|
DROIT JUDICIAIRE EUROPÉEN ET INTERNATIONAL
Compétence et exécution - Protection des personnes physiques à l'égard du traitement des données à caractère personnel - Action intentée par une autorité publique - Autorité de protection des données - Directive n° 95/46/CE du 24 octobre 1995 - Règlement n° 2016/679 du 27 avril 2016 - Règlement n° 1215/2012/UE du 12 décembre 2012 - Code de droit international privé - Champ d'application - Notion de « matière civile et commerciale » - Renvoi préjudiciel
L'arrêt de la Cour d'appel de Bruxelles du 8 mai 2019 constitue la quatrième décision, et dernière en date, d'une affaire qui oppose l'ancienne Commission de la protection de la vie privée (CPVP), désormais remplacée par l'Autorité de la protection des données (APD), au célèbre réseau social, Facebook. Tout comme son prédécesseur, l'APD estime que Facebook collecte de manière illicite les données personnelles des internautes situés en Belgique. Par conséquent, l'Autorité poursuit la procédure judiciaire initiée par la CPVP à l'encontre de Facebook et de ses filiales belges et irlandaises.
Dans les décisions antérieures, qu'il s'agisse de la procédure en référé ou de la procédure au fond, la CPVP a obtenu gain de cause en première instance. Cependant, Facebook a, à chaque fois, interjeté appel de la décision et obtenu qu'elle soit réformée. En effet, la Cour d'appel a, tant en référé que lors de la procédure au fond, estimé que les cours et tribunaux belges n'étaient, ni en vertu du droit international public, ni en vertu du droit international privé, compétents internationalement pour trancher les actions introduites par la CPVP à l'encontre de Facebook et de sa filiale irlandaise.
En ce qui concerne l'action initiée contre Facebook Belgium, la Cour d'appel avait, en référé, jugé que la demande ne remplissait pas la condition d'urgence. Dans la présente décision tranchant l'action au fond, la Cour d'appel a confirmé sa compétence à l'égard de la filiale belge, mais s'est arrêtée à l'examen de la recevabilité. En effet, la Cour estime qu'il existe un doute sur la possibilité pour l'autorité belge d'agir contre Facebook Belgium, compte tenu des nouvelles règles en matière de coopération entre les autorités nationales mises en place par le Règlement général sur la protection des données. La Cour d'appel de Bruxelles a donc eu, à ce sujet, recours au mécanisme de renvoi préjudiciel pour interroger la Cour de justice de l'Union européenne.
|
EUROPEES EN INTERNATIONAAL GERECHTELIJK RECHT
Bevoegdheid en executie- - Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Zaak aanhangig gemaakt door overheidsorgaan - Gegevensbescherminsgautoriteit - Richtlijn 95/46/EG van 24 october 1995 - Verordening 2016/679 van 27 april 2016 - Verordening van 12 december 2012 - Wetboek van Internationaal Privaatrecht - Werkingssfeer - Begrip “burgerlijke en handelszaken” - Prejudiciële verwijzing
Het arrest van het Hof van beroep te Brussel van 8 mei 2019 is de vierde en meest recente beslissing in een zaak tussen de voormalige Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), thans vervangen door de Gegevensbeschermingsautoriteit (GBA), en het bekende sociale netwerk Facebook. Net zoals zijn voorganger is GBA van mening dat Facebook op onrechtmatige wijze persoonsgegevens van in België gevestigde internetgebruikers verzamelt. De Autoriteit zet dan ook de gerechtelijke procedure verder die de CBPL tegen Facebook en haar Belgische en Ierse dochterondernemingen heeft aangespannen.
In eerdere beslissingen, zowel in kort geding als ten gronde, is de CBPL in eerste aanleg in het gelijk gesteld. Facebook heeft echter telkens beroep aangetekend tegen de beslissing en vervolgens de hervorming van de beslissing verkregen. Het Hof van Beroep heeft immers, zowel in het kortgeding als in de bodemprocedure, geoordeeld dat de Belgische hoven en rechtbanken noch op grond van het publiekrecht, noch op grond van het internationaal privaatrecht, internationaal bevoegd zijn om te oordelen over de vorderingen van de CBPL tegen Facebook en zijn Ierse dochteronderneming.
Met betrekking tot het beroep dat tegen Facebook Belgium werd ingesteld, had het Hof van Beroep in kort geding geoordeeld dat de vordering niet voldeed aan de voorwaarde van spoedeisendheid. In onderhavige beslissing ten gronde heeft het Hof van Beroep zijn bevoegdheid ten aanzien van de Belgische dochteronderneming bevestigd, maar het is niet verder gegaan dan onderzoek naar de ontvankelijkheid van het beroep ten gronde. Het Hof meent immers dat er onduidelijkheid bestaat of de Belgische overheid kan optreden tegen Facebook Belgium gelet op de nieuwe regels inzake samenwerking tussen nationale autoriteiten zoals ingevoerd door de Algemene Verordening Gegevensbescherming. Via het mechanisme van de prejudiciële verwijzing heeft het Hof van Beroep te Brussel zich daarom gewend tot het Hof van Justitie van de Europese Unie.
|
1.L'arrêt de la cour d'appel de Bruxelles commenté ci-après concerne un litige opposant l'Autorité belge de contrôle en matière de protection des données personnelles, à savoir l'Autorité de protection des données (ou APD) [2], anciennement la Commission de la protection de la vie privée (ou CPVP) [3], à la société américaine Facebook Inc. et à ses filiales belges et irlandaises. L'Autorité belge reproche à Facebook Inc., Facebook Ireland et Facebook Belgium d'être, conjointement, les auteurs d'une violation grave et de grande échelle des règles légales en matière de protection des données à caractère personnel. En effet, selon l'APD [4], qui s'appuie sur un rapport détaillé de la KULeuven et de la Vrije Universiteit Brussel [5], Facebook collecterait et utiliserait des données personnelles relatives au comportement de navigation des internautes situés en Belgique [6], sans en informer ces derniers et, a fortiori, en l'absence de leur consentement. Concrètement, Facebook place sur des sites internet appartenant à des tiers deux types de logiciels, des modules sociaux [7] et des pixels, qui à chaque connexion transmettent des informations, telles que le site consulté, le moment de la consultation et l'adresse IP de l'appareil utilisé par l'internaute. En parallèle, Facebook télécharge sur les appareils de chaque internaute consultant une page de son site internet différents cookies [8], qui eux aussi sont des logiciels, permettant de collecter des informations sur les habitudes de navigation. Par ces méthodes, Facebook recueille un nombre important d'informations à l'égard de l'ensemble des internautes situés en Belgique, qu'ils possèdent ou non un compte Facebook.
2.Estimant que la collecte de données personnelles effectuée par Facebook violait la loi belge en matière de protection des données [9], la CPVP décida, après l'adoption d'une recommandation à l'égard de Facebook [10], d'agir en justice à l'encontre du réseau social. Ce litige donna lieu, premièrement, à deux décisions lors de la procédure en référé et, en second lieu, à deux décisions lors de la procédure au fond.
3.Le tribunal de première instance de Bruxelles fut ainsi saisi en référé le 10 juin 2015, par le président de la CPVP. Ce dernier demanda au président du tribunal de première instance d'ordonner à Facebook Belgium, Facebook Ireland et Facebook Inc. la cessation de toute collecte illicite de données à l'égard des internautes sur le territoire belge ainsi que la suppression des données obtenues en violation de la loi sur la protection des données personnelles [11]. Le président du tribunal de première instance fit pleinement droit à la demande du président de la CPVP [12]. Cependant, l'ordonnance du président du tribunal de première instance fut réformée en appel par un arrêt du 29 juin 2016 [13]. La cour d'appel de Bruxelles jugea que les juridictions belges n'étaient pas compétentes à l'égard ni de Facebook Inc. ni de sa filiale irlandaise. Du reste, concernant Facebook Belgium, la cour d'appel considéra que l'urgence, au sens de l'article 584 du Code judiciaire, n'étant pas démontrée, la requête en référé de la CPVP à l'encontre de la filiale belge devait être déclarée non fondée.
4.Entre-temps, la procédure au fond avait débuté devant le tribunal de première instance de Bruxelles le 11 septembre 2015. Comme lors de la procédure en référé, le tribunal de première instance fit droit à la requête de la CPVP. Ainsi, par jugement du 16 février 2018 [14], Facebook fut enjoint, d'une part, de cesser la collecte illicite des données personnelles relatives aux internautes se trouvant sur le territoire belge, et, d'autre part, de détruire les données déjà obtenues illicitement.
