Quand l’Autorité de protection des données irlandaise conteste la mise en œuvre du mécanisme de coopération prévu par le RGPD

07.02.2025

L’Autorité de protection des données irlandaise est sans nul doute l’autorité nationale qui est la plus à même de définir la politique européenne en matière de protection des données personnelles : les grandes entreprises de la tech ayant pour la plupart installé leur QG européen à Dublin, l’Autorité irlandaise est l’autorité cheffe de file pour les dossiers les plus sensibles (RGPD, art. 56, §1). Elle s’est pourtant souvent montrée en retrait. Il est alors crucial que le dernier mot ne lui revienne pas toujours. Le Comité européen de la protection des données (CEPD) et les autres autorités nationales ont heureusement un rôle à jouer. La décision du Tribunal de l’Union européenne (10e chambre élargie) publiée le 29 janvier 2025 est à cet égard importante.

En l’espèce, l’Autorité irlandaise, la Data Protection Commission, a demandé l’annulation partielle de décisions contraignantes prises le 5 décembre 2022 par le CEPD dans le cadre du contrôle sur Facebook, Instagram et WhatsApp (réseaux et app du groupe Meta). Ces décisions lui enjoignaient de conduire de nouvelles enquêtes sur les traitements de données liés à ces applications et de proposer de nouvelles décisions. Après les réclamations présentées par l’association présidée par Maximilian Schrems (NOYB), l’Autorité irlandaise avait présenté trois projets de décision aux autres autorités nationales, qui vues les entreprises contrôlées, étaient toutes concernées par les traitements de données en cause, suspectés de violer tant le principe de licéité (RGPD, art. 6) que les règles relatives aux données sensibles (RGPD, art. 9). Les projets de décisions étaient très cléments et plusieurs autorités nationales ont formulé des objections, estimant que l’autorité cheffe de file devait élargir ses investigations. Faute d’obtenir un consensus parmi les différentes autorités nationales, l’Autorité irlandaise a mis en place le mécanisme de contrôle de la cohérence (RGPD, art. 60, § 4) et saisi le CEPD. Celui-ci a adopté trois décisions contraignantes (RGPD, art. 65, § 1, a) après avoir estimé que certaines objections étaient justifiées, notamment celles relatives à la nécessité du consentement des utilisateurs. Le CEPD considérait en outre que l’Autorité irlandaise devait mener de nouvelles enquêtes sur les traitements de données effectués par Meta.

L’Autorité irlandaise a contesté devant le Tribunal de l’UE la compétence du CEPD pour lui imposer ces mesures. Après avoir écarté les demandes d’intervention du Contrôleur européen de la protection des données mais aussi de NOYB, le tribunal rejette les recours de l’Autorité irlandaise et la condamne aux dépens.

L’Autorité irlandaise faisait feu de tout bois pour démontrer que le CEPD n’avait pas compétence pour lui ordonner de mener de nouvelles enquêtes. Avec un certain cynisme, elle faisait valoir que la simplification résultant du guichet unique s’opposerait à la réouverture d’une enquête qui par hypothèse complique la tâche des personnes et retarde le règlement du dossier. Bien que le CEPD ait échoué à faire écarter certains arguments qui auraient été avancés tardivement, il voit sa compétence confortée par le tribunal.

L’Autorité irlandaise arguait notamment que la décision contraignante ne pouvait porter que sur les analyses effectuées dans le projet de décision de l’autorité de contrôle chef de file et communiqué aux autres autorités de contrôle concernées. Son raisonnement était le suivant : la possibilité pour le CEPD de prendre une décision contraignante suppose que les autorités de contrôle aient soulevé une objection pertinente et motivée, or cette objection doit porter sur le contenu du projet de décision et non sur ce qui n’y figure pas. Il s’agit, comme le dit le tribunal au point 35, d’une lecture restrictive du RGPD qu’il ne fait pas sienne : l’objection peut porter sur l’absence ou l’insuffisance d’analyse de l’autorité de contrôle chef de file de telle sorte que le CEPD peut enjoindre à l’autorité cheffe de file de combler ce manque d’analyse ou d’élargir l’enquête.

L’Autorité irlandaise questionnait également la procédure de coopération de l’article 60 du RGPD. Le dialogue entre l’autorité de contrôle cheffe de file et les autres autorités de contrôle concernées est enserré dans des délais brefs qui ne permettraient pas la réouverture de l’enquête. L’argument est écarté : ces délais ne concernent pas l’hypothèse où une nouvelle enquête est nécessaire, mais uniquement celle où le projet de décision peut aisément être amendé. Le tribunal précise que la procédure de coopération « n’est pas une procédure « à sens unique » dans laquelle les étapes s’enchaîneraient toujours dans l’ordre des dispositions qui les prévoient, sans possibilité de retour à une étape précédente ou de maintien temporaire au même stade ».

