Accueil > Communications électroniques > La Cour de justice de l'Union européenne, pompier pyromane malgré elle : l'articulation des voies de recours ouvertes à la personne concernée par un traitement de données à caractère personnel - Communications électroniques
Communication numérique
/ Cours et tribunaux
06/04/2023
La Cour de justice de l'Union européenne, pompier pyromane malgré elle : l'articulation des voies de recours ouvertes à la personne concernée par un traitement de données à caractère personnel
La personne concernée a le droit d'exercer, de façon concurrente et indépendante, les voies de recours ouvertes par le règlement général sur la protection des données (RGPD) devant l'autorité de contrôle et contre la décision qu'elle adopte, d'une part, et, d'autre part, celles contre le responsable de traitement ou le sous-traitant. Dans le silence du règlement, le principe d'autonomie procédurale des États membres leur confère le soin de régler l'articulation de ces voies de recours afin de garantir à la personne concernée une protection effective, cohérente et homogène de ses données à caractère personnel ainsi que de son droit à un recours effectif devant un tribunal.
1. Le Règlement général sur la protection des données (RGPD) a renforcé les droits de la personne concernée par un traitement de données à caractère personnel, notamment en lui conférant, de façon explicite, différents droits à un recours effectif. Toutefois, il n'a que partiellement résolu les difficultés qui résultent de l'exercice parallèle de ces recours. L'interprétation des textes pertinents par la Cour de justice de l'Union européenne est d'autant plus bienvenue que ce ...
Cour de Justice de l'Union européenne, 12 janvier 2023, Budapesti Elektromos Művek
Ludovic PAILLER
Professeur à l’Université Jean Moulin Lyon 3
6 avril 2023 - Légipresse N°412
4128 mots
Veuillez patienter, votre requête est en cours de traitement...
(3) La juridiction hongroise la fonde sur l'habilitation conférée aux autorités de contrôle par l'art. 51-1 RGPD et sur ses pouvoirs (RGPD, art. 58-2, b et d).
(4) RGPD, art. 77-1.
(5) RGPD, art. 78-1.
(6) RGPD, art. 79-1.
(7) Dir. 95/46/CE du Parl. UE et du Conseil du 24 oct. 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(8) Dir. 95/46/CE, art. 22.
(9) RGPD, art. 77-1.
(10) RGPD, art. 78-1.
(11) RGPD, art. 79-1.
(12) Pt 34 de l'arrêt commenté.
(13) Pt 35 de l'arrêt commenté.
(14) RGPD, art. 60 à 63.
(15) RGPD, art. 81.
(16) Le juge compétent pour connaître d'une action contre une autorité de contrôle est celui de l'État membre sur le territoire duquel l'autorité de contrôle est établie (RGPD, art. 78-3), sachant que peut être saisie, en particulier, celle de la résidence habituelle ou du lieu de travail de la personne concernée, ou celle du lieu où la violation aurait été commise (RGPD, art. 77-1). Le juge compétent pour connaître d'une action contre le responsable de traitement ou contre le sous-traitant est celui de l'État membre sur le territoire duquel la personne concernée a sa résidence habituelle, ou bien celui sur le territoire duquel le défendeur dispose d'un établissement (RGPD, art. 79-2).
(17) RGPD, consid. 10.
(18) RGPD, consid. 11.
(19) Pt 43 de l'arrêt commenté.
(20) Pt 44 de l'arrêt commenté.
(21) Dir. 95/46/CE, art. 22 consacré un droit de recours « sans préjudice du recours administratif qui peut être organisé […] antérieurement à la saisine de l'autorité de contrôle ».
(22) CJUE 27 sept. 2017, aff. C-73/16, Puškár, ECLI:EU:C:2017:725, pts 54 et s. ; D. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; RTD eur. 2018. 356, obs. L. Coutron ; ibid. 461, obs. F. Benoît-Rohmer.
(23) C. pr. civ., art. 750-1.
(24) V. en complément, É. Treppoz, Forum Shopping et données personnelles, TCFDIP, à paraître.
(25) RGPD, art. 55-1.
(26) RGPD, spéc. art. 61.
(27) RGPD, spéc. art. 56.
(28) RGPD, art. 57-3 et 57-4 et Décr. N° 2019-536 du 29 mai 2019, art. 11, pris pour l'application de la loi no 78-17 du 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés.
(29) RGPD, art. 57-2. La CNIL a mis en place un formulaire de réclamation (Décr. no 2019-536, art. 10) disponible sur son site (www.cnil.fr/fr/plaintes). Elle peut également être saisie par voie postale (Règl. intérieur, art. 48).
(30) L'art. 47 du règl. intérieur de la CNIL définit la plainte comme « toute demande formée par une personne physique ou morale identifiée relative à des faits susceptibles d'être contraires aux textes dont l'application est confiée à la Commission ».
(31) « Aucun texte n'impose, à l'égard du demandeur, le respect d'une procédure contradictoire à l'occasion de l'examen par la CNIL d'une plainte » (CE 22 déc. 2022, no 461101).
(32) CE 22 déc. 2022, préc.
(33) RGPD, art. 57-1, f et art. 8-I-2, d, de la loi « Informatique et Libertés ».
(34) Son action peut être intéressée. Saisir la CNIL peut lui permettre d'obtenir gain de cause quant à l'exercice de ses droits conférés par le RGPD sans exposer ses finances.