Dans la procédure au fond, le tribunal de première instance de Bruxelles considéra donc, contrairement à la cour d'appel, que les cours et tribunaux belges étaient internationalement compétents pour trancher l'action intentée par la CPVP contre Facebook Inc., Facebook Ireland et Facebook Belgium. A cet égard, le tribunal de première instance écarta très vite l'application de toute règle de droit international privé [15], au profit d'un raisonnement mêlant des principes de droit international public, les articles 4 et 28 de la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après directive n° 95/46) et la jurisprudence de la Cour de justice de l'Union européenne (ci-après la Cour de justice ou la C.J.U.E.). Le tribunal jugea ainsi que la loi belge en matière de protection des données était applicable aux opérations de traitement de Facebook et, par conséquent, que la CPVP, en tant qu'autorité de contrôle, ou plus exactement son président, pouvait soumettre le litige en cause aux tribunaux belges. C'est précisément la partie de ce jugement sur la compétence, et singulièrement la compétence internationale des cours et tribunaux belges, qui fut, avec fruit, l'objet de la requête d'appel introduite par Facebook.
5.Dans la décision commentée ci-après, Facebook demande à la cour d'appel de réformer le jugement du tribunal de première instance faisant droit à la requête de la CPVP, en se déclarant incompétente ou, à titre subsidiaire, en déclarant la requête introduite en première instance par la CPVP, devenue désormais l'APD, irrecevable ou encore, à titre infiniment plus subsidiaire, en posant une question préjudicielle à la Cour de justice sur la possibilité de l'APD d'agir en justice contre Facebook, compte tenu de l'entrée en vigueur du règlement général sur la protection des données (ci-après le règlement ou RGPD).
6.Dans son arrêt, la cour d'appel distingue logiquement la question de la compétence internationale du juge belge (I.) et celle de la recevabilité de l'action de l'Autorité (II.) [16], avant de poser plusieurs questions préjudicielles à la Cour de justice (III.). Nous suivons le même ordre en distinguant, toutefois, dans la première section la question de la compétence de l'Autorité de celle des juridictions belges.
| I. | La compétence internationale de la cour d'appel à l'égard de Facebook et de ses filiales |
7.La cour d'appel se prononce, en premier lieu, sur sa compétence à l'égard de Facebook Belgium (A.) avant de trancher la même question concernant Facebook Inc. et Facebook Ireland (B.).
| A. | L'action dirigée contre Facebook Belgium |
8.La question de la compétence internationale à l'égard de Facebook Belgium a été tranchée de manière succincte par la cour d'appel. En effet, la cour a jugé que la requête étant introduite par une autorité belge, devant un juge belge et à l'encontre d'une société de droit belge, le litige n'était affecté d'aucun élément d'extranéité. Par conséquent, la juridiction d'appel s'est déclarée compétente pour connaître de ce litige [17].
9.A notre sens, l'absence d'élément d'extranéité suppose que les traitements des données litigieux, à savoir la collecte et les utilisations ultérieures, reprochés à Facebook se localisent sur le territoire belge. Or, il semble, notamment au vu des déclarations de Facebook, que cela ne soit pas le cas. Selon Facebook, sa filiale belge ne prend pas part au traitement des données des utilisateurs européens de Facebook [18], cette tâche étant confiée à Facebook Ireland. L'affirmation de la cour d'appel relative à l'absence d'élément d'extranéité est donc discutable. Si le fait litigieux, à savoir le traitement de données, est réellement effectué par Facebook en Irlande, le litige entre l'APD et Facebook Belgium serait, de fait, affecté d'un élément d'extranéité.
10.Cela ne signifie, cependant, pas que la cour d'appel de Bruxelles doive se déclarer incompétente. En effet, même si le traitement des données est réalisé en Irlande, il est possible que la cour d'appel puisse se déclarer compétente, notamment en vertu de la règle générale de droit international privé, contenue à la fois dans le Règlement Bruxelles Ibis [19] et le Code de droit international privé [20], selon laquelle les juridictions belges sont compétentes si le défendeur est domicilié sur le territoire belge. En l'espèce, lé défenderesse, à savoir Facebook Belgium, est bel et bien domicilié sur le territoire belge et peut donc être assigné devant le juge belge. Par ailleurs, c'est probablement cette règle à laquelle l'Autorité se réfère lorsqu'elle déclare, sans nuance, que les cours et tribunaux belges sont toujours compétents à l'égard des personnes morales de droit belge [21]. Le fait de souligner la présence d'un élément d'extranéité a, toutefois, pour conséquence de rendre, éventuellement, un autre juge européen compétent. Une option est alors ouverte au demandeur. A supposer que le traitement de données soit localisé en Irlande et qu'il s'agisse d'un fait dommageable pouvant être qualifié d'extracontractuel [22], le demandeur pourrait introduire son action devant le juge de l'Etat membre sur le territoire duquel se localise l'événement causal, en l'occurrence devant le juge irlandais [23].
| B. | L'action dirigée contre Facebook Inc. et Facebook Ireland |
11.Dans l'arrêt commenté, la cour d'appel traite, de manière simultanée et un peu confuse à notre sens, la question de la compétence internationale des cours et tribunaux belges et celle de la compétence de l'autorité de contrôle pour agir en justice à l'égard d'un responsable étranger. Il nous paraît plus clair de scinder ces deux questions [24] et d'examiner, en premier lieu, la compétence de l'autorité de contrôle belge à l'égard d'un responsable du traitement étranger, qui demeure incertaine au terme de cet arrêt (1.) et, en second lieu, la compétence internationale du juge belge, qui a été rejetée dans le présent arrêt par la cour d'appel, à propos des actions concernant Facebook Ireland et Facebook Inc. (2.).
| 1. La compétence de l'Autorité |
12.Sous l'empire de la directive n° 95/46, les autorités de contrôles nationales devaient disposer d'une série de pouvoirs, dont celui d'ester en justice [25]. La loi belge transposant la directive n° 95/46 prévoyait bien cette possibilité pour la CPVP [26]. Dans le litige qui nous occupe, la question est donc de savoir si pour les faits antérieurs à l'entrée en vigueur du RGPD, la CPVP pouvait bien exercer son pouvoir d'ester en justice pour agir à l'encontre de Facebook Inc. et Facebook Ireland.
13.Selon la jurisprudence de la Cour justice « lorsque le droit national de l'Etat membre dont relève l'autorité de contrôle est applicable (…) en raison du fait que le traitement en cause est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de cet Etat membre, cette autorité de contrôle peut exercer l'ensemble des pouvoirs qui lui sont conférés par ce droit a l'égard de cet établissement, et ce indépendamment du point de savoir si le responsable du traitement dispose d'établissements également dans d'autres Etats membres » [27] (nous soulignons). La CPVP pouvait donc assurément agir vis-à-vis de Facebook Belgium [28]. En revanche, à l'égard de Facebook Ireland et de Facebook Inc., la compétence de la CPVP demeure incertaine [29].
L'arrêt Weltimmo [30] ne permet pas d'apporter plus de certitude. Dans cet arrêt, la Cour de justice limite la compétence de l'autorité nationale de contrôle, notamment en matière de sanction, lorsque le droit applicable au traitement des données concernées est celui d'un Etat membre autre que l'état dont relève l'autorité de contrôle. Toutefois, la limitation ne concerne pas explicitement le pouvoir d'ester en justice, mais bien celui d'infliger directement une sanction administrative [31]. De surcroît, la limitation de compétence prévue par la Cour de justice dans l'affaire Weltimmo vise l'hypothèse d'une autorité nationale agissant à l'égard d'une situation dans laquelle, d'une part, le droit national d'un autre Etat membre est applicable, et, d'autre part, le responsable du traitement n'est pas établi sur le territoire de l'Etat dont l'autorité nationale en question relève [32].
14.En l'espèce, rien ne permet donc d'affirmer ou d'infirmer qu'une autorité nationale, lorsque le droit de l'état dont elle relève s'applique, puisse exercer l'ensemble de ses pouvoirs, à tout le moins celui d'ester en justice, à l'égard des établissements du responsable situés sur le territoire des autres Etats membres.
15.Si, pour les faits antérieurs au 25 mai 2018, la cour d'appel n'a pas examiné plus en détail cette question, c'est probablement parce que la requête concernant les faits de cette période, encore soumis au régime de la directive n° 95/46, ne satisfaisait pas, en droit judiciaire belge, au test de la recevabilité [33].
