ARRÊT DE LA COUR (grande chambre)
15 juin 2021 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de “guichet unique” – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d’ester en justice »
Dans l’affaire C‑645/19,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), par décision du 8 mai 2019, parvenue à la Cour le 30 août 2019, dans la procédure
Facebook Ireland Ltd,
Facebook Inc.,
Facebook Belgium BVBA
contre
Gegevensbeschermingsautoriteit,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice‑présidente, M. A. Arabadjiev, Mme A. Prechal, MM. M. Vilaras, M. Ilešič et N. Wahl, présidents de chambre, MM. E. Juhász, D. Šváby, S. Rodin, F. Biltgen, Mme K. Jürimäe, MM. C. Lycourgos, P. G. Xuereb et Mme L. S. Rossi (rapporteure), juges,
avocat général : M. M. Bobek,
greffier : Mme M. Ferreira, administratrice principale,
vu la procédure écrite et à la suite de l’audience du 5 octobre 2020,
considérant les observations présentées :
– pour Facebook Ireland Ltd, Facebook Inc. et Facebook Belgium BVBA, par Mes S. Raes, P. Lefebvre et D. Van Liedekerke, advocaten,
– pour la Gegevensbeschermingsautoriteit, par Mes F. Debusseré et R. Roex, advocaten,
– pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin ainsi que par Mme C. Pochet, en qualité d’agents, assistés de Me P. Paepe, advocaat,
– pour le gouvernement tchèque, par MM. M. Smolek, O. Serdula et J. Vláčil, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme G. Natale, avvocato dello Stato,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes A. C. Guerra, P. Barros da Costa et L. Medeiros, en qualité d’agents,
– pour le gouvernement finlandais, par Mmes A. Laine et M. Pere, en qualité d’agents,
– pour la Commission européenne, par MM. H. Kranenborg, D. Nardi et P. J .O. Van Nuffel, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 13 janvier 2021,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 55, paragraphe 1, des articles 56 à 58 et 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »).
2 Cette demande a été présentée dans le cadre d’un litige opposant Facebook Ireland Ltd, Facebook Inc. et Facebook Belgium BVBA, d’une part, à la Gegevensbeschermingsautoriteit (autorité de protection des données, Belgique) (ci-après l’« APD »), ayant succédé à la Commissie ter bescherming van de persoonlijke levenssfeer (Commission de la protection de la vie privée, Belgique) (ci-après la « CPVP »), d’autre part, au sujet d’une action en cessation intentée par le président de cette dernière et visant à faire cesser le traitement de données à caractère personnel des internautes sur le territoire belge, effectué par le réseau social en ligne Facebook, au moyen de cookies, de modules sociaux (social plug-ins) et de pixels.
Le cadre juridique
Le droit de l’Union
3 Les considérants 1, 4, 10, 11, 13, 22, 123, 141 et 145 du règlement 2016/679 énoncent :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [Charte] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[...]
(4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.
[...]
(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]
[...]
(22) Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l’Union. L’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. La forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard.
[...]
(123) Il y a lieu que les autorités de contrôle surveillent l’application des dispositions en vertu du présent règlement et contribuent à ce que cette application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter le libre flux de ces données dans le marché intérieur. À cet effet, les autorités de contrôle devraient coopérer entre elles et avec la Commission [européenne] sans qu’un accord doive être conclu entre les États membres sur la fourniture d’une assistance mutuelle ou sur une telle coopération.
[...]
(141) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. [...]
[...]
(145) En ce qui concerne les actions contre un responsable du traitement ou un sous-traitant, le demandeur devrait pouvoir choisir d’intenter l’action devant les juridictions des États membres dans lesquels le responsable du traitement ou le sous-traitant dispose d’un établissement ou dans l’État membre dans lequel la personne concernée réside, à moins que le responsable du traitement ne soit une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. »
4 L’article 3 de ce règlement, intitulé « Champ d’application territorial », prévoit, à son paragraphe 1 :
« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »
5 L’article 4 dudit règlement définit, à son point 16, la notion d’« établissement principal » et, à son point 23, celle de « traitement transfrontalier » comme suit :
« 16) “établissement principal”,
a) en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal ;
b) en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement ;
[...]
23) “traitement transfrontalier”,
a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou
b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ».
6 L’article 51 du même règlement, intitulé « Autorité de contrôle », prévoit :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union [...]
2. Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission conformément au chapitre VII.
[...] »
7 L’article 55 du règlement 2016/679, intitulé « Compétence », qui fait partie du chapitre VI de ce règlement, lui-même intitulé « Autorités de contrôle indépendantes », dispose :
« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.
2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable. »
8 L’article 56 dudit règlement, intitulé « Compétence de l’autorité de contrôle chef de file », énonce :
« 1. Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous‑traitant, conformément à la procédure prévue à l’article 60.
2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.
3. Dans les cas visés au paragraphe 2 du présent article, l’autorité de contrôle informe sans tarder l’autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.
4. Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3.
5. Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62.
6. L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous‑traitant. »
9 L’article 57 du règlement 2016/679, intitulé « Missions », dispose, à son paragraphe 1 :
« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
a) contrôle l’application du présent règlement et veille au respect de celui-ci ;
[...]
g) coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect ;
[...] »
10 L’article 58 du même règlement, intitulé « Pouvoirs », prévoit, à ses paragraphes 1, 4 et 5 :
« 1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :
a) ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions ;
[...]
d) notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement ;
[...]
4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte.
5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement. »
11 Sous le chapitre VII du règlement 2016/679, intitulé « Coopération et cohérence », la section I, intitulée « Coopération », comprend les articles 60 à 62 de ce règlement. Cet article 60, intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », dispose :
« 1. L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.
2. L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.
3. L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.
4. Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.
5. Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.
6. Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.
7. L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité [européen de la protection des données] de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.
8. Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.
9. Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. [...]
10. Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.
11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.
[...] »
12 L’article 61 dudit règlement, intitulé « Assistance mutuelle », énonce, à son paragraphe 1 :
« Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes. »
13 L’article 62 du même règlement, intitulé « Opérations conjointes des autorités de contrôle », prévoit :
« 1. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.
2. Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. [...]
[...] »
14 La section 2, intitulée « Cohérence », du chapitre VII du règlement 2016/679 comprend les articles 63 à 67 de ce règlement. Cet article 63, intitulé « Mécanisme de contrôle de la cohérence », est libellé comme suit :
« Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section. »
15 Aux termes de l’article 64, paragraphe 2, dudit règlement :
« Toute autorité de contrôle, le président du comité [européen de la protection des données] ou la Commission peuvent demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité [européen de la protection des données] en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle conformément à l’article 61 ou les obligations relatives aux opérations conjointes conformément à l’article 62. »
16 L’article 65 du même règlement, intitulé « Règlement des litiges par le comité », prévoit, à son paragraphe 1 :
« En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité [européen de la protection des données] adopte une décision contraignante dans les cas suivants :
a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file et que l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement ;
b) lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établissement principal ;
[...] »
17 L’article 66 du règlement 2016/679, intitulé « Procédure d’urgence », dispose, à ses paragraphes 1 et 2 :
« 1. Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité [européen de la protection des données] et à la Commission.
