C’est un arrêt de la Cour de justice de l’Union européenne (CJUE) qui pourrait faire date. Le 15 juin la Cour a estimé que Facebook pouvait être poursuivi devant la justice d’un pays par l’autorité locale de protection des données. En France, la CNIL. Jusqu’ici, en cas de litige entre les régulateurs européens et les grandes entreprises technologiques sur le traitement de données transfrontaliers, c’était la règle du « guichet unique » qui s’appliquait.

Dans un souci d’harmonisation et pour éviter qu’une entreprise soit poursuivie dans chaque pays de l’Union européenne pour une même raison, ce système a été mis en place avec le RGPD, en 2018. Concrètement, en lien avec les autorités de tous les pays concernés par des plaintes, est désignée une « autorité cheffe de file ». Il s’agit de l’autorité où siège l’entreprise. Pour Facebook, Apple, Google, Twitter, il s’agit de l’Irlande.

À l’origine, une affaire de suivi des utilisateurs par Facebook en Belgique

La CJUE a été saisie à l’été 2019 par la cour d’appel de Bruxelles. Facebook était attaqué par le régulateur local pour faire cesser l’usage de cookies de suivi sans consentement des utilisateurs. Facebook avait fait valoir que seule l’autorité irlandaise était habilitée à se prononcer sur son traitement des données, c’est la question qu’a soumise la justice belge à la Cour.

La CJUE a tranché ce 15 juin 2021, estimant que, « sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute violation présumée du RGPD devant une juridiction d’un État membre, même si cette autorité n’est pas l’autorité de contrôle principale ».

Parmi ces conditions : suivre les procédures de coopération et de cohérence prévues par le RGPD, ainsi que les violations du règlement sur les données se soient bien produites dans le pays concerné. Elle n’en reste pas moins une remise en cause partielle du « guichet unique ».

Les premières réactions de l’industrie divergent

L’avocat général associé à Facebook, Jack Gilbert, ne semble pas l’entendre de cette oreille d’après un communiqué publié à la suite de la décision : « Nous sommes heureux que la CJUE ait confirmé la valeur et les principes du mécanisme de guichet unique, et a souligné son importance pour garantir l’application efficace et cohérente du RGPD dans l’ensemble de l’UE ».

D’après une déclaration relayée par Reuters, Alex Roure, directeur des politiques du lobby technologique Computer & Communications Industry Association (CCIA) Europe, est apparu beaucoup moins rassuré, « la conformité à la protection des données dans l’UE risque de devenir plus incohérente, fragmentée et incertaine. Nous demandons instamment aux autorités nationales d’être prudentes dans le lancement de procédures multiples qui affaibliraient la sécurité juridique et compliqueraient davantage la conformité à la protection des données dans l’UE ».

L’autorité irlandaise de protection des données mise en cause

L’autorité irlandaise est régulièrement critiquée par ses pairs européens depuis l’instauration du « guichet unique », à cause de son manque de moyen et de sa lenteur. Des difficultés guère étonnantes vu la concentration de grandes entreprises sur la place. Pour Monique Goyens, directrice générale du Bureau européen des unions de consommateurs (BEUC), un groupe de pression des consommateurs, « il ne devrait pas incomber à la seule autorité de ce pays de protéger 500 millions de consommateurs dans l’UE, surtout si elle ne relève pas le défi ».

La Commissaire de l’autorité de protection des données irlandaise, Helen Dixon avait déjà qualifié les accusations contre son autorité de « ridicule » en avril 2021. Elle avait mis en avant l’ouverture de près d’une trentaine d’enquêtes sur la vie privée concernant un certain nombre d’entreprises technologiques, dont neuf rien que pour Facebook, sans compter ses filiales WhatsApp et Instagram, Apple et Google.

L’arrêt de la Cour de justice de l’Union européenne n’a qu’entrouvert une porte conditionnée pour les régulateurs des pays du Vieux Continent. Ces derniers, dont la CNIL, en France, pourront, s’ils s’emparent de cette brèche, en profiter pour étendre leurs pouvoirs de sanctions sur les géants de la Tech.