RGPD: une loi sans autorité ? Le chien de garde de la protection des données du Grand-Duché du Luxembourg refuse de montrer ses dents aux entreprises américaines

25 Jan 2021

RGPD: une loi sans autorité ? Le chien de garde de la protection des données du Grand-Duché du Luxembourg refuse de montrer ses dents aux entreprises américaines

Aujourd'hui, noyb a déposé un recours contre deux décisions de l'autorité luxembourgeoise de protection des données (CNPD) devant le tribunal administratif de Luxembourg sur une question fondamentale: l'autorité a rejeté deux plaintes déposées contre des responsables de traitement basés aux États-Unis, Apollo et RocketReach. La CNPD a explicitement confirmé que le Règlement Général sur la Protection des Données (RGPD) s'applique à ces sociétés non-européennes. Toutefois, la CNPD a estimé qu'elle n’avait pas les pouvoirs de faire appliquer ses décisions sur le territoire américain (malgré les multiples possibilités d'exécution forcée au sein de l'UE). Ces décisions compromettent fondamentalement l'application du RGPD aux sociétés étrangères actives sur le marché de l'UE, une promesse-clé du lors de son introduction en 2018.  

Plaintes initiales à la CNPD. Le plaignant, un résident luxembourgeois, a découvert que ses données étaient traitées par Apollo et RocketReach, deux sociétés basées aux États-Unis qui collectent et commercialisent des données personnelles disponibles en ligne. Ayant constaté cela, le plaignant a tenté sans succès d'exercer ses droits d'accès (article 15 du RGPD) et d'effacement (article 17 du RGPD). Comme les deux responsables du traitement n'ont pas répondu de manière adéquate à sa demande, le plaignant a déposé plainte contre Apollo et RocketReach devant la CNPD. Après plusieurs rappels du plaignant, la DPA luxembourgeoise a rejeté la plainte au simple motif que les responsables du traitement n'avaient pas de représentant dans l'UE (ce qui est en soi une violation de la GDPR) et que, par conséquent, aucune mesure d'exécution efficace ne pouvait être imposée. Aucune enquête n'a été ouverte et aucune décision contre ces sociétés n'a été prise.

Atteinte à la portée internationale du RGPD. La décision de la DPA luxembourgeoise de rejeter les plaintes au seul motif que le contrôleur n'a pas de présence dans l'UE porte clairement atteinte à l'application internationale du GDPR, qui était une promesse-clé pour les citoyens de l'UE lors de son introduction. La loi couvre explicitement toutes les entreprises qui opèrent sur le marché européen, quel que soit leur lieu d'établissement.

« Si les autorités de protection des données refusaient de ne pas appliquer le RGPD à chaque fois qu'une entreprise n'est pas présente dans l'UE, cela enverrait le message qu’il suffit de rester à l'étranger pour contourner la loi... C'est une façon d’échapper à la justice tout en violant le RGPD » - Romain Robert, juriste senior chez noyb.

Faire respecter le GDPR. Même lorsqu'une entreprise n'est pas présente dans l'UE, il est parfaitement possible de mener une procédure et de faire appliquer les dispositions du RGPD. Si une entreprise ne présente pas ses observations, elle renonce simplement à son droit d'être entendue. Plusieurs voies procédurales existent pour faire appliquer une décision à l'encontre d'une entité étrangère : des outils traditionnels comme le gel des avoirs auprès de tiers (comme les banques ou les clients) jusqu’aux approches plus modernes comme le blocage d'un site web. Les autorités chargées de la protection des données devraient utiliser toutes les possibilités offertes par leur droit national pour faire appliquer leurs décisions, au lieu de renoncer devant les droits fondamentaux des citoyens.

« La CNPD a le devoir de veiller à ce que les droits prévus par le RGPD sont effectivement protégés. Elle a également les moyens de le faire à l’égard des entreprises étrangères, au moyen du gel des avoirs dans l'UE ou du blocage d'un service ou d’un site. L'application du droit européen aux entreprises et aux personnes qui ne coopèrent pas ou se cachent à l'étranger n'est pas une chose nouvelle pour les régulateurs et les juges. Se cacher dans un autre pays est aussi vieux que les frontières. Il existe néanmoins des outils permettant d’appliquer le droit dans de tels cas. L'intérêt d'aller devant les tribunaux est de s'assurer que la CNPD utilisera effectivement ses pouvoirs d'exécution à l'avenir et ne rejettera plus une affaire juste parce que l'exécution serait trop difficile ou trop lourde ». - Catherine Warin, avocate représentant noyb dans les deux procédures.

Des DPAs encore inactives. Cette affaire montre que certaines DPAs restent encore inactives. Cela ne peut être accepté. Ceci pourrait être le début d'une série d'actions contre les DPAs qui restent inactives, malgré le rôle crucial qu'elles jouent pour assurer le respect de la législation européenne sur la protection des données. noyb suivra de près ces affaires et contrôlera l'application effective de la GDPR par les DPAs.

« La CNPD a explicitement confirmé que la GDPR était applicable à ces entreprises, mais a décidé de ne pas agir en affirmant qu'elle n’avait pas les moyens de faire exécuter ses décisions. Le plaignant se retrouve ainsi sans aucune procédure pour faire valoir ses droits fondamentaux. La CNPD a estimé qu'il lui était possible de classer sans suite la plainte déposée. Heureusement, le RGPD prévoit que les particuliers doivent disposer d'un recours effectif et peuvent contester les décisions des DPAs devant les tribunaux. Nous allons maintenant demander au tribunal de faire le travail que la CNPD a refusé de faire ». - Romain Robert, juriste senior chez noyb.