2. Lorsqu’une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d’urgence, elle peut demander un avis d’urgence ou une décision contraignante d’urgence au comité [européen de la protection des données], en motivant sa demande d’avis ou de décision. »
18 L’article 77 de ce règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit :
« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.
2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »
19 L’article 78 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », dispose :
« 1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.
3. Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.
4. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité [européen de la protection des données] dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée. »
20 L’article 79 du même règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous‑traitant », énonce :
« 1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.
2. Toute action contre un responsable du traitement ou un sous‑traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous‑traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. »
Le droit belge
21 La wet tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens (loi relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel), du 8 décembre 1992 (Belgisch Staatsblad, 18 mars 1993, p. 5801), telle que modifiée par la loi du 11 décembre 1998 (Belgisch Staatsblad, 3 février 1999, p. 3049) (ci-après la « loi du 8 décembre 1992 »), a transposé dans le droit belge la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
22 La loi du 8 décembre 1992 a créé la CPVP, un organisme indépendant ayant pour mission de veiller à ce que les données à caractère personnel soient traitées dans le respect de cette loi, de manière à préserver la vie privée des citoyens.
23 L’article 32, paragraphe 3, de la loi du 8 décembre 1992 disposait ce qui suit :
« Sans préjudice de la compétence des cours et tribunaux ordinaires pour l’application des principes généraux en matière de protection de la vie privée, le président de la [CPVP] peut soumettre au tribunal de première instance tout litige concernant l’application de la présente loi et de ses mesures d’exécution. »
24 La wet tot oprichting van de Gegevensbeschermingsautoriteit (loi portant création de l’autorité de protection des données), du 3 décembre 2017 (Belgisch Staatsblad, 10 janvier 2018, p. 989, ci-après la « loi du 3 décembre 2017 »), qui est entrée en vigueur le 25 mai 2018, a instauré l’APD en tant qu’autorité de contrôle, au sens du règlement 2016/679.
25 L’article 3 de loi du 3 décembre 2017 prévoit :
« Il est institué auprès de la Chambre des représentants une “Autorité de protection des données”. Elle succède à la [CPVP]. »
26 L’article 6 de la loi du 3 décembre 2017 dispose :
« L’[APD] a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice en vue de voir appliquer ces principes fondamentaux. »
27 Aucune disposition spécifique n’est prévue pour les procédures juridictionnelles déjà engagées par le président de la CPVP au 25 mai 2018 sur la base de l’article 32, paragraphe 3, de la loi du 8 décembre 1992. En ce qui concerne uniquement les plaintes ou demandes déposées auprès de l’APD elle-même, l’article 112 de la loi du 3 décembre 2017 énonce :
« Le chapitre VI ne s’applique pas aux plaintes ou demandes encore pendantes auprès de l’[APD] au moment de l’entrée en vigueur de la présente loi. Les plaintes ou demandes visées à l’alinéa 1er sont traitées par l’[APD], en tant que successeur juridique de la [CPVP], selon la procédure applicable avant l’entrée en vigueur de la présente loi. »
28 La loi du 8 décembre 1992 a été abrogée par la wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel), du 30 juillet 2018 (Belgisch Staatsblad, 5 septembre 2018, p. 68616, ci‑après la « loi du 30 juillet 2018 »). Cette dernière loi vise à mettre en œuvre dans le droit belge les dispositions du règlement 2016/679 imposant ou permettant aux États membres d’adopter des règles plus détaillées, en complément de ce règlement.
Le litige au principal et les questions préjudicielles
29 Le 11 septembre 2015, le président de la CPVP a intenté une action en cessation à l’encontre de Facebook Ireland, de Facebook Inc. et de Facebook Belgium devant le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles, Belgique). La CPVP n’étant pas dotée de la personnalité juridique, il incombait à son président d’intenter des recours afin de garantir le respect de la législation en matière de protection des données à caractère personnel. Toutefois, la CPVP elle‑même a demandé l’intervention volontaire dans la procédure engagée par son président.
30 Cette action en cessation avait pour objet de mettre un terme à ce que la CPVP décrit, notamment, comme une « violation grave et à grande échelle, par Facebook, de la législation en matière de protection de la vie privée » consistant en la collecte par ce réseau social en ligne d’informations sur le comportement de navigation tant des détenteurs d’un compte Facebook que des non-utilisateurs des services Facebook au moyen de différentes technologies, telles que les cookies, les modules sociaux (par exemple, les boutons « J’aime » ou « Partager ») ou encore les pixels. Ces éléments permettent au réseau social concerné d’obtenir certaines données d’un internaute consultant une page d’un site Internet les contenant, telles que l’adresse de cette page, l’« adresse IP » du visiteur de ladite page ainsi que la date et l’heure de la consultation concernée.
31 Par jugement du 16 février 2018, le Nederlandstalige rechtbank van eerste aanleg Brussel (tribunal de première instance néerlandophone de Bruxelles) s’est déclaré compétent pour statuer sur ladite action en cessation, en tant qu’elle visait Facebook Ireland, Facebook Inc. et Facebook Belgium, et a déclaré irrecevable la demande d’intervention volontaire présentée par la CPVP.
32 Sur le fond, cette juridiction a jugé que le réseau social concerné n’informait pas suffisamment les internautes belges de la collecte des informations concernées et de l’usage de ces informations. Par ailleurs, le consentement donné par les internautes à la collecte et au traitement desdites informations a été jugé non valable. Il a, dès lors, été enjoint à Facebook Ireland, à Facebook Inc. et à Facebook Belgium, premièrement, de cesser, à l’égard de tout internaute établi sur le territoire belge, de placer, sans son consentement, des cookies qui restent actifs pendant deux ans sur le dispositif qu’il utilise lorsqu’il navigue sur une page Internet du nom de domaine Facebook.com ou qu’il aboutit sur le site d’un tiers, ainsi que de placer des cookies et de collecter des données au moyen de modules sociaux, de pixels ou de moyens technologiques similaires sur les sites Internet de tiers, d’une façon excessive eu égard aux objectifs ainsi poursuivis par le réseau social Facebook, deuxièmement, de cesser de fournir des informations qui pourraient raisonnablement induire en erreur les personnes concernées quant à la portée réelle des mécanismes mis à disposition par ce réseau social pour l’utilisation des cookies et, troisièmement, de détruire toutes les données à caractère personnel obtenues au moyen de cookies et de modules sociaux.
33 Le 2 mars 2018, Facebook Ireland, Facebook Inc. et Facebook Belgium ont interjeté appel de ce jugement devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique). Devant cette juridiction, l’APD agit en tant que successeur légal tant du président de la CPVP, qui avait intenté l’action en cessation, que de la CPVP elle-même.