L’Autorité irlandaise affirmait encore qu’elle était exclusivement compétente pour définir le champ de l’enquête opérée à la suite d’une réclamation : le RGPD ne mentionne que le contrôle juridictionnel, ce qui devrait soustraire la décision aux mécanismes de coopération. Le tribunal écarte l’argumentation, afin d’assurer l’application cohérente du RGPD. Il convient « de retenir un champ d’analyse approprié du dossier au regard de la réclamation qui en est à l’origine, mais aussi au regard des autres éléments qui peuvent la compléter », éléments qui en cas de traitement de données transfrontaliers peuvent être fournis par d’autres autorités de contrôle concernées dans le cadre de la coopération loyale jugée indispensable (CJUE 15 juin 2021, Facebook Ireland e.a., aff. C-645/19, pts 63 et 64, Dalloz actualité, 30 juin 2021, obs. B. Bertrand ; D. 2021. 1189 ; ibid. 2022. 915, obs. S. Clavel et F. Jault-Seseke ; RTD eur. 2022. 394, obs. F. Benoît-Rohmer ; sur cet arrêt, v. F. Jault-Seseke, RTD eur. 2022. 81 ). Ce raisonnement permet aussi de désamorcer l’idée que les juridictions nationales seraient les mieux placées pour traiter des contestations liées à l’enquête. Toutefois, le juge national n’est pas disqualifié et il peut comme le CEPD avoir à se prononcer sur le champ de l’analyse et de l’enquête. Il est dès lors utile de coordonner leur action. Faisant un parallèle avec le droit de la concurrence et la mise en œuvre des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne qui a donné l’occasion à la Cour de justice d’intervenir (CJUE 28 févr. 1991, aff. C-234/89, D. 1991. 92 ; ibid. 1996. 53, chron. E. Gastinel ; RSC 1991. 774, obs. J.-C. Fourgoux ; RTD com. 1992. 296, obs. C. Bolze ; RTD eur. 1991. 485, note R. Kovar ; 14 déc. 2000, Masterfoods et HB, aff. C-344/98, D. 2001. 1863 , note J. C. Fourgoux ; RTD com. 2001. 547, obs. S. Poillot-Peruzzetto ; RTD eur. 2002. 103, chron. L. Idot ), le tribunal indique qu’il n’est pas exclu qu’un juge national estime préférable de surseoir à statuer en attendant une décision de l’entité européenne pour assurer dans une application cohérente des règles européennes. Indirectement, le tribunal suggère ainsi de laisser la préséance au CEPD.

Quant à l’encadrement des pouvoirs du CEPD, le tribunal le juge suffisant. Le fait que ses décisions soient prises par la majorité de ses membres, autorités indépendantes spécialisées, apporte des garanties quant à l’exercice de ces pouvoirs. La notion d’« objection pertinente et motivée », notion centrale dans la mise en place du mécanisme de cohérence, laisse place à une marge d’appréciation mais elle doit s’appuyer sur des règles juridiques ce qui exclut tout pouvoir discrétionnaire. Le tribunal relève aussi que le RGPD ne donne compétence au CEPD « qu’en cas d’insuffisance (…) de l’analyse de l’autorité de contrôle chef de file », insuffisance identifiée à la suite de l’appréciation collective des autorités nationales de contrôle. En outre, le tribunal rappelle que les décisions du CEPD peuvent être soumises à un contrôle de légalité devant le juge de l’Union.

Enfin le tribunal a été amené à écarter le grief d’atteinte à l’indépendance des autorités nationales. L’autorité nationale reste maîtresse de son calendrier. Il ne lui est pas imposé par le CEPD. Ce n’est qu’en cas d’urgence (RGPD, art. 66), ce qui est exceptionnel, que l’autorité nationale doit intervenir dans des délais contraints. En outre, l’indépendance des autorités ne signifie pas qu’elles agissent en dehors de tout contrôle. Le mécanisme de cohérence qui conduit à l’intervention du CEPD, qualifié de contrôleur des contrôleurs et lui-même indépendant, est précisément là pour assurer, sans préjudice du contrôle juridictionnel, l’application cohérente du RGPD.

In fine, les recours intentés par l’Autorité de protection des données irlandaise visaient à contester le mécanisme de coopération au cœur duquel se trouve le CEPD. On ne peut que regretter que l’autorité nationale ait dépensé tant d’énergie à critiquer les règles qui assurent l’application effective et cohérente du RGPD et qui contribuent à la diffusion du « Brussels effect » alors qu’en raison de sa position pivot, elle devrait donner l’exemple.

Trib. UE, 29 janv. 2025, aff. jtes T-70/23, T-84/23 et T-111/23