16.En revanche, pour les faits postérieurs au 25 mai 2018 [34], c'est le RGPD qui s'applique. Ce règlement apporte, sur ce point, une solution nouvelle qui n'est, toutefois, pas dépourvu d'ambiguïté. En effet, pour les traitements de données transfrontaliers [35], le RGPD met en place un système de guichet unique [36]. En vertu de ce système, une autorité de contrôle, celle de l'établissement principal ou de l'établissement unique du responsable du traitement, est désignée comme « autorité chef de file » et, c'est, selon l'article 56 du RGPD, cette autorité qui est compétente, en cas de traitement transfrontalier opéré par ledit responsable [37]. La même disposition ajoute que l'autorité chef de file est, pour le traitement transfrontalier, « le seul interlocuteur du responsable du traitement » [38]. Ce système de guichet unique est accompagné d'un mécanisme de coopération entre l'autorité de contrôle chef de file et les autorités de contrôle [39] et d'un mécanisme de contrôle de la cohérence [40]. Ces mécanismes obligent l'autorité chef de file à associer à sa prise de décision toutes les autorités nationales d'un Etat membre qui seraient également concernées par le traitement transfrontalier [41]. Au-delà de la compétence internationale des juridictions belges, la question que suscite le litige opposant l'APD à Facebook Ireland et à Facebook Inc. est de savoir si le système du guichet unique, accompagné du mécanisme de coopération entre autorités de contrôle et du mécanisme de contrôle de la cohérence, fait obstacle à ce que l'autorité belge assigne en justice Facebook Ireland et Facebook Inc., compte tenu du fait que l'autorité chef de file de Facebook dans l'Union européenne est l'autorité irlandaise [42].
| 2. La compétence internationale du juge belge |
17.Selon la cour d'appel, la compétence des cours et tribunaux belges, à tout le moins à l'égard du cas d'espèce, ne peut se déduire ni de l'application du droit belge au présent litige [43] ni de la compétence de l'autorité [44]. En effet, la cour d'appel juge que sa compétence ne peut être fondée qu'en vertu d'une base légale explicite [45].
18.Il faut souligner en l'espèce que l'APD, et avant elle la CPVP, n'agissent pas directement, en adoptant une mesure ou en imposant une sanction, à l'égard de Facebook. L'Autorité agit, ici, par voie judiciaire et demande donc au juge judiciaire d'adopter une mesure à l'égard de Facebook. Dans la première hypothèse, l'Autorité prend elle-même la décision et un recours est légalement prévu pour permettre au destinataire de contester cette décision devant le juge belge [46]. Dans la seconde hypothèse, celle qui nous occupe, la décision est prise par un juge qui doit, à cette fin, pouvoir fonder sa compétence.
19.Nous examinons ici l'application du principe de territorialité, en tant que principe de droit international public, invoqué à titre principal par l'APD comme fondement de la compétence du juge belge (a.). Par la suite, nous analysons le fondement subsidiaire, à savoir l'application des règles de droit international privé (b.).
| a. Le principe de territorialité comme fondement de la compétence |
20.L'APD postule, comme la CPVP en première instance, que les cours et tribunaux belges sont compétents à l'égard de Facebook Ireland et Facebook Inc. en vertu du principe, coutumier en droit international public, de la territorialité. Selon l'Autorité, le juge d'un état est de plein droit compétent tant à l'égard des personnes qui se trouvent sur le territoire de l'état dont relève ledit juge que des activités qui se déroulent ou qui produisent des effets sur ce même territoire. Par conséquent, selon l'APD, le juge belge est compétent à l'égard de Facebook Ireland et Facebook Inc. en raison des activités de ces derniers qui ont lieu, ou à tout le moins, produisent des effets en Belgique [47].
21.La cour d'appel rejette l'argument de l'Autorité et juge que la simple référence au principe de souveraineté et de territorialité ne suffit pas à rendre les juridictions belges compétentes en l'espèce [48]. Cette décision nous paraît être conforme au rôle du principe de territorialité. En effet, ce principe, en tant que tel, ne permet pas à un juge national, en l'absence de toute disposition légale, de fonder sa compétence mais, il constitue plutôt, avec d'autres principes de droit international relatif à la compétence des états, un cadre, plus ou moins accepté, entourant l'exercice des compétences étatiques [49]. Pour le dire autrement, les compétences d'un état « lui appartiennent en propre en sa qualité d'ordre juridique primaire, elles ne lui sont pas dévolues par un ordre juridique supérieur, en l'occurrence le droit international » [50]. Ceci étant, il est vrai que certains principes, dont le principe de territorialité, ont émergé en droit international et permettent aux états, sur la scène internationale, de justifier, le cas échéant, le bien-fondé de leur compétence [51].
22.Au surplus, quand bien même, le principe de territorialité, en tant que principe de droit international, pourrait être considéré comme attributif de compétence, l'argument de l'APD demeure insuffisant dans la mesure où l'Autorité n'identifie pas le fondement qui permettrait d'invoquer directement ce principe devant le juge national à l'encontre d'un particulier. L'aptitude d'une règle de droit international à être directement invocable devant le juge national, appelée l'effet direct, découle de l'intention des auteurs de ladite règle [52]. Pour cette raison, il est douteux qu'une règle coutumière puisse produire un tel effet [53]. Par conséquent, il est généralement question d'effet direct qu'en présence d'une règle conventionnelle, qui doit, en outre, remplir certains critères [54]. Force est de constater qu'il n'existe, en l'espèce, aucune règle conventionnelle suffisamment précise qui permettrait de fonder, comme le postule l'APD, la compétence internationale du juge belge sur le principe de territorialité.
| b. L'application du droit international privé |
23.A titre subsidiaire, si les règles de droit international privé devaient être applicables, l'APD avance que le juge belge devrait alors être compétent en vertu de l'article 96, 2°, du Code de droit international privé [55].
24.Facebook conteste l'application du droit international privé dès lors que selon le réseau social, l'Autorité agit dans le cadre de l'exercice de la puissance publique. L'action de l'Autorité tomberait, dès lors, hors du champ d'application du droit international privé. Par ailleurs, Facebook ajoute qu'en l'espèce l'APD exerce la puissance publique de manière horizontale, en ce sens qu'elle agit par l'entremise d'une action civile à l'encontre d'une personne de droit privé en vue de protéger des intérêts privés [56]. Facebook distingue ainsi l'exercice de la puissance publique selon qu'il est horizontal ou vertical. Par l'exercice vertical de la puissance publique, le réseau social vise les pouvoirs de police, ou de quasi-police, de l'Autorité, tels que les pouvoirs d'enquête ou le dépôt d'une plainte auprès du ministère public [57].
25.La cour d'appel reprend la distinction opérée par Facebook entre l'exercice de la puissance publique vertical et horizontal et confirme que l'APD agit afin de protéger un intérêt d'ordre privé [58]. De surcroît, la cour ajoute même que, contrairement au droit de la concurrence, la protection des données à caractère personnel se limite à protéger un intérêt privé [59]. Cette dernière affirmation est, toutefois, contestée en doctrine [60].
Par ailleurs, la cour d'appel estime que le fondement juridique initial de l'action, à savoir l'article 32, § 3, de la loi du 8 décembre 1992, ne confère aucun ius imperii à l'Autorité [61].
26.C'est à partir de là que le raisonnement de la cour d'appel devient plus difficile à suivre. La cour d'appel considère qu'en assignant Facebook devant le juge belge, l'APD exerce sa compétence de manière horizontale car elle intervient dans le cadre d'un rapport de droit privé entre deux particuliers en vue de protéger un intérêt privé et, ce sur la base d'une disposition qui ne lui confère pas de ius imperii. De cette situation, la cour d'appel conclut que, premièrement, le droit international public n'est pas applicable, à l'exception des lois de police et des règles d'ordre public (sic) [62] et, que, deuxièmement, le droit international privé européen, à savoir le Règlement Bruxelles Ibis [63], n'est pas non plus applicable [64]. En effet, selon la cour d'appel, l'action de l'APD échappe au champ d'application du Règlement Bruxelles Ibis car il constitue un acte « commis dans l'exercice de la puissance publique (acta jure imperii) » [65]. Ce constat contraste, toutefois, avec les observations que la cour a formulées plus tôt; selon les termes mêmes de la cour, l'APD intervient dans le cadre d'un rapport de droit privé en vue de protéger un intérêt privé et sur la base d'une disposition qui ne lui confère pas de ius imperii [66].
27.Comme le rappelle la cour d'appel, le champ d'application du Règlement Bruxelles Ibis est circonscrit à « la matière civile et commerciale » [67]. Cette notion, dont ni le contenu ni la portée n'est défini par le règlement, fait l'objet d'une interprétation autonome de la Cour de justice [68]. Toutefois, lors de la réforme du Règlement Bruxelles I, aboutissant à l'adoption du Règlement Bruxelles Ibis, le législateur européen a précisé que la matière civile et commerciale exclut les actes ou omissions « commis dans l'exercice de la puissance publique (acta jure imperii) » [69]. Cette précision ne fait que codifier la jurisprudence antérieure de la C.J.U.E. selon laquelle les litiges opposant une autorité publique à une personne de droit privé ne sont pas nécessairement exclus du champ d'application du Règlement Bruxelles Ibis. En effet, les dispositions du Règlement Bruxelles Ibis ne sont écartées que si l'autorité agit dans l'exercice de la puissance publique [70].