34 La juridiction de renvoi s’est déclarée uniquement compétente pour statuer sur l’appel interjeté en tant que celui-ci concerne Facebook Belgium. En revanche, elle s’est déclarée incompétente pour connaître de cet appel en ce qui concerne Facebook Ireland et Facebook Inc.
35 Avant de statuer sur le fond du litige au principal, la juridiction de renvoi se pose la question de savoir si l’APD dispose de la qualité et de l’intérêt à agir requis. Selon Facebook Belgium, l’action en cessation intentée serait irrecevable, en ce qui concerne les faits antérieurs au 25 mai 2018, dans la mesure où, à la suite de l’entrée en vigueur de la loi du 3 décembre 2017 et du règlement 2016/679, l’article 32, paragraphe 3, de la loi du 8 décembre 1992, constituant la base juridique permettant d’intenter une telle action, aurait été abrogé. S’agissant des faits postérieurs au 25 mai 2018, Facebook Belgium fait valoir que l’APD n’aurait pas de compétence et ne disposerait pas d’un droit d’intenter cette action compte tenu du mécanisme de « guichet unique » désormais prévu en application des dispositions du règlement 2016/679. En effet, sur la base de ces dispositions, seul le Data Protection Commissioner (Commissaire à la protection des données, Irlande) serait compétent pour intenter une action en cessation à l’encontre de Facebook Ireland, cette dernière étant la seule responsable du traitement des données à caractère personnel des utilisateurs du réseau social concerné dans l’Union.
36 La juridiction de renvoi a jugé que l’APD ne justifiait pas de l’intérêt à agir requis pour intenter cette action en cessation dans la mesure où cette dernière portait sur des faits antérieurs au 25 mai 2018. S’agissant des faits postérieurs à cette date, la juridiction de renvoi éprouve néanmoins des doutes concernant l’incidence de l’entrée en vigueur du règlement 2016/679, notamment de l’application du mécanisme de « guichet unique » que ce règlement prévoit, sur les compétences de l’APD ainsi que sur le pouvoir de cette dernière d’intenter une telle action en cessation.
37 En particulier, selon la juridiction de renvoi, la question qui se pose désormais est de savoir si, pour les faits postérieurs au 25 mai 2018, l’APD peut agir contre Facebook Belgium, dès lors que Facebook Ireland a été identifiée comme étant la responsable du traitement des données concernées. Depuis cette date et en vertu du principe de « guichet unique », il semblerait que, aux termes de l’article 56 du règlement 2016/679, seul le Commissaire à la protection des données serait compétent, sous le contrôle des seules juridictions irlandaises.
38 La juridiction de renvoi rappelle que, dans l’arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388), la Cour a jugé que l’« autorité de contrôle allemande » était compétente pour se prononcer sur un litige en matière de protection des données à caractère personnel, alors que le responsable du traitement des données concernées avait son siège en Irlande et que la filiale de celui-ci ayant son siège en Allemagne, à savoir Facebook Germany GmbH, s’occupait seulement de la vente d’espaces publicitaires et d’autres activités de marketing sur le territoire allemand.
39 Toutefois, dans l’affaire ayant donné lieu à cet arrêt, la Cour était saisie d’une demande de décision préjudicielle portant sur l’interprétation des dispositions de la directive 95/46, laquelle a été abrogée par le règlement 2016/679. La juridiction de renvoi se demande dans quelle mesure l’interprétation que la Cour a donnée dans ledit arrêt est encore pertinente en ce qui concerne l’application du règlement 2016/679.
40 La juridiction de renvoi mentionne également une décision du Bundeskartellamt (autorité fédérale de la concurrence, Allemagne), du 6 février 2019 (décision dite « Facebook »), dans laquelle cette autorité de la concurrence a, en substance, considéré que l’entreprise concernée abusait de sa position en concentrant des données provenant de différentes sources, ce qui, dorénavant, ne devrait plus pouvoir se faire qu’avec le consentement exprès des utilisateurs, étant entendu que l’utilisateur qui n’y consent pas ne peut être exclu des services Facebook. La juridiction de renvoi relève que, manifestement, ladite autorité de la concurrence s’est considérée comme étant compétente, malgré le mécanisme de « guichet unique ».
41 En outre, la juridiction de renvoi estime que l’article 6 de la loi du 3 décembre 2017, qui permet, en principe, à l’APD, le cas échéant, d’ester en justice, n’implique pas que l’action de celle-ci puisse, en toutes circonstances, être intentée devant les juridictions belges, puisque le mécanisme du « guichet unique » semblerait imposer qu’une telle action soit intentée devant le juge du lieu où le traitement des données est effectué.
42 Dans ces conditions, le hof van beroep te Brussel (cour d’appel de Bruxelles) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 55, paragraphe 1, les articles 56 à 58 et les articles 60 à 66 du [règlement 2016/679], lus en combinaison avec les articles 7, 8 et 47 de la [Charte], doivent-ils être interprétés en ce sens qu’une autorité de contrôle qui, en vertu d’une législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, est compétente pour ester en justice devant une juridiction de son État membre contre des infractions audit règlement, ne peut exercer cette compétence en ce qui concerne un traitement de données transfrontalier si elle n’est pas l’autorité de contrôle chef de file en ce qui concerne ce traitement de données transfrontalier ?
2) La réponse à la première question posée est-elle différente si le responsable dudit traitement de données transfrontalier n’a pas son établissement principal dans cet État membre mais y a un autre établissement ?
3) La réponse à la première question posée est-elle différente si l’autorité de contrôle nationale dirige son action en justice contre l’établissement principal du responsable du même traitement de données transfrontalier plutôt que contre l’établissement qui se trouve dans son propre État membre ?
4) La réponse à la première question posée est-elle différente si l’autorité de contrôle nationale avait déjà intenté l’action en justice avant la date à laquelle [le règlement 2016/679] est devenu applicable (le 25 mai 2018) ?
5) En cas de réponse affirmative à la première question posée, l’article 58, paragraphe 5, du règlement 2016/679 est-il d’effet direct, de telle sorte qu’une autorité de contrôle nationale peut s’appuyer sur cette disposition pour intenter ou reprendre une instance contre des particuliers, même si l’article 58, paragraphe 5, du règlement 2016/679 n’est pas transposé spécifiquement dans la législation des États membres, en dépit de l’obligation de le faire ?
6) En cas de réponse affirmative aux première à cinquième questions posées, l’issue de telles procédures pourrait-elle faire obstacle à une constatation en sens contraire de l’autorité de contrôle chef de file dans le cas où celle‑ci enquête sur les mêmes activités de traitement transfrontalières ou sur des activités similaires conformément au mécanisme prévu aux articles 56 et 60 du règlement 2016/679 ? »
Sur les questions préjudicielles
Sur la première question
43 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement 2016/679, lus en combinaison avec les articles 7, 8 et 47 de la Charte, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant d’un tel traitement de données.
