This document is an excerpt from the EUR-Lex website
Document 62019CA0645
Case C-645/19: Judgment of the Court (Grand Chamber) of 15 June 2021 (request for a preliminary ruling from the Hof van beroep te Brussel — Belgium) — Facebook Ireland Ltd, Facebook Inc., Facebook Belgium BVBA v Gegevensbeschermingsautoriteit (Reference for a preliminary ruling — Protection of natural persons with regard to the processing of personal data — Charter of Fundamental Rights of the European Union — Articles 7, 8 and 47 — Regulation (EU) 2016/679 — Cross-border processing of personal data — ‘One-stop shop’ mechanism — Sincere and effective cooperation between supervisory authorities — Competences and powers — Power to initiate or engage in legal proceedings)
Affaire C-645/19: Arrêt de la Cour (grande chambre) du 15 juin 2021 (demande de décision préjudicielle du Hof van beroep te Brussel — Belgique) — Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit [Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de «guichet unique» – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d’ester en justice]
Affaire C-645/19: Arrêt de la Cour (grande chambre) du 15 juin 2021 (demande de décision préjudicielle du Hof van beroep te Brussel — Belgique) — Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit [Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Charte des droits fondamentaux de l’Union européenne – Articles 7, 8 et 47 – Règlement (UE) 2016/679 – Traitement transfrontalier de données à caractère personnel – Mécanisme de «guichet unique» – Coopération loyale et efficace entre les autorités de contrôle – Compétences et pouvoirs – Pouvoir d’ester en justice]
JO C 310 du 2.8.2021, p. 3–4
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
2.8.2021 |
FR |
Journal officiel de l'Union européenne |
C 310/3 |
Arrêt de la Cour (grande chambre) du 15 juin 2021 (demande de décision préjudicielle du Hof van beroep te Brussel — Belgique) — Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA / Gegevensbeschermingsautoriteit
(Affaire C-645/19) (1)
(Renvoi préjudiciel - Protection des personnes physiques à l’égard du traitement des données à caractère personnel - Charte des droits fondamentaux de l’Union européenne - Articles 7, 8 et 47 - Règlement (UE) 2016/679 - Traitement transfrontalier de données à caractère personnel - Mécanisme de «guichet unique» - Coopération loyale et efficace entre les autorités de contrôle - Compétences et pouvoirs - Pouvoir d’ester en justice)
(2021/C 310/03)
Langue de procédure: le néerlandais
Juridiction de renvoi
Hof van beroep te Brussel
Parties dans la procédure au principal
Parties requérantes: Facebook Ireland Limited, Facebook Inc., Facebook Belgium BVBA
Partie défenderesse: Gegevensbeschermingsautoriteit
Dispositif
1) |
L’article 55, paragraphe 1, et les articles 56 à 58 ainsi que 60 à 66 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus en combinaison avec les articles 7, 8 et 47 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’une autorité de contrôle d’un État membre qui, en vertu de la législation nationale adoptée en exécution de l’article 58, paragraphe 5, de ce règlement, a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier, alors qu’elle n’est pas l’«autorité de contrôle chef de file», au sens de l’article 56, paragraphe 1, du même règlement, s’agissant de ce traitement de données, pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement. |
2) |
L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, en cas de traitement de données transfrontalier, l’exercice du pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, d’intenter une action en justice, au sens de cette disposition, ne requiert pas que le responsable du traitement ou le sous-traitant pour le traitement transfrontalier de données à caractère personnel contre qui cette action est intentée dispose d’un établissement principal ou d’un autre établissement sur le territoire de cet État membre. |
3) |
L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que le pouvoir d’une autorité de contrôle d’un État membre, autre que l’autorité de contrôle chef de file, de porter toute prétendue violation de ce règlement à l’attention d’une juridiction de cet État et, le cas échéant, d’ester en justice, au sens de cette disposition, peut être exercé tant à l’égard de l’établissement principal du responsable du traitement qui se trouve dans l’État membre dont relève cette autorité qu’à l’égard d’un autre établissement de ce responsable, pour autant que l’action en justice vise un traitement de données effectué dans le cadre des activités de cet établissement et que ladite autorité soit compétente pour exercer ce pouvoir, conformément à ce qui est exposé en réponse à la première question préjudicielle posée. |
4) |
L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que, lorsqu’une autorité de contrôle d’un État membre qui n’est pas l’«autorité de contrôle chef de file», au sens de l’article 56, paragraphe 1, de ce règlement, a intenté avant le 25 mai 2018 une action en justice visant un traitement transfrontalier de données à caractère personnel, à savoir avant la date à laquelle ledit règlement est devenu applicable, cette action peut, du point de vue du droit de l’Union, être maintenue sur le fondement des dispositions de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, laquelle demeure applicable en ce qui concerne les infractions aux règles qu’elle prévoit commises jusqu’à la date à laquelle cette directive a été abrogée. Ladite action peut, en outre, être intentée par cette autorité pour des infractions commises après cette date, sur le fondement de l’article 58, paragraphe 5, du règlement 2016/679, pour autant que ce soit dans l’une des situations où, à titre d’exception, ce règlement confère à une autorité de contrôle d’un État membre qui n’est pas l’«autorité de contrôle chef de file» une compétence pour adopter une décision constatant que le traitement de données concerné méconnaît les règles que contient ledit règlement s’agissant de la protection des droits des personnes physiques à l’égard du traitement de données à caractère personnel et dans le respect des procédures de coopération et de contrôle de la cohérence prévues par le même règlement, ce qu’il appartient à la juridiction de renvoi de vérifier. |
5) |
L’article 58, paragraphe 5, du règlement 2016/679 doit être interprété en ce sens que cette disposition a un effet direct, de telle sorte qu’une autorité de contrôle nationale peut invoquer ladite disposition pour intenter ou reprendre une action contre des particuliers, même si la même disposition n’aurait pas été spécifiquement mise en œuvre dans la législation de l’État membre concerné. |