La nouvelle voie de recours de protection des données crée par la CJUE

Dans une décision du 1er octobre 2019 (JOUE L 261/97, 14 oct. 2019), la Cour de justice de l’Union européenne a mis en place un mécanisme interne de contrôle sous la forme d’une nouvelle voie de recours en matière de traitement des données à caractère personnel effectué dans le cadre des fonctions juridictionnelles de la Cour.

En effet dans le cadre de leur travail, il est fréquent que les institutions européennes soient amenées à procéder au traitement des données personnelles de citoyens avec lesquelles ils échangent. (1)

Dans ce cadre, étant destinataire et détenteur d’informations à caractère personnel, il était nécessaire que le règlement s’applique aussi au traitement des données à caractère personnel dans le cadre de la mission juridictionnelle de l’Union européenne.

Il est possible de constater suite à cette récente décision, que les instituions de l’Union européenne ne peuvent se soustraire aux obligations relatives à la protection des données personnelles. Le règlement de l’Union européenne 2018/1725 émanant du parlement européen ainsi que du Conseil en date du 23 octobre 2018 concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union prévoit un alignement des règles applicables aux institutions de l’Union européenne avec le Règlement général à la protection des données . (2)

Les institutions et organes de l’UE sont parfois amenés à traiter des informations à caractère personnel communiquées par des citoyens sous forme électronique, écrite ou visuelle.

Le règlement (UE) 2018/1725 précise un ensemble de règles en matière de protection des données au sein des institutions de l’Union européenne, crée une autorité de contrôle – le contrôleur des données – et en définit les fonctions et les compétences, la mission de ce dernier ne s’étend pas au traitement effectué par la Cour dans l’exercice de ses fonctions juridictionnelles. Toutefois, le règlement ménage la possibilité de la création d’un mécanisme interne de contrôle (§ 74).

 « La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne. »

Or, comme le rappelle la Cour dans sa décision, les données à caractère personnel bénéficient de la protection au titre de l’article 19, au titre III « disposition relatives aux institutions »  du Traité de l’Union européenne et l’article 8 de la Charte des droits fondamentaux.

L’article 8, § 3, de la Charte prévoit que toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.

Toute personne dispose du droit à droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. (3) & (4)

La CJUE s’appuie sur le dernier point celui du contrôle soumis à une autorité indépendante, sur ce fondement, la Cour décide donc de créer une procédure de réclamation en deux temps.

Nous allons observer les précédentes voies de recours offertes au justiciable (I) avant d’observer de quelle manière s’articule la nouvelle voie de recours instaurer par la Cour de justice de l’Union européenne (II).

I. Les voies de recours existantes offertes au justiciable

Il faut ici observer la réclamation auprès d’une autorité de contrôle (A) mais aussi le droit de réclamation accordée au justiciable contre un responsable de traitement ou un sous-traitant (B).

A) La réclamation auprès et à l’encontre d’une autorité de contrôle

L’article 77 du règlement à la protection des données précise un droit de réclamation auprès d’une autorité de contrôle «  Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (https://www.murielle-cahen.com/publications/etude-sites.asp).

L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. (5)

On retrouve au terme de cet article l’ensemble des conditions requises afin de procéder à une réclamation auprès d’une autorité de contrôle.

L’article 78 du règlement à la protection des données précise qu’il est possible de déposer une réclamation à l’encontre d’une autorité de contrôle, il faut comme pour l’article 77 que sans préjudice de tout autre recours administratif ou extrajudiciaire, il faut être une personne physique ou morale afin de former le recours contre une décision juridiquement contraignante d’une autorité de contrôle la concernant. Il est nécessaire l’autorité de contrôle compétente en vertu des articles 55 et 56 ne traite pas la réclamation ou que celle-ci n’informe pas la personne concernée dans un délai de trois mois de la réclamation introduite au titre de l’article 77 du règlement à la protection des données.

L’action devra être intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité est établie. Dans le cas d’une action intentée contre une décision d’une autorité précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

B) Le droit à un recours contre un responsable de traitement ou un sous-traitant

L’article 79 du règlement à la protection des données précise que chaque personne concernée a droit à un recours juridictionnel effectif dès le moment où elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

Toute action contre un responsable du traitement ou un sous-traitant (https://www.murielle-cahen.com/publications/rgpd-soustraitant.asp) est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement (https://www.murielle-cahen.com/publications/facebook-responsabilite.asp) ou le sous-traitant dispose d’un établissement.

Mais une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

II. L’ouverture d’une nouvelle voie de recours

La CJUE de par cette décision a permis l’ouverture d’une nouvelle voie de recours, en commençant par la saisine du greffier de la CJUE (A) et un recours concernant les décisions du greffier (B).

A) La saisine du greffier de la CJUE

Dans un premier temps afin de mettre en application la nouvelle voie de recours, il sera nécessaire de saisir le greffier de la Cour, responsable du traitement des données à caractère personnel dans le cadre des fonctions juridictionnelles de la Cour de justice.

Celui-ci aura deux mois pour notifier sa décision au justiciable arguant de la violation de son droit à la protection de ses données personnelles. Un silence au-delà de ce délai vaudra par ailleurs décision implicite de rejet.

B) Une décision susceptible de recours devant le comité

Dans un second temps la nouvelle procédure réside dans un mécanisme de recours des décisions du greffier, auprès d’un nouvel organe interne créer à cet effet «  le comité ».

Le comité sera composé d’un président et de deux membres choisis parmi les juges et les avocats généraux de la Cour de justice et désignés par la Cour sur proposition de son président, le comité est assisté par le conseiller juridique pour les affaires administratives de la Cour et se réunit sur convocation du président.

Le requérant disposera d’un délai de deux mois afin de faire valoir et présenter sa réclamation, à compter de la notification de la décision ou de la date à laquelle la personne en a eu connaissance.

Une fois la réclamation jugée recevable, le Comité décidera de faire passer un entretien à toute personne dont il juge l’audition utile.

Le comité se verra confier de multiples pouvoir en effet celui-ci pourra annuler, réformer, ou conformer la décision litigieuse. Il devra en notifier l’auteur de la réclamation dans un délai de quatre mois à compter de l’introduction de la réclamation. Enfin, l’introduction d’un recours juridictionnel contre ladite décision mettra fin à la compétence du comité.

Pour lire un version plus complète de cet article sur la protection des données au niveau européen, cliquez

SOURCES :

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.