GDPR : Une loi sans autorité ? Le gendarme luxembourgeois de la protection des données refuse de montrer les dents aux entreprises américaines. noyb porte plainte devant les tribunaux
Aujourd'hui, noyb a déposé un recours contre deux décisions de l'autorité luxembourgeoise de protection des données (CNPD) devant le tribunal administratif de Luxembourg sur une question fondamentale : l'autorité a rejeté deux plaintes déposées contre des contrôleurs de données basés aux États-Unis, Apollo et RocketReach. La CNPD a explicitement confirmé que le règlement général sur la protection des données (RGPD) s'applique à ces entreprises non européennes. Toutefois, la CNPD a estimé qu'elle ne pouvait pas appliquer le GDPR à ces contrôleurs américains, malgré les nombreuses possibilités d'application au sein de l'UE. Ces décisions remettent fondamentalement en cause l'application du GDPR à toutes les entreprises étrangères sur le marché de l'UE - une promesse clé de la loi lors de son introduction en 2018.
- Lire les actes d'appel devant le tribunal administratif ici (Apollo FR) et ici (Rocktreach FR).
- Vous pouvez également lire une traduction automatique en anglais ici (Apollo) et ici (Rocketreach).
Plaintes initiales auprès de la CNPD. Le plaignant, un résident luxembourgeois, a découvert que ses données étaient traitées par Apollo et RocketReach, deux sociétés basées aux États-Unis qui collectent et commercialisent des données personnelles disponibles en ligne. Après avoir constaté cela, le plaignant a tenté d'exercer ses droits d'accès (article 15) et d'effacement (article 17) du GDPR, sans succès. Les deux responsables du traitement n'ayant pas répondu de manière adéquate à sa demande d'exercice de ses droits GDPR, le plaignant a déposé des plaintes contre Apollo et RocketReach auprès de la CNPD. Après plusieurs rappels de la part du plaignant, l'autorité luxembourgeoise de protection des données a rejeté la plainte au seul motif que les responsables du traitement n'avaient pas de représentant dans l'UE (ce qui constitue en soi une violation du GDPR) et que, par conséquent, aucune mesure d'exécution efficace ne pouvait être imposée à l'encontre de ces responsables du traitement. Aucune enquête matérielle n'a été menée et aucune décision n'a été prise.
Saper la portée internationale du GDPR. La décision de l'autorité luxembourgeoise de protection des données de rejeter les plaintes au seul motif que le responsable du traitement n'est pas établi dans l'UE compromet clairement l'application internationale du GDPR, qui était une promesse clé faite aux citoyens de l'UE lors de son introduction. La loi couvre explicitement toutes les entreprises qui opèrent sur le marché européen, quel que soit leur lieu d'établissement.
"Si les autorités chargées de la protection des données refusent d'appliquer le GDPR chaque fois qu'une entreprise n'est pas présente dans l'UE, cela ne ferait que donner le signal aux entreprises de rester à l'étranger pour contourner la loi... C'est la version GDPR de l'impunité" - Romain Robert, avocat à noyb.eu.
Application du GDPR. Même lorsqu'une entreprise n'est pas présente dans l'UE, il est tout à fait possible d'engager une procédure et de faire appliquer les dispositions du GDPR. Si une entreprise ne présente pas d'observations, elle renonce généralement à son droit d'être entendue. Il existe plusieurs voies procédurales pour faire appliquer une décision à l'encontre d'une entité étrangère : des outils traditionnels, tels que le gel des avoirs auprès de tiers (comme les banques ou les clients), aux approches plus modernes comme le blocage d'un site web. Les autorités chargées de la protection des données devraient utiliser toutes les possibilités offertes par leur législation nationale pour faire appliquer leurs décisions, au lieu de renoncer aux droits fondamentaux.
"La CNPD a le devoir de veiller à ce que les droits individuels prévus par le GDPR soient protégés. Elle a également les moyens de le faire pour les entreprises étrangères, depuis le gel des actifs dans l'UE jusqu'au blocage d'un service. L'application de la législation européenne aux entreprises et aux personnes qui ne coopèrent pas ou qui se cachent à l'étranger n'est pas une nouveauté pour les régulateurs et les tribunaux. Se cacher dans une autre juridiction est aussi vieux que les frontières. Il existe néanmoins des outils permettant de poursuivre une affaire. L'intérêt de saisir la justice aujourd'hui est de s'assurer que la CNPD utilisera effectivement ses pouvoirs d'exécution à l'avenir et ne rejettera plus une affaire au seul motif que l'exécution serait trop difficile ou trop lourde" - Catherine Warin, avocate représentant le noyb dans la procédure.
Accords de partenariat public-privé inactifs : Cette affaire montre que certaines autorités de protection des données s'endorment encore sur leurs obligations. Ils ne devraient pas s'en tirer et ne le feront pas. Ce pourrait être le début d'une série d'actions contre les autorités de protection des données qui restent inactives malgré le rôle crucial qu'elles jouent pour garantir le respect de la législation européenne en matière de protection des données. le noyb suivra de près ces affaires et veillera à l'application effective du GDPR par les DPA.
"La CNPD a explicitement confirmé que le GDPR était applicable à ces entreprises, mais a décidé de ne pas agir en affirmant qu'elle ne pouvait faire appliquer aucune décision. Le plaignant s'est donc retrouvé sans aucune procédure pour faire valoir ses droits fondamentaux. La CNPD a considéré qu'il était de son ressort de simplement rejeter un dossier. Heureusement, le GDPR prévoit que les individus doivent disposer d'un recours effectif et peuvent contester les décisions des DPA devant les tribunaux. Nous allons maintenant demander au tribunal de faire le travail que la CNPD a refusé de faire" - Romain Robert, avocat chez noyb.eu.
Mise à jour :
- 21 avril 2023 - le tribunal administratif (première instance) a déclaré l'affaire irrecevable pour défaut de qualité à agir.
- 28 novembre 2023 - la Cour administrative supérieure a donné raison à noyb. Elle a annulé la décision du 21 avril 2023 et considéré que le recours était recevable. Elle a renvoyé l'affaire devant le tribunal administratif de première instance, qui devait en dernier ressort rendre une décision.
- 24 septembre 2024 - le tribunal administratif a considéré que la CNPD avait illégalement ou abusivement décidé de ne pas poursuivre le traitement de la plainte. Il a renvoyé l'affaire à la CNPD pour qu'elle la traite.
- la CNPD n'a pas encore rendu de décision.