44 À cet égard, il importe de rappeler, à titre liminaire, que, d’une part, à la différence de la directive 95/46, qui avait été adoptée sur le fondement de l’article 100 A du traité CE, concernant l’harmonisation du marché commun, la base juridique du règlement 2016/679 est l’article 16 TFUE, lequel consacre le droit de toute personne à la protection des données à caractère personnel et autorise le Parlement européen et le Conseil de l’Union européenne à fixer des règles relatives à la protection des personnes physiques à l’égard du traitement de ces données par les institutions, organes et organismes de l’Union, ainsi que par les États membres, dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation desdites données. D’autre part, le considérant 1 de ce règlement affirme que « [l]a protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental » et rappelle que l’article 8, paragraphe 1, de la Charte ainsi que l’article 16, paragraphe 1, TFUE prévoient le droit de toute personne à la protection des données à caractère personnel la concernant.
45 Par conséquent, ainsi qu’il découle de l’article 1er, paragraphe 2, du règlement 2016/679, lu conjointement avec les considérants 10, 11 et 13 de ce règlement, ce dernier impose aux institutions, aux organes et aux organismes de l’Union ainsi qu’aux autorités compétentes des États membres la tâche d’assurer un niveau élevé de protection des droits garantis à l’article 16 TFUE et à l’article 8 de la Charte.
46 En outre, ainsi que l’énonce le considérant 4 de ce règlement, celui-ci respecte tous les droits fondamentaux et observe les libertés et les principes reconnus dans la Charte.
47 C’est sur cette toile de fond que l’article 55, paragraphe 1, du règlement 2016/679 établit la compétence de principe de chaque autorité de contrôle pour exercer les missions et les pouvoirs dont elle est investie, conformément à ce règlement, sur le territoire de l’État membre dont elle relève (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 147).
48 Parmi les missions dont ces autorités de contrôle sont investies, figurent, notamment, celle de contrôler l’application du règlement 2016/679 et de veiller au respect de celui–ci, prévue à l’article 57, paragraphe 1, sous a), de ce règlement ainsi que celle de coopérer avec d’autres autorités de contrôle, y compris en partageant des informations, et de fournir une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente dudit règlement et des mesures prises pour en assurer le respect, prévue à l’article 57, paragraphe 1, sous g), du même règlement. Parmi les pouvoirs conférés auxdites autorités de contrôle en vue de poursuivre ces missions, figurent divers pouvoirs d’enquête, prévus à l’article 58, paragraphe 1, du règlement 2016/679, ainsi que le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice en vue de faire appliquer les dispositions dudit règlement, prévu à l’article 58, paragraphe 5, de ce dernier.
49 L’exercice de ces missions et pouvoirs présuppose toutefois qu’une autorité de contrôle dispose d’une compétence en ce qui concerne un traitement de données déterminé.
50 À cet égard, sans préjudice de la règle de compétence énoncée à l’article 55, paragraphe 1, du règlement 2016/679, l’article 56, paragraphe 1, de ce règlement prévoit, pour les « traitements transfrontaliers », au sens de l’article 4, point 23, de celui-ci, le mécanisme de « guichet unique », fondé sur une répartition des compétences entre une « autorité de contrôle chef de file » et les autres autorités de contrôle concernées. En vertu de ce mécanisme, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous‑traitant, conformément à la procédure prévue à l’article 60 dudit règlement.
51 Ce dernier article établit la procédure de coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées. Dans le cadre de cette procédure, l’autorité de contrôle chef de file est notamment tenue de s’efforcer de rechercher un consensus. À cette fin, conformément à l’article 60, paragraphe 3, du règlement 2016/679, elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.
52 Il résulte plus particulièrement des articles 56 et 60 du règlement 2016/679 que, pour les « traitements transfrontaliers », au sens de l’article 4, point 23, de celui-ci, et sous réserve de l’article 56, paragraphe 2, de ce règlement, les différentes autorités de contrôle nationales concernées doivent coopérer, selon la procédure prévue à ces dispositions, afin de parvenir à un consensus et à une décision unique, qui lie l’ensemble de ces autorités et dont le responsable du traitement doit assurer le respect en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Par ailleurs, l’article 61, paragraphe 1, dudit règlement oblige les autorités de contrôle notamment à se communiquer les informations utiles ainsi qu’à se prêter mutuellement assistance en vue de mettre en œuvre et d’appliquer le même règlement de façon cohérente dans l’ensemble de l’Union. L’article 63 du règlement 2016/679 précise que c’est dans ce but qu’est prévu le mécanisme de contrôle de la cohérence, établi aux articles 64 et 65 de celui-ci [arrêt du 24 septembre 2019, Google (Portée territoriale du déréférencement), C‑507/17, EU:C:2019:772, point 68].
53 L’application du mécanisme de « guichet unique » exige dès lors, comme le confirme le considérant 13 du règlement 2016/679, une coopération loyale et efficace entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées. De ce fait, ainsi que M. l’avocat général l’a relevé au point 111 de ses conclusions, l’autorité de contrôle chef de file ne peut ignorer les points de vue des autres autorités de contrôle concernées et toute objection pertinente et motivée formulée par l’une de ces dernières autorités a pour effet de bloquer, à tout le moins temporairement, l’adoption du projet de décision de l’autorité de contrôle chef de file.
54 Ainsi, conformément à l’article 60, paragraphe 4, du règlement 2016/679, lorsque l’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée, une telle objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63 de ce règlement, en vue d’obtenir du comité européen de la protection des données une décision contraignante, adoptée sur le fondement de l’article 65, paragraphe 1, sous a), dudit règlement.
55 En vertu de l’article 60, paragraphe 5, du règlement 2016/679, lorsque l’autorité de contrôle chef de file entend en revanche suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée à l’article 60, paragraphe 4, de ce règlement dans un délai de deux semaines.
56 Conformément à l’article 60, paragraphe 7, dudit règlement, c’est à l’autorité de contrôle chef de file qu’il incombe en principe d’adopter une décision s’agissant du traitement transfrontalier concerné, de la notifier à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et d’informer les autres autorités de contrôle concernées et le comité européen de la protection des données de la décision en question, y compris en communiquant un résumé des faits et des motifs pertinents.
57 Cela étant relevé, il importe de souligner que le règlement 2016/679 prévoit des exceptions au principe de la compétence décisionnelle de l’autorité de contrôle chef de file dans le cadre du mécanisme de « guichet unique » prévu à l’article 56, paragraphe 1, dudit règlement.
58 Parmi ces exceptions figure, en premier lieu, l’article 56, paragraphe 2, du règlement 2016/679, qui prévoit qu’une autorité de contrôle qui n’est pas l’autorité de contrôle chef de file est compétente pour traiter une réclamation introduite auprès d’elle et qui concerne un traitement transfrontalier de données à caractère personnel ou une infraction éventuelle à ce règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.
59 En second lieu, l’article 66 du règlement 2016/679 prévoit, par dérogation aux mécanismes de contrôle de la cohérence visés aux articles 60 et 63 à 65 de ce règlement, une procédure d’urgence. Cette procédure d’urgence permet, dans des circonstances exceptionnelles, lorsque l’autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et les libertés des personnes concernées, d’adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois, l’article 66, paragraphe 2, du règlement 2016/679 prévoyant de surcroît que, lorsqu’une autorité de contrôle a pris une mesure en vertu du paragraphe 1 et estime que des mesures définitives doivent être adoptées d’urgence, elle peut demander un avis d’urgence ou une décision contraignante d’urgence au comité européen de la protection des données, en motivant sa demande d’avis ou de décision.
