La Cour de justice de l’Union européenne renforce les pouvoirs des autorités nationales chargées de la protection des données personnelles

« Sous certaines conditions, une autorité nationale de contrôle peut exercer son pouvoir de porter toute prétendue violation du RGPD devant une juridiction d’un État membre, même si elle n’est pas l’autorité chef de file pour ce traitement », a estimé le 15 juin la Cour de justice de l’Union européenne (CJUE) dans le cadre d’une affaire concernant Facebook.

La CJUE était interrogée par la cour d’appel de Bruxelles dans le cadre d’une action intentée en 2015 contre Facebook par l’autorité belge de protection des données, afin de préciser l’application du mécanisme de « guichet unique » prévu par le Règlement général sur la protection des données (RGPD). En vertu de ce mécanisme, c’est l’autorité de protection des données irlandaise, pays dans lequel Facebook est établi au sein de l’UE, qui doit être saisie de toute éventuelle violation du RGPD et intenter les actions en justice.

Pour la CJUE, lorsqu’une autorité nationale qui n’est pas « chef de file » a intenté une action en justice avant l’entrée en vigueur du RGPD en 2018, « cette action peut être maintenue, en vertu du droit de l’Union », ce qui est le cas de figure belge.

Le communiqué est disponible ici.