28.A cet égard, ni la distinction entre l'exercice vertical et horizontal de la puissance publique, ni même la nature de l'intérêt protégé ne sont, directement et en tant que telles, les critères décisifs utilisés par la Cour de justice de l'Union européenne pour déterminer si l'Autorité a agi dans l'exercice de la puissance publique. En effet, pour déterminer si les actes d'une autorité sont posés dans l'exercice de la puissance publique, la C.J.U.E. analyse deux éléments. D'une part, la Cour de justice a égard au rapport juridique existant entre les parties au litige, et, d'autre part, elle examine le fondement et les modalités d'exercice de l'action de l'Autorité [71].
En l'espèce, aucun élément dans l'arrêt de la cour d'appel ne permet d'affirmer que le rapport juridique entre l'Autorité et l'opérateur privé est marqué par une manifestation de puissance publique de la part de l'Autorité de la protection des données, en ce qu'elle exercerait des « pouvoirs exorbitants par rapport aux règles applicables dans les relations entre particuliers » [72]. Ainsi, l'Autorité n'a pas imposé de sanction directement exécutoire à l'encontre de Facebook [73]. Elle n'a pas non plus, au vu des faits mentionnés, obtenu des éléments de preuve « au moyen de prérogative de puissance publique », ce qui peut avoir « une incidence sur la nature des rapports juridiques » entre une autorité et une entité privée [74]. En outre, s'agissant du fondement de l'action, à savoir l'article 32, § 3, de la loi du 8 décembre 1992, la cour d'appel a jugé explicitement qu'il ne confère pas de ius imperii à l'Autorité de contrôle [75].
29.Au vu de ces éléments, il nous semble donc possible de considérer, à l'instar de la Cour de justice dans son arrêt Henkel, qu'en l'espèce « le litige au principal n'a pas pour objet une manifestation de la puissance publique, puisqu'il ne concerne aucunement l'exercice de pouvoirs exorbitants par rapport aux règles de droit commun applicables dans les relations entre particuliers. Au contraire, l'action pendante devant la juridiction de renvoi (…) vise (…) à soumettre au contrôle du juge des rapports de droit privé. Partant, une action de cette nature relève de la matière civile au sens de l'article 1er, 1., de la Convention de Bruxelles » [76].
| i. Le règlement Bruxelles Ibis |
30.A supposer, comme nous le présentons ci-avant, que l'action de l'Autorité ne constitue pas un acta jure imperii et, par conséquent, puisse entrer dans le champ d'application matériel du Règlement Bruxelles Ibis, le juge belge pourrait y trouver le fondement de sa compétence à l'égard de Facebook Ireland. En effet, outre la règle de compétence générale [77], le Règlement Bruxelles Ibis prévoit des compétences spéciales à la fois en matière contractuelle et extracontractuelle. Par analogie à l'arrêt Henkel [78], il faudrait, à notre sens, rattacher l'action de l'APD à la matière extracontractuelle, dès lors que l'action de l'Autorité est fondée directement sur une disposition légale et ne découle pas d'une relation contractuelle.
31.Ainsi, en matière de responsabilité extracontractuelle, le Règlement Bruxelles Ibis, en son article 7, 2., confère à la juridiction du lieu où le fait dommageable s'est produit, une compétente spéciale pour connaître du litige. Depuis l'arrêt Mine de Potasse [79], le demandeur agissant sur la base de l'article 7, 2., du Règlement Bruxelles Ibis, peut, à sa guise, introduire son action devant le juge soit du lieu de l'événement causal soit du lieu de la matérialisation du dommage. L'événement causal, se localisant a priori au lieu de l'établissement de Facebook où s'est opéré le traitement de données, à savoir Facebook Ireland, ne permet pas de rendre le juge belge compétent. Toutefois, la matérialisation du dommage devrait, elle, selon toute vraisemblance pouvoir se localiser en Belgique, puisque l'APD agit pour assurer la protection des données des internautes se situant sur le territoire belge [80].
32.Pareil raisonnement aurait, selon nous, pu justifier la compétence de la cour d'appel de Bruxelles à l'égard des prétendues violations reprochées à Facebook Ireland. Il convient, par ailleurs, de préciser que le Règlement Bruxelles Ibis, en ce compris son article 7, 2., ne pourrait fonder la compétence du juge belge à l'égard de la société de droit américaine, Facebook Inc. En effet, ledit règlement limite son champ d'application spatial au litige dont le défendeur est domicilié sur le territoire d'un Etat membre de l'Union européenne [81].
| ii. Le Code de droit international privé et les lois particulières |
33.Après avoir écarté l'applicabilité du Règlement Bruxelles Ibis et constaté l'absence d'une autre source internationale applicable, la cour d'appel a été amenée à examiner les règles belges de droit international privé afin d'apprécier la compétence éventuelle des cours et tribunaux belges.
34.En premier lieu, la cour remarque que le champ d'application matériel du Code de droit international privé et celui du Règlement Bruxelles Ibis sont susceptibles de différer [82]. Nonobstant le fait que les deux textes visent la matière civile et commerciale, il est vrai que, contrairement au Règlement Bruxelles Ibis, les dispositions du Code de droit international privé ne sont pas interprétées de manière autonome par la Cour de justice, cette dernière n'étant pas compétente pour interpréter le droit belge. Il n'est, en outre, pas fait référence au champ d'application du Règlement Bruxelles Ibis dans les travaux préparatoires du Code de droit international privé [83]. Par conséquent, il est, en effet, bel et bien possible que le champ d'application entre les deux instruments diffère.
35.Toutefois, la cour d'appel constate qu'aucun élément n'a été avancé par les parties, singulièrement par l'Autorité, justifiant qu'une interprétation différente de celle développée par la Cour de justice à l'égard du Règlement Bruxelles Ibis soit, en l'espèce, donnée aux termes « matière civile et commerciale » dans le Code de droit international privé [84]. Dès lors, on aurait pu s'attendre à ce que la cour d'appel écarte l'application du Code de droit international privé puisqu'elle a écarté le Règlement Bruxelles Ibis, estimant que le litige en l'espèce ne relevait pas de la matière civile et commerciale.
36.Cependant, dans la suite de son arrêt, la Cour examine plusieurs dispositions du Code belge de droit international privé comme fondement potentiel de sa compétence. Ainsi, en premier lieu, la cour évoque l'article 9 selon lequel « lorsque les juridictions belges sont compétentes pour connaître d'une demande, elles le sont également pour connaître d'une demande qui y est liée par un rapport si étroit qu'il y a intérêt à instruire et à juger celles-ci en même temps afin d'éviter des solutions qui pourraient être inconciliables si les causes étaient jugées séparément ». Toutefois, bien que la cour d'appel s'estime compétente pour connaître de la demande dirigée contre Facebook Belgium, elle juge que cette demande n'est pas liée par un rapport si étroit aux demandes concernant Facebook Ireland et Facebook Inc. qu'il y a un intérêt à les instruire et à les juger en même temps [85]. En deuxième lieu, la cour d'appel fait référence à l'article 11 qui confère, exceptionnellement, une compétence au juge belge pour autant que la demande introduite vise une situation présentant des liens étroits avec la Belgique et qu'une procédure à l'étranger se révèle, soit impossible, soit ne puisse être raisonnablement exigée. La cour constate, à cet égard, que la deuxième condition n'est pas satisfaite; il n'est pas démontré que l'introduction d'une procédure à l'étranger, la cour vise notamment l'Irlande, soit impossible ou ne puisse pas être raisonnablement exigée [86]. En troisième lieu, la cour se penche sur l'article 96, 2°, du Code de droit international privé [87], qu'elle met en parallèle avec l'article 7, 1., du Règlement Bruxelles Ibis. Néanmoins, elle considère que l'action de l'Autorité ne concerne pas une obligation qui découlerait d'un fait illicite et, en outre, qu'elle ne relève pas de la matière civile et commerciale de telle sorte qu'elle sort du champ d'application tant de l'article 96 du Code de droit international privé que du Règlement Bruxelles Ibis [88].