(35) RGPD, art. 57-1, f et h et art. 8-I-2, d de la loi « Informatique et libertés ».
(36) Notamment des mises en demeure, des injonctions et des sanctions. Sur les pouvoirs de la CNIL, v. RGPD, art. 58.
(37) Art. 21-I de la loi « Informatique et libertés ».
(38) Consid. 143, al. 1er.
(39) CJA, art. R. 311-1, 4°.
(40) TFUE, art. 267.
(41) RGPD, art. 79, al. 2.
(42) C. pr. civ., art. 31.
(43) C. pr. civ., art. 9.
(44) C. pr. civ., art. 16.
(45) RGPD, art. 80 ; v., en complément, art. 37 et 38 de la loi « Informatique et libertés ».
(46) C. pr. civ., art. 834 et s.
(47) Art. 21-IV de la loi « Informatique et libertés » ; v., spéc. sur la compétence du juge pour « ordonner, y compris en référé, toutes mesures de nature à éviter [une dissimulation ou une disparition des données] » auxquelles la personne concernée souhaite accéder, art. 49, al. 2, de la loi « Informatique et ibertés ».
(48) V., sur le régime de responsabilité du fait d'une violation du RGPD, RGPD, art. 82.
(49) En application du règl. (UE) no 1215/2012 dit « Bruxelles I » refondu.
(50) Pt 45 de l'arrêt commenté.
(51) TUE, art. 4-3.
(52) TUE, art. 19-1.
(53) CJUE 27 sept. 2017, Puškár, préc., pt 70.
(54) Pts 54 et 56 de l'arrêt commenté.
(55) Spéc., consid. 21 et art. 8, 1°, 29 à 32, et 45-1, c et d, du règl. « Bruxelles I » refondu.
(56) Consid. 144 et RGPD, art. 81.
(57) Comp., sur l'imputation de la sanction prononcée par la CNIL sur l'amende prononcée par le juge répressif, art. 22-1 de la loi « Informatique et libertés ».
(58) S. Guinchard, F. Ferrand, C. Chainais et L. Mayer, Procédure civile, 36e éd., Dalloz, 2022, p. 888, no 1197.
(59) Décr. n° 2019-536, art. 43. En pratique, la CNIL prend fréquemment appui sur les décisions du CE et de la CJUE. Rien n'exclut qu'elle doive faire de même pour les décisions du juge judiciaire.
(60) T. confl., 17 oct. 2011, no 3828, SCEA du Chéneau, Lebon ; AJDA 2012. 27, chron. M. Guyomar et X. Domino ; ibid. 2011. 2041 ; D. 2011. 3046, et les obs., note F. Donnat ; ibid. 2012. 244, obs. N. Fricero ; RFDA 2011. 1122, concl. J.-D. Sarcelet ; ibid. 1129, note B. Seiller ; ibid. 1136, note A. Roblot-Troizier ; ibid. 2012. 339, étude J.-L. Mestre ; ibid. 377, chron. L. Clément-Wilz, F. Martucci et C. Mayeur-Carpentier ; Constitutions 2012. 294, obs. A. Levade ; RTD civ. 2011. 735, obs. P. Remy-Corlay ; RTD eur. 2012. 135, étude D. Ritleng.
(61) RGPD, art. 78-3.
(62) Art. 2-I-5 de la loi « Informatique et libertés » ; comp., sur la possibilité pour l'autorité de contrôle hongroise d'intervenir dans la procédure juridictionnelle au soutien des conclusions de la personne concernée, art. 23-4 de la loi hongroise no CXII de 2011 sur l'autodétermination en matière d'information et la liberté de l'information (traduit au pt 16 de l'arrêt commenté).
(63) V., par ex., pour la Cour de cassation, COJ, art. L. 431-3-1.
(64) V. spéc., sur l'autorité relative de la chose jugée par le juge administratif à l'égard du juge civil, Civ. 2e, 1er déc. 1998, n° 92-12.006, Bull. civ. II, n° 347.
(65) C. civ., art. 1355.
(66) Art. 1-1 du règl. « Bruxelles I » refondu.
(67) L'inconciliabilité est un motif de refus de reconnaissance et d'exécution d'une décision rendue dans un autre État membre (art. 45-1, c et d). Sont inconciliables entre elles deux décisions lorsqu'elles « entraînent des conséquences juridiques qui s'excluent mutuellement » (CJCE 4 févr. 1988, aff. C-145/86, Hoffmann, ECLI:EU:C:1988:61, pt 22).
(68) Art. 15 de la loi du 24 mai 1872 relative au Tribunal des conflits.
(69) Elle suppose, comme pour l'autorité de chose jugée, que soit caractérisée une triple identité (parties, cause objet) pour qu'existe un « même litige » (C. pr. civ., art. 100).
(70) Art. 30-1 du règl. « Bruxelles I » refondu. La connexité s'entend de l'existence de « demandes liées entre elles par un rapport si étroit qu'il y a intérêt à les instruire et à les juger en même temps afin d'éviter des solutions qui pourraient être inconciliables si les causes étaient jugées séparément » (art. 30-3 ; comp., pour une reprise de cette formulation à propos de la règle de suspension de l'art. 81 RGPD, consid. 144 RGPD).
(71) Sur ce point, v. S. Vergnolles L'effectivité de la protection des personnes par le droit des données à caractère personnel, Bruylant, 2022, p. 447, no 532.