60 Cependant, cette compétence des autorités de contrôle doit être exercée dans le respect d’une coopération loyale et efficace avec l’autorité de contrôle chef de file, conformément à la procédure visée à l’article 56, paragraphes 3 à 5, du règlement 2016/679. En effet, dans ce cas de figure, en application de l’article 56, paragraphe 3, de ce règlement, l’autorité de contrôle concernée doit informer sans tarder l’autorité de contrôle chef de file, laquelle, dans un délai de trois semaines suivant le moment où elle a été informée, décide si elle traitera ou non le cas.
61 Or, en vertu de l’article 56, paragraphe 4, du règlement 2016/679, si l’autorité de contrôle chef de file décide de traiter le cas, la procédure de coopération prévue à l’article 60 de ce règlement s’applique. Dans ce contexte, l’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision et cette dernière doit tenir le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3, dudit règlement.
62 En revanche, en application de l’article 56, paragraphe 5, du règlement 2016/679, si l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62 de ce règlement, lesquels exigent des autorités de contrôle le respect de règles d’assistance mutuelle et de coopération dans le cadre d’opérations conjointes, en vue d’assurer une coopération efficace entre les autorités concernées.
63 Il découle de ce qui précède que, d’une part, en matière de traitement transfrontalier de données à caractère personnel, la compétence de l’autorité de contrôle chef de file pour adopter une décision constatant qu’un tel traitement méconnaît les règles relatives à la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel figurant dans le règlement 2016/679 constitue la règle, tandis que la compétence des autres autorités de contrôle concernées pour adopter une telle décision, même à titre provisoire, constitue l’exception. D’autre part, si la compétence de principe de l’autorité de contrôle chef de file est confirmée à l’article 56, paragraphe 6, du règlement 2016/679, aux termes duquel l’autorité de contrôle chef de file est le « seul interlocuteur » du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, cette autorité doit exercer une telle compétence dans le cadre d’une coopération étroite avec les autres autorités de contrôle concernées. En particulier, l’autorité de contrôle chef de file ne saurait s’affranchir, dans l’exercice de ses compétences, ainsi qu’il a été relevé au point 53 du présent arrêt, d’un dialogue indispensable ainsi que d’une coopération loyale et efficace avec les autres autorités de contrôle concernées.
64 À cet égard, il ressort du considérant 10 du règlement 2016/679 que ce dernier vise notamment à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union et de lever les obstacles aux flux de données à caractère personnel au sein de celle-ci.
65 Or, un tel objectif et l’effet utile du mécanisme de « guichet unique » pourraient être compromis si une autorité de contrôle qui n’est pas, s’agissant d’un traitement de données transfrontalier, l’autorité de contrôle chef de file pouvait exercer le pouvoir prévu à l’article 58, paragraphe 5, du règlement 2016/679 en dehors des cas dans lesquels elle est compétente pour adopter une décision telle que visée au point 63 du présent arrêt. En effet, l’exercice d’un tel pouvoir vise à aboutir à une décision de justice contraignante, laquelle est tout autant susceptible de porter atteinte à cet objectif ainsi qu’à ce mécanisme qu’une décision prise par une autorité de contrôle qui n’est pas l’autorité de contrôle chef de file.
66 Contrairement à ce que soutient l’APD, la circonstance qu’une autorité de contrôle d’un État membre qui n’est pas l’autorité de contrôle chef de file ne puisse exercer le pouvoir prévu à l’article 58, paragraphe 5, du règlement 2016/679 que dans le respect des règles de répartition des compétences décisionnelles prévues, en particulier, aux articles 55 et 56 de ce règlement, lus conjointement avec l’article 60 de ce dernier, est conforme aux articles 7, 8 et 47 de la Charte.
67 D’une part, en ce qui concerne l’argumentation tirée d’une prétendue méconnaissance des articles 7 et 8 de la Charte, il y a lieu de rappeler que cet article 7 garantit à toute personne le droit au respect de sa vie privée et familiale, de son domicile et de ses communications, tandis que l’article 8, paragraphe 1, de la Charte, tout comme l’article 16, paragraphe 1, TFUE, reconnaît explicitement à toute personne le droit à la protection des données à caractère personnel la concernant. Or, il découle, en particulier, de l’article 51, paragraphe 1, du règlement 2016/679 que les autorités de contrôle sont chargées de surveiller l’application de ce règlement, notamment afin de protéger les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Il s’ensuit que, conformément à ce qui a été exposé au point 45 du présent arrêt, les règles de répartition des compétences décisionnelles entre l’autorité de contrôle chef de file et les autres autorités de contrôle, prévues dans ce règlement, sont sans préjudice de la responsabilité incombant à chacune de ces autorités de contribuer à un niveau élevé de protection de ces droits, dans le respect de ces règles ainsi que des exigences de coopération et d’assistance mutuelle rappelées au point 52 du présent arrêt.
68 Cela signifie, en particulier, que le mécanisme de « guichet unique » ne saurait en aucun cas aboutir à ce qu’une autorité de contrôle nationale, en particulier l’autorité de contrôle chef de file, n’assume pas la responsabilité qui lui incombe en vertu du règlement 2016/679 de contribuer à une protection efficace des personnes physiques contre des atteintes à leurs droits fondamentaux rappelés au point précédent du présent arrêt, sous peine d’encourager la pratique d’un forum shopping, notamment de la part des responsables de traitement, visant à contourner ces droits fondamentaux et l’application effective des dispositions de ce règlement les mettant en œuvre.
69 D’autre part, en ce qui concerne l’argumentation tirée d’une prétendue méconnaissance du droit à un recours effectif, garanti à l’article 47 de la Charte, elle ne saurait davantage être retenue. En effet, l’encadrement, exposé aux points 64 et 65 du présent arrêt, de la possibilité pour une autorité de contrôle autre que l’autorité de contrôle chef de file d’exercer le pouvoir prévu à l’article 58, paragraphe 5, du règlement 2016/679, s’agissant d’un traitement transfrontalier de données à caractère personnel, est sans préjudice du droit reconnu à toute personne, à l’article 78, paragraphes 1 et 2, de ce règlement, de former un recours juridictionnel effectif, notamment contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ou contre l’absence de traitement d’une réclamation qu’elle a introduite par l’autorité de contrôle disposant de la compétence décisionnelle en vertu des articles 55 et 56 dudit règlement, lus conjointement avec l’article 60 de ce dernier.