37.Enfin, au titre de loi particulière, la cour d'appel de Bruxelles a également examiné et écarté l'article 32, § 3, de la loi du 8 décembre 1992 [89], comme fondement de sa compétence internationale. La juridiction d'appel a estimé que cette disposition, si elle rendait bien compétent le président de la CPVP pour agir devant le tribunal de première instance, n'avait, toutefois, pas vocation à conférer aux juges belges une compétence internationale. Il n'a, par ailleurs, jamais été question dans l'arrêt commenté des articles 209, 211 et 212 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Pourtant ces dispositions, qui succèdent à l'article 32, § 3, de la loi du 8 décembre 1992, prévoient, en conformité avec l'article 6 de la loi du 3 décembre 2017 portant création de l'APD, la possibilité pour l'Autorité d'agir en cessation devant le tribunal de première instance. De surcroît, l'article 212 de la loi du 30 juillet 2018 contient une règle explicite de compétence internationale qui aurait pu, nous semble-t-il, constituer un fondement pour la compétence des cours et tribunaux belges [90].
38.La conclusion de la cour d'appel est donc qu'à l'égard de Facebook Ireland et Facebook Inc., les cours et tribunaux belges sont sans compétence internationale pour se prononcer sur la requête du demandeur initial en première instance, à savoir la CPVP, ou de son successeur en appel, l'APD [91].
| II. | La recevabilité de l'action de l'Autorité |
39.Au stade de la recevabilité, la cour d'appel n'examine plus que l'action dirigée contre Facebook Belgium, étant donné qu'elle s'est déclarée sans compétence internationale pour connaître des actions à l'encontre de Facebook Inc. et de Facebook Ireland. La cour débute son examen de la recevabilité par l'intervention volontaire à la procédure d'appel de la CPVP. La juridiction d'appel constate que c'est la Commission qui agit en tant que telle et, non pas, comme en première instance, son président. Cependant, comme l'observe la cour d'appel, la CPVP n'a pas de personnalité juridique et ne justifie pas, en l'espèce, sa capacité pour agir en justice à l'encontre de Facebook Belgium. Son intervention volontaire est donc déclarée irrecevable [92].
40.S'agissant de la recevabilité de l'action de l'APD contre Facebook Belgium, la cour d'appel distingue les faits reprochés à Facebook selon qu'ils sont antérieurs ou postérieurs à l'entrée en application du RGPD.
Pour les faits antérieurs au 25 mai 2018, la juridiction d'appel juge l'action de l'Autorité irrecevable [93]. Elle se base sur les articles 109 et 110 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données. Ces deux dispositions prévoient, à partir du 25 mai 2018, l'abrogation de l'article 32, § 3, de la loi du 8 décembre 1992, qui constitue le fondement de l'action à l'encontre de Facebook pour les faits s'étant déroulés jusqu'au 25 mai 2018. L'article 112 de la loi du 3 décembre 2017 met, toutefois, en place un régime transitoire en vertu duquel « les plaintes ou demandes encore pendantes auprès de l'Autorité de protection des données au moment de l'entrée en vigueur de la présente loi » (nous soulignons) sont traitées par l'Autorité de protection des données en tant que « successeur juridique de la Commission de la protection de la vie privée, selon la procédure applicable avant l'entrée en vigueur de la présente loi ». La cour d'appel estime, néanmoins, que cette disposition ne peut s'appliquer à l'action menée par l'Autorité à l'encontre de Facebook Belgium car il ne s'agit pas, ici, d'une action pendante auprès de l'Autorité, mais d'une action introduite par l'Autorité devant une juridiction et dirigée contre une tierce partie. Cette interprétation très stricte de l'article 112 de la loi du 3 décembre 2017 est lourde de conséquences puisqu'elle permet à Facebook d'échapper à toute condamnation, à tout le moins dans l'affaire commentée, pour les traitements de données antérieurs au 25 mai 2018. De manière générale, une telle interprétation rend de facto impossible, puisque dénuée de fondement légal, toute action intentée par l'Autorité devant les cours et tribunaux à l'encontre d'une infraction commise avant le 25 mai 2018.
41.Pour ce qui est de la recevabilité de l'action de l'APD aux opérations de traitement effectuées après le 25 mai 2018, Facebook prétend que l'Autorité ne dispose plus de la possibilité d'agir en justice à l'encontre d'un opérateur privé. Le réseau social se base sur l'absence d'effet direct de l'article 58, 5., du RGPD [94]. Cette disposition appelle sans aucun doute une mise en oeuvre de la part des Etats membres [95]. La Belgique a, semble-t-il, effectué cette opération dans la loi du 3 décembre 2017 qui confère à l'APD « le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données a caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives a la protection du traitement des données a caractère personnel, a l'attention des autorités judiciaires et, le cas échéant, d'ester en justice en vue de voir appliquer ces principes fondamentaux » [96]. En outre, la loi du 30 juillet 2018 prévoit aussi, et précise même, la possibilité pour l'APD d'agir en justice, au moyen d'une action en cessation, en cas de violation des dispositions légales ou réglementaires concernant la protection des données personnelles [97].
42.A cet égard, sans faire mention de la loi du 30 juillet 2018, la cour estime que la seule référence à l'article 6 de la loi du 3 décembre 2017 n'est pas suffisante [98]. Elle ajoute, selon elle, que les autorités de contrôle, autre que celle de l'établissement principal ou de l'établissement unique du responsable, ne sont compétentes pour traiter d'une réclamation ou d'une violation du RGPD que dans deux hypothèses; soit la violation concerne uniquement l'établissement localisé dans l'Etat membre dont l'autorité relève, soit la violation n'affecte sensiblement que des personnes concernées dans l'Etat membre auquel se rapporte l'autorité [99]. La cour d'appel reprend ainsi le point 2. de l'article 56 du RGPD [100] en considérant qu'il s'agit des deux seules hypothèses où l'Autorité, qui n'est pas le chef de file, peut agir dans le cadre d'un traitement transfrontalier. En d'autres termes, dès lors que l'APD ne peut être considérée comme l'autorité chef de file au sens du RGPD, la cour semble être d'avis qu'il ne revient pas, en l'espèce, à l'APD d'agir contre Facebook Belgium.
43.Toutefois, la cour d'appel laisse la question de la recevabilité de l'action intentée par l'Autorité à l'égard de Facebook Belgium en suspens [101]. Selon la juridiction d'appel, la réponse dépend de la possibilité pour l'Autorité d'agir contre Facebook Belgium, compte tenu de l'entrée en vigueur du RGPD et du mécanisme de coopération entre autorités nationales de contrôle. Par conséquent, pour trancher la recevabilité de l'action de l'Autorité, la cour d'appel de Bruxelles estime devoir attendre la réponse à la question préjudicielle posée à la C.J.U.E.
| III. | La décision de la cour et les questions préjudicielles |
44.Après avoir jugé, d'une part, que les cours et tribunaux belges sont sans compétence à l'égard de l'action dirigée contre Facebook Ireland et Facebook Inc., et, d'autre part, que l'action à l'égard de Facebook Belgium concernant les faits antérieurs au 25 mai 2018 est irrecevable, la cour d'appel déclare l'appel de Facebook Belgium, Facebook Ireland et Facebook Inc. recevable et, en grande partie, fondé. Seule l'action dirigée contre Facebook Belgium demeure pendante. A cet égard, la cour d'appel a décidé de poser plusieurs questions préjudicielles à la Cour de justice de l'Union européenne afin de savoir si l'APD pouvait introduire une action devant les cours et tribunaux belges en rapport avec un traitement transfrontalier, alors même qu'elle n'est pas l'autorité chef de file par rapport à ce traitement [102]. La cour d'appel souligne, par des questions supplémentaires, que le responsable, à savoir Facebook, n'a pas son établissement principal en Belgique, que l'APD agit à la fois contre un responsable du traitement dont l'établissement principal est situé à l'étranger et contre un établissement du responsable situé en Belgique et, enfin, que l'action a été introduite par l'Autorité avant l'entrée en application du RGPD.
45.La cour d'appel demande également si l'article 58, 5., du RGPD est de nature à produire un effet direct permettant à l'Autorité de fonder directement, sur cette disposition, une action en justice. Enfin, si ces questions devaient recevoir une réponse positive, la juridiction belge s'interroge sur l'effet que pourrait avoir sa décision sur une éventuelle procédure menée par l'autorité chef de file [103].
46.La première série de questions posées par la cour d'appel de Bruxelles consiste à se demander si l'article 56, 1., du RGPD, qui renvoie à l'article 60 du même règlement, rend formellement compétente l'autorité chef de file, à l'exclusion des autres autorités [104], pour exercer l'ensemble des pouvoirs conférés par l'article 58, en compris « le pouvoir de porter toute violation du présent règlement a l'attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement » [105].
47.Cette question est primordiale dans la coopération entre les autorités nationales de contrôle. Si une autorité peut, indépendamment de l'action de l'autorité chef de file, introduire une action en justice, cela risque de mettre à mal le système de coopération mis en place par le RGPD. De surcroît, comme l'anticipe la cour d'appel par sa dernière question, cela emporterait également le risque de voir apparaître deux ou plusieurs décisions, certes l'une de nature administrative et l'autre judiciaire, inconciliables relatives au même traitement de données.
