes identiques en français : « CEPD »).

Du point de vue des justiciables, afin de traiter les plaintes intéressant plusieurs autorités nationales, le RGPD a organisé un mécanisme de guichet unique (GU, ou « one-stop shop », OSS). Ce mécanisme de guichet unique a été conçu autour de la notion d’« établissement principal » des responsables de traitements (RT) installés au sein de l’UE. Lorsqu’une des vingt-sept autorités de protection des données (APD) est saisie par un résident de l’Union européenne, cette autorité nationale doit transférer la plainte à l’autorité du pays de l’établissement principal. Celle-ci est alors qualifiée d’ « autorité cheffe de file » (ACF). Les autres autorités dont les résidents portent également plainte sont dites « autorités concernées » (AC). L’Autorité cheffe de fil est en charge d’instruire les plaintes qui lui sont transmises concernant le responsable du traitement concerné. Elle transmet ensuite au CEPD le projet de décision qu’elle envisage de prendre à l’encontre du responsable du traitement. Les autorités concernées peuvent alors formuler des objections « pertinentes et motivées ». L’ACF doit alors en tenir compte, pour rédiger éventuellement une décision modifiée, qui sera ensuite rendue exécutoire auprès du RT. Ce mécanisme permet notamment au CEPD d’émettre une décision contraignante auprès de l’ACF, en vertu de l’article 65 du RGPD. Ce texte est là pour obliger l’autorité auteur de la décision à tenir compte des objections de ses homologues également concernés par cette affaire.

Où en est le traitement des plaintes contre les GAFAM ?

Le jour même de l’entrée en vigueur du RGPD, plusieurs associations ont déposé des plaintes auprès de leurs autorités nationales respectives, notamment contre les GAFAM. Ces plaintes ont rapidement été transmises à l’APD irlandaise, la Data Protection Commission (DPC). Concernant les GAFAM, la DPC est donc l’autorité cheffe de file au sein de l’Union européenne. Cependant, depuis trois ans que ces plaintes ont été déposées, aucune n’a encore conduit à une décision à l’encontre des GAFAM. Plus exactement, la DPC n’a encore soumis aucun projet de décision pour observations auprès des autres autorités concernées au sein du CEPD.

Le bon fonctionnement du guichet unique suppose une collaboration sincère et loyale entre les différentes autorités nationales. Certes, l’article 65 du RGPD permet aux autorités concernées de peser sur l’autorité cheffe de file. Ce texte organise la possibilité de lui demander de réviser son projet de décision, par le bais des objections pertinentes et motivées. Cependant, ce dispositif n’est applicable que si un tel projet de décision existe déjà, ce qui n’est le cas d’aucune des plaintes transmises jusqu’alors à l’autorité irlandaise.

Pour sa défense, la Data Protection Commission dublinoise argue du fait que les droits de la défense et le principe du contradictoire lui imposent de consulter le responsable du traitement à chaque étape de sa procédure nationale. Cependant, pour les associations plaignantes, il ne s’agit que de manœuvres purement dilatoires. La DPC a également fait un très large usage d’un autre mécanisme prévu par le RGPD, le « règlement amiable ». Elle a déjà utilisé cette procédure pour éteindre de nombreuses plaintes sans avoir à rédiger de décision préliminaire soumise au CEPD.

Récemment, l’APD irlandaise a également refusé d’être questionnée par le Parlement européen, et le silence de la Commission européenne, en charge de la bonne application des traités, est assourdissant devant cet état de fait.

Qu’a fait l’autorité de Hambourg dans l’affaire Whatsapp?

Face à ce blocage, certaines autorités nationales ont cherché d’autres voies pour tenter de peser directement sur le comportement des responsables de traitement, et notamment des GAFAM, sans dépendre de l’autorité irlandaise. C’est ainsi que la CNIL a récemment pu sanctionner plusieurs d’entre eux, non pas au titre du RGPD mais de la directive « e-Privacy ». En effet, cette lex specialis, qui vise à protéger la lecture et l’écriture de données (et donc de données personnelles) sur les équipements des usagers via un réseau public, n’est pas soumise au mécanisme de guichet unique.

En ce qui concerne le RGPD, la seule voie possible ne passant pas par le guichet unique est celle autorisée par l’article 66 du RGPD. Cet article permet en effet à une APD nationale de prendre des mesures d’urgence pour contraindre un responsable de traitement, lorsque le passage par le mécanisme de GU serait trop long. L’article 66 n’est cependant applicable que lorsque deux critères cumulatifs sont remplis : l’urgence et l’existence de circonstances exceptionnelles. Dans le cas de l’Autorité de Hambourg contre les nouvelles Conditions Générales d’Utilisation (CGU) de WhatsApp, ces deux arguments semblent cependant difficiles à mettre en œuvre. D’une part, la simple modification des CGU peut être difficilement assimilable à une circonstance exceptionnelle. D’autre part, la situation d’urgence semble également difficile à démontrer, alors que des transferts massifs de données hors de l’UE vers les États-Unis persistent de la part des GAFAM, et ceci en dépit de la décision « Schrems II » de la CJUE, qui a invalidé le « Privacy Shield » en 2015 (CJCE 16 juillet 2020).

Le mécanisme de guichet unique est donc fondé sur une bonne intention : permettre aux justiciables d’exercer facilement leurs droits auprès de leur autorité nationale, tout en organisant le traitement coordonné des plaintes entre APD. Il semble donc difficile d’envisager de le remplacer par un autre dispositif. Pourtant, après trois ans de RGPD et d’inaction de l’Irlande, on a de plus en plus de mal à croire Dublin de bonne foi dans ce domaine.

La Commission européenne prendra-t-elle ses responsabilités ?

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]En savoir plus…[/vcex_button]