70 Tel est, en particulier, le cas de l’hypothèse énoncée à l’article 56, paragraphe 5, du règlement 2016/679, en vertu de laquelle, ainsi qu’il a été relevé au point 62 du présent arrêt, l’autorité de contrôle qui a donné l’information sur le fondement de l’article 56, paragraphe 3, de ce règlement, peut traiter le cas conformément aux articles 61 et 62 de celui‑ci, si l’autorité de contrôle chef de file décide, après en avoir été informée, qu’elle ne le traitera pas elle‑même. Dans le cadre d’un tel traitement, il ne saurait d’ailleurs être exclu que l’autorité de contrôle concernée puisse, le cas échéant, décider d’exercer le pouvoir que lui confère l’article 58, paragraphe 5, du règlement 2016/679.
71 Cela étant précisé, il importe de souligner que l’exercice du pouvoir d’une autorité de contrôle d’un État membre de s’adresser aux juridictions de son État ne saurait être exclu lorsque, après avoir requis l’assistance mutuelle de l’autorité de contrôle chef de file, en vertu de l’article 61 du règlement 2016/679, cette dernière ne lui fournit pas les informations demandées. Dans ce cas de figure, en vertu de l’article 61, paragraphe 8, de ce règlement, l’autorité de contrôle concernée peut adopter une mesure provisoire sur le territoire de l’État membre dont elle relève et, si elle estime que des mesures définitives doivent être adoptées d’urgence, cette autorité peut, conformément à l’article 66, paragraphe 2, dudit règlement, demander un avis d’urgence ou une décision contraignante d’urgence au comité européen de la protection des données. En outre, en vertu de l’article 64, paragraphe 2, du même règlement, une autorité de contrôle peut demander que toute question d’application générale ou produisant des effets dans plusieurs États membres soit examinée par le comité européen de la protection des données en vue d’obtenir un avis, en particulier lorsqu’une autorité de contrôle compétente ne respecte pas les obligations relatives à l’assistance mutuelle mises à sa charge à l’article 61 de celui-ci. Or, à la suite de l’adoption d’un tel avis ou d’une telle décision, et pour autant que le comité européen de la protection des données y soit favorable après avoir pris en compte l’ensemble des circonstances pertinentes, l’autorité de contrôle concernée doit pouvoir prendre les mesures nécessaires aux fins d’assurer le respect des règles relatives à la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel figurant dans le règlement 2016/679 et, à ce titre, exercer le pouvoir que lui confère l’article 58, paragraphe 5, de ce règlement.
72 En effet, le partage de compétences et de responsabilités entre les autorités de contrôle repose nécessairement sur la prémisse d’une coopération loyale et efficace entre ces autorités ainsi qu’avec la Commission afin d’assurer l’application correcte et cohérente de ce règlement, ainsi que l’article 51, paragraphe 2, de celui-ci le confirme.
73 En l’occurrence, il appartiendra à la juridiction de renvoi de déterminer si les règles de répartition des compétences ainsi que les procédures et les mécanismes pertinents prévus par le règlement 2016/679 ont été correctement appliqués dans le cadre de l’affaire au principal. En particulier, il lui incombera de vérifier si, bien que l’APD ne soit pas l’autorité de contrôle chef de file dans cette affaire, le traitement concerné, dans la mesure où il vise des comportements du réseau social en ligne Facebook postérieurs au 25 mai 2018, relève notamment de la situation visée au point 71 du présent arrêt.
74 À cet égard, la Cour observe que, dans son avis 5/2019 du 12 mars 2019, relatif aux interactions entre la directive « vie privée et communications électroniques » et le [règlement général sur la protection des données], en particulier en ce qui concerne la compétence, les missions et les pouvoirs des autorités de protection des données, le comité européen de la protection des données a déclaré que l’enregistrement et la lecture de données à caractère personnel au moyen de cookies relevaient du champ d’application de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201), p. 37), et non pas du mécanisme de « guichet unique ». En revanche, toutes les opérations antérieures et les activités ultérieures de traitement de ces données à caractère personnel au moyen d’autres technologies relèvent bien du champ d’application du règlement 2016/679 et, par conséquent, du mécanisme de « guichet unique ». Étant donné que sa demande d’assistance mutuelle concernait ces opérations ultérieures de traitement des données à caractère personnel, l’APD a demandé au mois d’avril 2019 au Commissaire à la protection des données de donner suite à sa demande le plus rapidement possible, demande qui serait restée sans réponse.
75 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement 2016/679, lus en combinaison avec les articles 7, 8 et 47 de la Charte, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.
Sur la deuxième question
76 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’ester en justice, au sens de cette disposition, requiert que le responsable du traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un « établissement principal », au sens de l’article 4, point 16, du règlement 2016/679, sur le territoire de cet État membre ou bien d’un autre établissement sur ce territoire.
77 À cet égard, il importe de rappeler que, aux termes de l’article 55, paragraphe 1, du règlement 2016/679, chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément à ce règlement sur le territoire de l’État membre dont elle relève.
78 L’article 58, paragraphe 5, du règlement 2016/679 prévoit, en outre, le pouvoir de chaque autorité de contrôle de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de son État membre et, le cas échéant, d’ester en justice, en vue de faire appliquer les dispositions dudit règlement.
79 Or, il y a lieu de relever que l’article 58, paragraphe 5, du règlement 2016/679 est formulé en des termes généraux et que le législateur de l’Union n’a pas subordonné l’exercice de ce pouvoir par une autorité de contrôle d’un État membre à la condition que l’action de cette dernière soit intentée contre un responsable du traitement disposant d’un « établissement principal », au sens de l’article 4, point 16, de ce règlement, ou d’un autre établissement sur le territoire de cet État membre.
80 Cependant, une autorité de contrôle d’un État membre ne peut exercer le pouvoir que lui confère l’article 58, paragraphe 5, du règlement 2016/679 que s’il est établi que ce pouvoir relève du champ d’application territorial de ce règlement.
81 L’article 3 du règlement 2016/679, qui régit le champ d’application territorial de ce règlement, prévoit à cet égard, à son paragraphe 1, que celui-ci s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
82 À ce titre, le considérant 22 du règlement 2016/679 précise qu’un tel établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable et que la forme juridique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard.
83 Il en résulte que, conformément à l’article 3, paragraphe 1, du règlement 2016/679, le champ d’application territoriale de ce règlement est déterminé, sous réserve des hypothèses visées aux paragraphes 2 et 3 de cet article, par la condition que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier dispose d’un établissement sur le territoire de l’Union.
84 Il y a lieu, dès lors, de répondre à la deuxième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.
Sur la troisième question
85 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, requiert que l’autorité de contrôle concernée dirige son action en justice contre l’établissement principal du responsable du traitement ou bien contre l’établissement qui se trouve dans son propre État membre.
86 Il ressort de la décision de renvoi que cette question est soulevée dans le cadre d’un débat entre les parties portant sur le point de savoir si la juridiction de renvoi est compétente pour examiner l’action en cessation en tant qu’elle est intentée à l’encontre de Facebook Belgium, compte tenu du fait que, d’une part, au sein de l’Union, le siège social du groupe Facebook est situé en Irlande et que Facebook Ireland est le responsable exclusif de la collecte et du traitement des données à caractère personnel pour l’ensemble du territoire de l’Union et, d’autre part, en vertu d’une répartition interne à ce groupe, l’établissement situé en Belgique aurait été créé, à titre principal, pour permettre audit groupe d’entretenir des relations avec les institutions de l’Union et, à titre accessoire, pour promouvoir les activités publicitaires et de marketing du même groupe destinées aux personnes résidant en Belgique.