48.Cela étant, quand bien même l'autorité chef de file serait la seule compétente pour introduire une action judiciaire en cas de traitement transfrontalier, le risque de décisions inconciliables n'en serait pas pour autant écarté. En effet, l'action des autorités de contrôle n'est pas la seule voie de mise en oeuvre des règles en matière de protection des données. Même si cela dépasse le cadre de ce litige, il convient de rappeler que les personnes concernées elles-mêmes [106] ainsi que les associations actives dans la protection des droits et libertés des personnes concernées [107] peuvent également agir en justice contre une entreprise qui ne respecterait pas, à leur égard, les règles en matière de protection des données personnelles et ce, quelle que soit l'autorité chef de file [108]. En fin de compte, si cette affaire permet de mettre en lumière la question de la coopération entre les autorités de contrôle au travers de leur possibilité d'agir en justice, elle soulève aussi, implicitement du moins, la question de la coordination entre les autorités nationales de contrôle et les juridictions judiciaires.
| [1] | Avocat au barreau de Bruxelles (Prioux Culot + Partners). L'auteur remercie le professeur Stephanie Francq pour sa relecture attentive. Toutes erreurs ou omissions sont nôtres. |
| [2] | L'Autorité de protection des données a été instituée par la loi du 3 décembre 2017 portant création de l'Autorité de protection des données (M.B., 10 janvier 2018, p. 989). Cette loi participe à la mise en oeuvre du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive n° 95/46/CE (règlement général sur la protection des données ou RGPD), J.O., L. 119, 4 mai 2016. |
| [3] | La Commission de la protection de la vie privée a été instituée par la loi du 8 décembre 1992 relative a la protection de la vie privée a l'égard des traitements de données a caractère personnel (M.B., 18 mars 1993, p. 5.801). Cette loi transposait la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (J.O.C.E., L. 281, 23 novembre 1995 (ci-après directive n° 95/46)). |
| [4] | Dans les décisions antérieures de cette affaire, la CPVP était la demanderesse à titre principal. Dans la présente procédure, c'est l'ADP qui, suite à l'entrée en vigueur de la loi précitée du 3 décembre 2017, est l'intimée à titre principal; elle a donc, devant la cour d'appel de Bruxelles, conclu tant pour des faits antérieurs à l'entrée en application du RGPD, que pour des faits postérieurs au 25 mai 2016. La CPVP est, elle, intervenue volontairement à la procédure devant la cour d'appel, en soutien de l'APD. |
| [5] | B. Van Alsenoy, V. Verdoodt, R. Heyamn, J. Ausloos, E. Wauters et G. Acar, From social media service to advertising network: A critical analysis of Facebook's Revised Policies and Terms, 25 août 2005. Ce rapport est disponible à l'adresse suivante www.law.kuleuven.be%2Fcitip%2Fen%2Fnews%2Fitem%2Ffacebooks-revised-policies-and-terms-v1-2.pdf&usg=AOvVaw0k6 7CkKpfag_j9Y154-1IG. |
| [6] | Facebook ne limite pas son traitement de données à ses seuls utilisateurs, le réseau social collecte également des données personnelles sur des internautes situés en Belgique qui ne sont pas inscrits sur le réseau social. |
| [7] | Sur les modules sociaux et la responsabilité du site tiers qui héberge un module social de Facebook, voy. le point V. in fine de l'arrêt commenté. Voy. égal. la récente décision de la Cour de justice de l'Union européenne (C.J.U.E., 29 juillet 2019, C-40/17, Fashion ID, ECLI:EU:C:2019:629). |
| [8] | Sur les cookies et le consentement des internautes, voy. not. le dernier arrêt en la matière de la Cour de justice de l'Union européenne (C.J.U.E., 1er octobre 2019, C-673/17, Planet49, ECLI:EU:C:2019:801). |
| [9] | Notamment parce que, préalablement à la collecte des données à caractère personnel, Facebook n'informe pas les personnes concernées de ladite collecte et, qu'en outre, Facebook procède à la collecte des données sans obtenir le consentement des personnes concernées même lorsque cette collecte n'est pas strictement nécessaire à l'exécution du service. |
| [10] | Recommandation n° 04/2015 du 13 mai 2015, complétée par la recommandation n° 03/2017 du 12 avril 2017. |
| [11] | En référé, n'étaient visés que les cookies. Ce n'est qu'au fond que la CPVP a inclus dans son action les modules sociaux et les pixels. |
| [12] | G. Dejemeppe, « Civ. Bruxelles (référé), 29 juin 2016, note d'observation », Revue du droit des technologies de l'information, 2016, n° 62, p. 91; Jugement TPI du 9 novembre 2015. |
| [13] | A. Custers et J.-F. Henrotte, « Bruxelles, 29 juin 2016, note d'observation », J.L.M.B., 2017, n° 26, p. 1255 ; G. Van Calster, « De rechtsmacht van de Belgische Gerechten tegen Facebook », Computerrecht, 2016, n° 6, pp. 357359. |
| [14] | Civ. Brussel (nl.), 16 février 2018. Le jugement est disponible sur le site de l'Autorité de protection des données (www.autoriteprotectiondonnees.be). |
| [15] | Ibid., § 12. |
| [16] | Ce commentaire se concentre principalement sur la question de la compétence internationale du juge belge et de l'Autorité. Toutefois, afin de rendre entièrement compte de la décision commentée, nous abordons également, mais brièvement, la recevabilité. |
| [17] | Voy. le point 1.1. de l'arrêt commenté. |
| [18] | Voy. le point 1.1. de l'arrêt commenté. |
| [19] | Art. 4, 1., du règlement (UE) n° 1215/2012 du Parlement européen et du Conseil concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (J.O., L. 351, 20 décembre 2012, p. 1) (ci-après le Règlement Bruxelles Ibis). |
| [20] | Art. 5 de la loi du 16 juillet 2004 portant le Code de droit international privé (M.B., 27 juillet 2004, p. 57.344) (ci-après Code de droit international privé). |
| [21] | Voy. le point 1.2. de l'arrêt commenté dans lequel l'APD soutient que « de Belgische hoven en rechtbanken kunnen jurisdictie uitoefenen ten aanzien van Facebook Belgium omdat zij steeds jurisdictie hebben ten aanzien van in België gevestigde rechtspersonen ». Cette affirmation pourrait également découler d'une lecture incomplète et erronée de l'art. 109 du Code de droit international privé. Cependant, et en toute hypothèse, une telle déclaration en l'absence de nuances ou de précisions est inexacte. |
| [22] | Concernant l'action de l'Autorité, s'il est fait application du Règlement Bruxelles Ibis pour déterminer la ou les juridiction(s) compétente(s) et, que, en outre, la règle générale du domicile du défendeur n'est pas invoquée au profit d'une des règles de compétences spéciales, il est vraisemblable que c'est la règle de conflit de juridictions relative à la matière extracontractuelle, à savoir l'art. 7, 2), qui devrait s'appliquer. En effet, dans pareil cas, l'autorité n'agit pas en vertu d'une relation contractuelle mais fonde directement son action sur une disposition législative, en l'occurrence l'art. 32, § 3, de la loi du 8 décembre 1992. Dans des conditions similaires, mais à l'égard d'une action introduite sur base d'une disposition législative par une association de défense des consommateurs, la Cour de justice a jugé que la compétence du juge national ne pouvait être déterminée sur base de la règle de conflit de juridictions relative à la matière contractuelle mais, en revanche, que la règle de conflit de juridictions en matière extracontractuelle était bien applicable. Voy. not. en ce sens, C.J.C.E., 1 octobre 2002, C-167/00, Henkel, EU:C:2002:555, pts. 39-41 et C.J.U.E., 28 juillet 2016, C-191/15, Verein für Konsumenteninformation, EU:C:2016:612, pts. 36-38. |
| [23] | Art. 7, 2., du Règlement Bruxelles Ibis. Voy. infra. |
| [24] | Ces deux questions ne se posent pas nécessairement ensemble. Il est tout à fait possible de s'interroger, comme l'a fait la Cour de justice dans les affaires Weltimmo et Fan page, uniquement sur la compétence de l'autorité sans forcément avoir égard à la compétence du juge, et vice versa. |
