Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») autorise, sous certaines conditions, une autorité nationale de contrôle qui n’est pas l’autorité chef de file pour le traitement transfrontalier, à exercer son pouvoir de porter en justice une allégation de violation de ce règlement (15 juin)
Arrêt Facebook Ireland e.a. (Grande chambre), aff. C-645/19
Saisie d’un renvoi préjudiciel par le Nederlandstalige rechtbank van eerste aanleg Brussel (Belgique), la Cour de justice de l’Union européenne rappelle que le RGPD prévoit un mécanisme de guichet unique organisant une répartition des compétences entre l’autorité de contrôle chef de file et les autres autorités nationales de contrôle dans le cadre des traitements transfrontaliers.Toutefois, une autorité de contrôle d’un Etat membre est autorisée, notamment lorsque l’autorité chef de file ne fournit pas les informations demandées dans le cadre d’une demande d’assistance mutuelle, à exercer son pouvoir. La Cour ajoute que cela n’implique pas que le responsable du traitement dispose d’un établissement sur le territoire de l’Etat membre auquel ladite autorité appartient. De plus, lorsqu’une autorité de contrôle nationale a intenté une action en justice concernant un traitement transfrontalier de données avant l’entrée en vigueur du RGPD, celle-ci peut être maintenue sur le fondement de la directive 94/46/CE laquelle demeure applicable pour les infractions commises avant son abrogation. En outre, l’article 58 §5 du RGPD qui prévoit que les Etats membres confèrent à leurs autorités de contrôle la capacité de porter une violation du règlement devant les autorités judiciaires est d’effet direct. (LT)