87 Ainsi qu’il a été relevé au point 47 du présent arrêt, l’article 55, paragraphe 1, du règlement 2016/679 établit la compétence de principe de chaque autorité de contrôle pour exercer les missions et les pouvoirs dont elle est investie, conformément à ce règlement, sur le territoire de l’État membre dont elle relève.
88 S’agissant du pouvoir d’une autorité de contrôle d’un État membre d’intenter une action en justice, au sens de l’article 58, paragraphe 5, du règlement 2016/679, il importe de rappeler, ainsi que M. l’avocat général l’a relevé au point 150 de ses conclusions, que cette disposition est formulée en des termes généraux et qu’elle ne précise pas les entités à l’encontre desquelles les autorités de contrôle devraient ou pourraient diriger une action en justice concernant toute violation de ce règlement.
89 Par conséquent, ladite disposition ne limite pas l’exercice du pouvoir d’ester en justice en ce sens qu’une telle action pourrait uniquement être intentée contre un « établissement principal » ou bien contre un autre « établissement » du responsable du traitement. Au contraire, en vertu de la même disposition, lorsque l’autorité de contrôle d’un État membre dispose de la compétence nécessaire à cet effet, en application des articles 55 et 56 du règlement 2016/679, elle peut exercer les pouvoirs qui lui sont conférés par ce règlement sur son territoire national, quel que soit l’État membre dans lequel le responsable du traitement ou son sous-traitant est établi.
90 Cependant, l’exercice du pouvoir conféré à chaque autorité de contrôle à l’article 58, paragraphe 5, du règlement 2016/679 suppose que ce règlement soit d’application. À cet égard, et comme il a été souligné au point 81 du présent arrêt, l’article 3, paragraphe 1, dudit règlement prévoit que celui-ci s’applique au traitement des données à caractère personnel effectué « dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ».
91 Au vu de l’objectif poursuivi par le règlement 2016/679, consistant à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques, notamment leur droit à la protection de la vie privée et à la protection des données à caractère personnel, la condition selon laquelle le traitement de données à caractère personnel doit être effectué « dans le cadre des activités » de l’établissement concerné, ne saurait recevoir une interprétation restrictive (voir, par analogie, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein, C‑210/16, EU:C:2018:388, point 56 et jurisprudence citée).
92 En l’occurrence, il ressort de la décision de renvoi et des observations écrites déposées par Facebook Belgium que celle-ci est chargée, à titre principal, d’entretenir des relations avec les institutions de l’Union et, à titre accessoire, de promouvoir les activités publicitaires et de marketing de son groupe destinées aux personnes résidant en Belgique.
93 Le traitement de données à caractère personnel en cause au principal, qui est effectué sur le territoire de l’Union exclusivement par Facebook Ireland et qui consiste en la collecte d’informations sur le comportement de navigation tant des détenteurs d’un compte Facebook que des non-utilisateurs des services Facebook au moyen de différentes technologies, telles que notamment les modules sociaux et les pixels, a précisément pour objectif de permettre au réseau social concerné de rendre son système de publicité plus performant en diffusant les communications de manière ciblée.
94 Or, il y a lieu de relever que, d’une part, un réseau social tel que Facebook génère une partie substantielle de ses revenus grâce, notamment, à la publicité qui y est diffusée et que l’activité exercée par l’établissement situé en Belgique est destinée à assurer, dans cet État membre, même si ce n’est que de manière accessoire, la promotion et la vente d’espaces publicitaires qui servent à rentabiliser les services Facebook. D’autre part, l’activité exercée à titre principal par Facebook Belgium, consistant à entretenir des relations avec les institutions de l’Union et à constituer un point de contact avec ces dernières, vise notamment à établir la politique de traitement des données à caractère personnel par Facebook Ireland.
95 Dans ces conditions, les activités de l’établissement du groupe Facebook situé en Belgique doivent être considérées comme étant indissociablement liées au traitement des données à caractère personnel en cause au principal, dont Facebook Ireland est le responsable s’agissant du territoire de l’Union. Partant, un tel traitement doit être regardé comme étant effectué « dans le cadre des activités d’un établissement du responsable du traitement », au sens de l’article 3, paragraphe 1, du règlement 2016/679.
96 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la troisième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question posée.
Sur la quatrième question
97 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette circonstance est de nature à influer sur les conditions dans lesquelles cette autorité de contrôle d’un État membre peut exercer le pouvoir d’ester en justice qu’elle tire de cet article 58, paragraphe 5.
98 En effet, devant cette juridiction, Facebook Ireland, Facebook Inc. et Facebook Belgium font valoir que l’application du règlement 2016/679, à compter du 25 mai 2018, aurait pour conséquence que le maintien d’une action intentée avant cette date est irrecevable, voire non fondé.
99 Il convient de relever, à titre liminaire, que l’article 99, paragraphe 1, du règlement 2016/679 prévoit que celui‑ci entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. Ce règlement ayant été publié audit Journal officiel le 4 mai 2016, il est ainsi entré en vigueur le 25 mai suivant. En outre, l’article 99, paragraphe 2, dudit règlement prévoit que celui‑ci est applicable à partir du 25 mai 2018.
100 À cet égard, il convient de rappeler qu’une règle de droit nouvelle s’applique à compter de l’entrée en vigueur de l’acte qui l’instaure et que, si elle ne s’applique pas aux situations juridiques nées et définitivement acquises sous l’empire de la loi ancienne, elle s’applique aux effets futurs de celles-ci, ainsi qu’aux situations juridiques nouvelles. Il n’en va autrement, et sous réserve du principe de non-rétroactivité des actes juridiques, que si la règle nouvelle est accompagnée des dispositions particulières qui déterminent spécialement ses conditions d’application dans le temps. En particulier, les règles de procédure sont généralement censées s’appliquer à la date à laquelle elles entrent en vigueur, à la différence des règles de fond qui sont habituellement interprétées comme ne visant des situations acquises antérieurement à leur entrée en vigueur que dans la mesure où il ressort clairement de leurs termes, de leur finalité ou de leur économie qu’un tel effet doit leur être attribué [arrêt du 25 février 2021, Caisse pour l’avenir des enfants (Emploi à la naissance), C‑129/20, EU:C:2021:140, point 31 et jurisprudence citée].
101 Le règlement 2016/679 ne contient aucune règle transitoire ni aucune autre règle régissant le statut des procédures juridictionnelles engagées avant qu’il n’ait été d’application et qui étaient encore en cours à la date à laquelle il est devenu applicable. En particulier, aucune disposition de ce règlement ne prévoit que celui-ci a pour effet de mettre un terme à toutes les procédures juridictionnelles pendantes à la date du 25 mai 2018 visant de prétendues violations de règles encadrant le traitement de données à caractère personnel prévues par la directive 95/46, et ce même si les comportements constitutifs de telles prétendues violations perdurent au-delà de cette date.