| [25] | Art. 28, 3., troisième tiret, de la directive n° 95/46. En réalité, une option était laissée aux Etats membres lors de la transposition de la directive n° 95/46. Ces derniers pouvaient attribuer à l'autorité nationale de contrôle le pouvoir d'ester en justice en cas de violation des règles nationales ou, si une telle attribution n'existait pas, les Etats membres devaient, à tout le moins, permettre à l'autorité de contrôle de porter ces violations a la connaissance de l'autorité judiciaire. |
| [26] | Art. 32, § 3, de la loi du 8 décembre 1992 relative a la protection de la vie privée a l'égard des traitements de données a caractere personnel. |
| [27] | C.J.U.E., 5 juin 2018, C-210/16, Fanpage, EU:C:2018:388, pt. 52. |
| [28] | La loi belge étant applicable selon l'art. 4 de la directive n° 95/46, tel qu'interprété par l'arrêt Google Spain, dès lors que le traitement en cause est effectué dans le cadre des activités de Facebook Belgium, qui se trouve être un établissement du responsable du traitement. |
| [29] | Dans son arrêt, la Cour ne se prononce, au sujet des compétences de l'autorité de contrôle, que vis-à-vis de l'établissement localisé sur le territoire de l'état dont relève l'autorité. En l'espèce, Facebook Belgium est le seul établissement du responsable du traitement situé sur le territoire de l'état, à savoir la Belgique, dont relève l'APD. |
| [30] | C.J.U.E., 1 octobre 2015, C-230/14, Weltimmo, EU:C:2015:639. |
| [31] | Ibid., pts. 55-56. |
| [32] | Ibid., pt. 60. |
| [33] | Voy. infra, nos 38-42. |
| [34] | Le 25 mai 2018, art. 99, 2., RGPD. |
| [35] | Aux termes de l'art. 4, 24), RGPD, il existe deux types de traitement transfrontalier. Le premier type de traitement transfrontalier est le traitement « qui a lieu dans l'Union dans le cadre des activites d'etablissements dans plusieurs Etats membres d'un responsable du traitement ou d'un sous-traitant lorsque le responsable du traitement ou le sous-traitant est etabli dans plusieurs Etats membres ». Le deuxième type de traitement transfrontalier est le traitement « qui a lieu dans l'Union dans le cadre des activites d'un etablis¬sement unique d'un responsable du traitement ou d'un sous-traitant, mais qui affecte sensiblement ou est susceptible d'affecter sensiblement des personnes concernees dans plusieurs Etats membres ». |
| [36] | Appelé aussi le système « one-stop-shop ». Voy. à ce sujet, parmi d'autres, J. Cheng, « How the best-laid plans go awry: the (unsolved) issues of applicable law in the General Data Protection Regulation », International Data Privacy Law, 2016, vol. 6, pp. 322-323. Voy. égal. à propos des premières difficultés pratiques du système du guichet unique, N. Vinocur « 'We have a huge problem': European regulator despairs over lack of enforcement - The world's toughest privacy law proves toothless in the eyes of many critics », Politico, 27 décembre 2019, disponible à l'adresse suivante: www.politico.eu/article/we-have-a-huge-problem-european-regulator-despairs-over-lack-of-enforcement/ (consulté le 29 décembre 2019). |
| [37] | Sur la désignation de l'autorité chef de file, voy. les lignes directrices du Groupe de Travail « Art. 29 » concernant la désignation d'une autorité de contrôle chef de file d'un responsable du traitement ou d'un sous-traitant (WP 244 rev.01), adopté le 13 décembre 2016 et révisé le 5 avril 2017. |
| [38] | Art. 56, 6., RGPD. |
| [39] | Art. 60 RGPD. |
| [40] | Art. 63 à 66 RGPD |
| [41] | L'art. 4, 22), RGPD, définit les hypothèses dans lesquelles une autorité de contrôle est concernée par un traitement transfrontalier. |
| [42] | La cour d'appel n'a, toutefois, pas soumis cette question à la Cour de justice de l'Union européenne car, en toutes hypothèses et donc même si l'APD était compétente, la cour d'appel a jugé que les cours et tribunaux belges, eux, n'étaient pas internationalement compétents pour juger d'une action introduite par l'APD à l'encontre de Facebook Inc. et Facebook Ireland. |
| [43] | Voy. le point 1.3.2.1.2. de l'arrêt commenté. |
| [44] | Voy. le point 1.3.2.1.3. de l'arrêt commenté. |
| [45] | D'après la cour d'appel de Bruxelles, cette exigence découle directement de l'art. 13 de la Consitution belge. Voy. le point 1.3.2.1.5. de l'arrêt commenté. |
| [46] | Une procédure de recours existe contre les décisions de la chambre contentieuse de l'Autorité de protection des données devant la Cour des marchés; art. 108, § 1er, de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données. |
| [47] | Voy. dans le point 1.3.1.1. de l'arrêt commenté, le premier moyen de l'Autorité de protection des données. |
| [48] | Voy. le point 1.3.2.1.6. de l'arrêt commenté. |
| [49] | Parmi d'autres, voy. à propos de ces principes, J. Klabbers, International Law, Cambridge, Cambridge University Press, 2013, pp. 91-92. |
| [50] | F. R igaux et M. Fallon, Droit international privé, Bruxelles, Larcier, 2005, p. 59. |
| [51] | J. Klabbers, o.c., pp. 91-92. L'auteur précise que « while international law allows domestic law to be based on any of these principles or a combination, it does not bind states. States are under no obligation, for instance, to accept the principle of universal jurisdiction ». |
| [52] | J. Klabbers, o.c., pp. 291-295; J. Verhoeven, « La notion d'applicabilité directe du droit international », R.B.D.I., 1980, pp. 255-256. |
| [53] | J. Klabbers, o.c., p. 293. A cet égard, l'auteur considère que « after all, customary law is not the result of any legislative or quasi-legislative intention; states make customary law through the aggregate of their activities, and while those activities themselves may be intentional, the resulting rule is not intentional in quite the same way. Consequently, it becomes incoherent to speak of the intention behind a customary rule to grant direct effect ». |
| [54] | J. Verhoeven, « La notion d'applicabilité directe du droit international », R.B.D.I., 1980, pp. 242-256 et plus particulièrement pp. 248-249. Voy. égal. sur la question de l'effet direct, R. Schütze, European Constitutional Law, Cambridge, Cambridge University Press, 2016, pp. 91-93. |
| [55] | Voy. le point 1.3.1.1. de l'arrêt commenté. |
| [56] | Voy. le point 1.3.1.2. de l'arrêt commenté. |
| [57] | Ibid. |
| [58] | Voy. le point 1.3.2.1.1. de l'arrêt commenté. |
| [59] | Ibid. |
| [60] | Pour une conception de la protection des données à caractère personnel protégeant également l'intérêt général, voy. not. Y. Poullet, « Consentement et RGPD : des zones d'ombre! », D.C.C.R., 2019, pp. 3-37 et, particulièrement, les références citées pp. 36-37. |
| [61] | Voy. le point 1.3.2.1.1. de l'arrêt commenté. |
| [62] | De manière très surprenante, la cour d'appel qualifie l'ordre public et les lois de police de notions de droit international public (« internationaal publiekrechtelijke concepten van 'ordre public' (openbare ordre) of 'lois de police' (dwingend recht) »). Or, il s'agit bel et bien de notions de droit international privé. Voy. parmi d'autres, F. Rigaux et M. Fallon, Droit international privé, o.c., not. pp. 136 et s. et 304 et s. |
| [63] | Règlement (UE) n° 1215/2012 du Parlement européen et du Conseil concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale (J.O., L. 351, 20 décembre 2012, p. 1) (ci-après le Règlement Bruxelles Ibis). |
| [64] | Voy. le point 1.3.2.1.1. de l'arrêt commenté, in fine. |
| [65] | Art. 1er, 1., Règlement Bruxelles Ibis. |
| [66] | Ibid. En d'autres termes, pour la cour d'appel de Bruxelles, l'exercice horizontal de la puissance publique est exclu du champ d'application du Règlement Bruxelles Ibis. |
| [67] | Art. 1er, 1., Règlement Bruxelles Ibis. Sur la notion de matière civile et commerciale, voy., parmi d'autres, F. Rigaux et M. Fallon, Droit international privé, o.c., pp. 24-25. |
| [68] | C.J.C.E., 15 mai 2003, C-266/01, Préservatrice foncière TIARD SA, EU:C:2003:282, pt. 20; C.J.U.E., 15 novembre 2018, C-308/17, Kuhn, EU:C:2018:911, pt. 32; C.J.U.E., 11 juin 2015, aff. jointes C-226/13, C-245/13, C-247/13 et C-578/13, Fahnenbrock e.a., EU:C:2015:383, pt. 35; C.J.U.E., 9 mars 2017, C-551/15, Pula Parking, EU:C:2017:193, pt. 33. |