102 En l’occurrence, l’article 58, paragraphe 5, du règlement 2016/679 prévoit des règles régissant le pouvoir d’une autorité de contrôle de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice, d’une manière ou d’une autre, en vue de faire appliquer les dispositions dudit règlement.
103 Dans ces conditions, il y a lieu de distinguer entre les actions intentées par une autorité de contrôle d’un État membre pour des infractions aux règles de protection des données à caractère personnel commises par des responsables du traitement ou des sous-traitants avant la date à laquelle le règlement 2016/679 est devenu applicable et celles intentées pour des infractions commises après cette date.
104 Dans le premier cas de figure, du point de vue du droit de l’Union, une action en justice, telle que celle en cause au principal, peut être maintenue sur le fondement des dispositions de la directive 95/46, laquelle demeure applicable en ce qui concerne les infractions commises jusqu’à la date de son abrogation, à savoir le 25 mai 2018. Dans le second cas de figure, une telle action peut être intentée, en vertu de l’article 58, paragraphe 5, du règlement 2016/679, uniquement à la condition que, ainsi qu’il a été souligné dans le cadre de la réponse à la première question posée, cette action relève d’une situation où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel, et dans le respect des procédures prévues par le même règlement.
105 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la quatrième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.
Sur la cinquième question
106 Par sa cinquième question, la juridiction de renvoi demande, en substance, en cas de réponse affirmative à la première question posée, si l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si cette disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.
107 Aux termes de l’article 58, paragraphe 5, du règlement 2016/679, chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice, d’une manière ou d’une autre, en vue de faire appliquer les dispositions dudit règlement.
108 À titre liminaire, il importe de relever que, ainsi que le soutient le gouvernement belge, l’article 58, paragraphe 5, du règlement 2016/679 a été mis en œuvre dans l’ordre juridique belge par l’article 6 de la loi du 3 décembre 2017. En effet, aux termes de cet article 6, qui présente une formulation en substance identique à celle de l’article 58, paragraphe 5, du règlement 2016/679, l’APD a le pouvoir de porter toute infraction aux principes fondamentaux de la protection des données à caractère personnel, dans le cadre de la présente loi et des lois contenant des dispositions relatives à la protection du traitement des données à caractère personnel, à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice en vue de voir appliquer ces principes fondamentaux. Par conséquent, il convient de considérer que l’APD peut se fonder sur une disposition du droit national, telle que l’article 6 de la loi du 3 décembre 2017, qui met en œuvre l’article 58, paragraphe 5, du règlement 2016/679 dans le droit belge, pour ester en justice afin de faire respecter ce règlement.
109 Par ailleurs, et dans un souci d’exhaustivité, il y a lieu de relever que, en vertu de l’article 288, deuxième alinéa, TFUE, un règlement est obligatoire dans tous ses éléments et qu’il est directement applicable dans tout État membre, de telle sorte que ses dispositions ne nécessitent, en principe, aucune mesure d’application des États membres.
110 À cet égard, il convient de rappeler que, selon une jurisprudence bien établie de la Cour, en vertu de l’article 288 TFUE et en raison même de la nature des règlements et de leur fonction dans le système des sources du droit de l’Union, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans qu’il soit besoin, pour les autorités nationales, de prendre des mesures d’application. Néanmoins, certaines de ces dispositions peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres (arrêt du 15 mars 2017, Al Chodor, C‑528/15, EU:C:2017:213, point 27 et jurisprudence citée).
111 Or, ainsi que M. l’avocat général l’a relevé en substance au point 167 de ses conclusions, l’article 58, paragraphe 5, du règlement 2016/679 prévoit une règle spécifique et directement applicable en vertu de laquelle les autorités de contrôle doivent avoir la qualité pour agir devant les juridictions nationales et être habilitées à ester en justice en vertu du droit national.
112 Il ne ressort pas de l’article 58, paragraphe 5, du règlement 2016/679 que les États membres devraient fixer par une disposition explicite quelles sont les circonstances dans lesquelles les autorités de contrôle nationales peuvent ester en justice, au sens de cette disposition. Il suffit que l’autorité de contrôle ait la possibilité, conformément à la législation nationale, de porter à l’attention des autorités judiciaires des infractions à ce règlement et, le cas échéant, d’ester en justice ou d’ouvrir, d’une autre manière, une procédure visant à faire appliquer les dispositions dudit règlement.
113 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la cinquième question posée que l’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si cette disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.
Sur la sixième question
114 Par sa sixième question, la juridiction de renvoi demande, en substance, en cas de réponse affirmative aux première à cinquième questions posées, si l’issue d’une procédure judiciaire engagée par une autorité de contrôle d’un État membre portant sur un traitement transfrontalier de données à caractère personnel peut faire obstacle à ce que l’autorité de contrôle chef de file adopte une décision dans laquelle elle parvient à une constatation en sens contraire dans le cas où celle‑ci enquête sur les mêmes activités de traitement transfrontalier ou sur des activités similaires, conformément au mécanisme prévu aux articles 56 et 60 du règlement 2016/679.
115 À cet égard, il convient de rappeler que, selon une jurisprudence constante, les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation d’une règle de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêts du 16 juin 2015, Gauweiler e.a., C‑62/14, EU:C:2015:400, point 25, ainsi que du 7 février 2018, American Express, C‑304/16, EU:C:2018:66, point 32).
116 En outre, conformément à une jurisprudence également constante, la justification du renvoi préjudiciel est non pas la formulation d’opinions consultatives sur des questions générales ou hypothétiques, mais le besoin inhérent à la solution effective d’un litige (arrêt du 10 décembre 2018, Wightman e.a., C‑621/18, EU:C:2018:999, point 28 ainsi que jurisprudence citée).
117 En l’occurrence, il convient de souligner que, ainsi que le gouvernement belge le fait observer, la sixième question posée repose sur des circonstances dont il n’a aucunement été établi qu’elles se présenteraient dans le cadre du litige au principal, à savoir que, pour le traitement transfrontalier faisant l’objet de ce litige, il y aurait une autorité de contrôle chef de file qui non seulement enquêterait sur les mêmes activités de traitement transfrontalier de données à caractère personnel que celles faisant l’objet de la procédure judiciaire engagée par l’autorité de contrôle de l’État membre concerné ou sur des activités similaires, mais encore envisagerait d’adopter une décision parvenant à une constatation en sens contraire.
118 Dans ces conditions, il convient de relever que la sixième question posée n’a aucun rapport avec la réalité ou l’objet du litige au principal et concerne un problème hypothétique. Par conséquent, cette question doit être déclarée irrecevable.
Sur les dépens
119 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (grande chambre) dit pour droit :
1) L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.
2) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre.
3) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée.
4) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file », au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’« autorité de contrôle chef de file » une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier.
5) L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné.
Signatures