| [69] | Art. 1er, 1., in fine, Règlement Bruxelles Ibis. |
| [70] | C.J.C.E., 15 mai 2003, Préservatrice foncière TIARD SA, o.c., pt. 22. |
| [71] | C.J.C.E., 15 mai 2003, Préservatrice foncière TIARD SA, o.c., pt. 23. |
| [72] | C.J.C.E., 15 février 2007, Lechouritou e.a., o.c., pt. 34; C.J.U.E., 11 juin 2015, Fahnenbrock e.a., o.c., pt. 51 ; C.J.U.E., Kuhn, 15 novembre 2018, o.c., pt. 35. |
| [73] | C.J.U.E., 9 mars 2017, C-551/15, Pula Parking, o.c., pt. 37; C.J.U.E., 28 juillet 2016, C-102/15, Siemens Aktiengesellschaft Österreich, EU:C:2016:607, pt. 34; C.J.U.E., 12 septembre 2013, C-49/12, Sunico e.a., EU:C:2013:545, pt. 39. Depuis l'entrée en application du RGPD, l'ADP peut, en effet, imposer une amende administrative, en vertu de l'art. 83 dudit règlement et de l'art. 101 de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données. Voy. comme exemple la décision de l'ADP du 17 septembre 2019, disponible sur le site de l'Autorité (www.gegevensbeschermingsautoriteit.be/sites/privacycom mission/files/documents/BETG06-2019_web.pdf#overlay-context=nieuws/de-gegevensbeschermingsautoriteit-berispt-de-fod-volksgezondheid). |
| [74] | C.J.U.E., 12 septembre 2013, C-49/12, Sunico e.a., EU:C:2013:545, pts. 42-43. L'ADP dispose bien de pouvoir d'enquête qui constitue des prérogatives de puissance publique. Voy. art. 58, 1., du RGPD et art. 66 et s. de la loi du 3 décembre 2017 portant création de l'Autorité de protection des données. |
| [75] | Voy. le point 1.3.2.1.1. de l'arrêt commenté. |
| [76] | C.J.C.E., 1er octobre 2002, Henkel, o.c., pt. 30. Même si l'affaire Henkel concernait l'action d'une association de défense des consommateurs, le passage de la Cour nous semble pouvoir également s'appliquer à l'affaire commentée. Voy. égal. sur l'assimilation d'une action d'un organisme public à celle d'une personne de droit privé dans le cadre de l'application des règles européennes de droit international privé: C.J.C.E., 14 novembre 2002, Baten, o.c., pts. 31-34; C.J.U.E., 12 septembre 2013, C-49/12, Sunico e.a., o.c., pts. 38-41; C.J.U.E., 11 avril 2013, C-645/11, Sapir e.a., o.c., pts. 35-38; C.J.U.E., 9 mars 2017, C-551/15, Pula Parking, o.c., pts. 34-38. |
| [77] | Art. 4, 1., Règlement Bruxelles Ibis. |
| [78] | C.J.C.E., 1 octobre 2002, Henkel, o.c., pts. 38-41. |
| [79] | C.J.C.E., 30 novembre 1976, n° 21/76, Mines de Potasse d'Alsace, EU:C:1976:166. |
| [80] | Sur la localisation de l'événement causal et de la matérialisation du dommage, au sens du Règlement Bruxelles Ibis, en matière de protection des données personnelles, voy. not. N. Michail, « Entre le RGPD et le Règlement Bruxelles Ibis: quel juge pour protéger nos données personnelles? », D.C.C.R., 2019, pp. 183-184 et 193. |
| [81] | Art. 6, 1., Règlement Bruxelles Ibis. |
| [82] | Voy. le point 1.3.2.2.4. de l'arrêt commenté. |
| [83] | Proposition de loi portant le Code de droit international privé, Développements, Doc. parl., Sénat, S.E. 2003, n° 3-27/1, pp. 25-26. Les travaux préparatoires font référence, pour le champ d'application matériel, à la loi suisse sur le droit international privé. |
| [84] | Voy. le point 1.3.2.2.4. de l'arrêt commenté. |
| [85] | Ibid. |
| [86] | Ibid. |
| [87] | L'art. 96, 2°, du Code de droit international privé prévoit que « les juridictions belges sont compétentes pour connaître de toute demande en matière d'obligations, outre dans les cas prévus par les dispositions générales de la présente loi, lorsque cette demande concerne une obligation dérivant d'un fait dommageable, a) si le fait générateur de l'obligation est survenu ou menace de survenir, en tout ou en partie, en Belgique; ou b) si et dans la mesure où le dommage est survenu ou menace de survenir en Belgique ». |
| [88] | Voy. le point 1.3.2.2.5. de l'arrêt commenté. |
| [89] | L'art. 32, § 3, de la loi du 8 décembre 1992 prévoit que « sans préjudice de la compétence des cours et tribunaux ordinaires pour l'application des principes généraux en matière de protection de la vie privée, le président de la Commission peut soumettre au tribunal de première instance tout litige concernant l'application de la présente loi et de ses mesures d'exécution ». |
| [90] | L'art. 212 de cette loi dispose que: « Sous réserve de l'application de dispositions contraires dans les traités internationaux en vigueur en Belgique ou dans le droit de l'Union européenne, et sans préjudice de leur compétence internationale en vertu des dispositions du Code de droit international prive, les cours et tribunaux belges ont la compétence internationale pour les affaires portées en vertu de l'article 209 de la présente loi contre: 1° un responsable du traitement ou un sous-traitant situe sur le territoire belge ou ayant un établissement, en ce qui concerne le traitement de données a caractère personnel dans le cadre des activités de cet établissement, quel que soit le lieu du traitement; 2° un responsable du traitement ou un sous-traitant qui n'est pas établi ou n'a pas un établissement sur le territoire belge, en ce qui concerne un traitement ayant des conséquences pour ou visant en tout ou en partie des personnes concernées résidant sur le territoire belge. » Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (M.B., 5 septembre 2018, p. 68.616). |
| [91] | Voy. le point 1.3.2.2.6. de l'arrêt commenté. |
| [92] | Voy. le point 3.1. de l'arrêt commenté. |
| [93] | Voy. le point 4.2. de l'arrêt commenté. |
| [94] | L'art. 58, 5., RGPD est ainsi formulé: « Chaque Etat membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement a l'attention des autorités judiciaires et, le cas échéant, d'ester en justice d'une manière ou d'une autre, en vue de faire appliquer les dispositions du présent règlement. » |
| [95] | Malgré la définition du règlement donnée par l'art. 288 du traité sur le fonctionnement de l'Union européenne, il est fréquent qu'une mise en oeuvre réglementaire, voire législative, soit nécessaire au niveau national pour que le règlement puisse s'appliquer. Voy. à ce sujet de manière générale, R. Král, « National normative implementation of EC regulations. An exceptional or rather common matter », European Law Review, 2008, pp. 243-256; R. Schütze, European Constitutional Law, Cambridge, Cambridge University Press, 2016, p. 92; A. Thysen, « L'application du droit communautaire: un aspect essentiel de sa mise en oeuvre », in L'application et le contrôle de l'application du droit communautaire par les administrations belges, Gent, Academia Press, 2003, pp. 16-17. Plus spécifiquement concernant la protection des données et le RGPD, voy. N. Michail, « Le domaine d'application du GDPR: de sa portée hors de l'Union à sa mise en oeuvre dans l'Union », R.D.C.- T.B.H., 2019, pp. 75-76. |
| [96] | Art. 6 de la loi du 3 décembre 2017. |
| [97] | Voy. supra, n° 37. Pour rappel, cette disposition n'a jamais été évoquée dans l'arrêt commenté. |
| [98] | Voy. le point 5.5. de l'arrêt commenté. |
| [99] | Voy. le point 5.9. de l'arrêt commenté. |
| [100] | L'art. 56, 2., RGPD dispose que: « par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d'elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l'Etat membre dont elle relève ou affecte sensiblement des personnes concernées dans cet Etat membre uniquement ». |
| [101] | La cour d'appel conditionne également l'action introduite par l'APD sur le fondement de l'art. 129 de la loi du 13 juin 2005 relative aux communications électroniques (M.B., 20 juin 2005, p. 28.070), aux réponses de la Cour de justice. Voy. le point 6. de l'arrêt commenté. |
| [102] | Voy. le point 5.7. de l'arrêt commenté. |
| [103] | Ibid. |
| [104] | Les autres autorités peuvent toutefois agir dans le cadre du mécanisme de coopération et de cohérence. |
| [105] | Art. 58, 5., RGPD. |
| [106] | Art. 79 RGPD. |
| [107] | Art. 80 RGPD. |
| [108] | A ce propos voy. not. N. Michail, « Entre le RGPD et le Règlement Bruxelles Ibis: quel juge pour protéger nos données personnelles? », D.C.C.R., 2019, pp. 176-195. |
