Tribunal administratif N° 45716a du rôle du Grand-Duché de Luxembourg ECLI:LU:TADM:2024:45716a 4e chambre Inscrit le 1er mars 2021 Audience publique du 24 septembre 2024 Recours formé par l’association de droit autrichien …, …, contre une décision de la Commission nationale pour la protection des données, Belvaux, en matière de protection des données
___________________________________________________________________________
JUGEMENT
Revu la requête inscrite sous le numéro 45716 du rôle et déposée le 1er mars 2021 au greffe du tribunal administratif par Maître Catherine WARIN, avocat à la Cour, inscrite au tableau de l’Ordre des avocats à Luxembourg, au nom de l’association de droit autrichien …, établie et ayant son siège social à … (Autriche), …, immatriculée au registre autrichien des associations (Zentrales Vereinsregister) sous le numéro …, représentée par son « Vorstandsvorsitzender » actuellement en fonctions et mandatée par Monsieur …, demeurant à L-…, ladite association élisant domicile à l’étude de son litismandataire située à L-2763 Luxembourg, 10, rue Sainte Zithe, tendant à la réformation, sinon à l’annulation d’une décision du 18 septembre 2020 de la Commission nationale pour la protection des données (« CNPD »), établissement public, inscrit au registre de commerce et des sociétés de Luxembourg sous le numéro J52, établie au L-4370 Belvaux, 15, boulevard du Jazz, représentée par son collège des commissaires actuellement en fonctions, informant Monsieur …, de son refus de poursuivre le traitement de sa réclamation du … 2019 ;
Revu l’exploit de l’huissier de justice Carlos CALVO, demeurant à Luxembourg, du 4 mars 2021, portant signification de la prédite requête à la CNPD, préqualifiée ;
Revu la constitution d’avocat à la Cour de Maître Elisabeth GUISSART, avocat à la Cour, inscrite au tableau de l’Ordre des avocats à Luxembourg, au nom et pour le compte de la CNPD, préqualifiée, déposée au greffe du tribunal administratif le 16 mars 2021 ;
Revu le mémoire en réponse déposé au greffe du tribunal administratif le 3 juin 2021 par Maître Elisabeth GUISSART au nom et pour le compte de la CNPD, préqualifiée ;
Revu le mémoire en réplique déposé au greffe du tribunal administratif le 2 juillet 2021 par Maître Catherine WARIN au nom et pour le compte de l’association de droit autrichien …, préqualifiée ;
Revu le mémoire en duplique déposé au greffe du tribunal administratif le 28 septembre 2021 par Maître Elisabeth GUISSART au nom et pour le compte de la CNPD, préqualifiée ;
Vu le jugement du tribunal administratif du 21 avril 2023, inscrit sous le n° 45716 du rôle ;
1 Vu l’arrêt de la Cour administrative du 28 novembre 2023, inscrit sous le n° 48964C du rôle ;
Revu les pièces versées en cause et notamment l’acte critiqué ;
Le juge-rapporteur entendu en son rapport, ainsi que Maître Catherine WARIN et Maître Elisabeth GUISSART en leurs plaidoiries respectives à l’audience publique du 30 avril 2024.
__________________________________________________________________________
Après avoir constaté que la société de droit américain … avait collecté des données à caractère personnel sur sa personne afin de les commercialiser sur son site internet https://….co, Monsieur … contacta ladite société à ce sujet en date du … 2019 et se vit adresser par cette dernière un courriel daté du même jour auquel une copie de ses données était jointe et l’informant que la société … avait supprimé les données à caractère personnel le concernant de ses bases de données.
Toujours en date du … 2019, Monsieur … introduisit une réclamation auprès de la Commission nationale pour la protection des données, dénommée ci-après « la CNPD », la priant d’intervenir auprès de la société … afin que cette dernière donne suite à sa demande conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), désigné ci-après par « le RGPD ».
Par courriel du 9 avril 2019, la CNPD pria Monsieur … de lui faire parvenir toute correspondance avec le responsable du traitement de la société …, notamment le courriel contenant sa demande d’accès et d’informations spécifiques, la réponse automatique à cette demande, ainsi que toute correspondance éventuelle postérieure à l’introduction de sa réclamation, l’informant, par ailleurs, que le lien sur le site internet de la société … censé contenir ses données personnelles ne semblerait pas marcher. Par courriel du même jour, Monsieur … informa la CNPD que la société … semblerait avoir supprimé l’ensemble de ses données sur leur site internet suite à sa prise de contact avec cette dernière, mais qu’elle continuerait de collecter et traiter les données d’autres citoyens européens.
Par courriel du 6 mars 2020, la CNPD informa Monsieur …, après un premier examen de sa réclamation du … 2019 et en se référant au considérant numéro (166) du RGPD, que compte tenu de la circonstance que la société …, le responsable du traitement des données litigieuses, serait établie aux Etats-Unis et donc hors de l’Union européenne, il lui serait impossible de poursuivre sa réclamation, alors que, tout en ayant la possibilité de communiquer avec ladite société, la CNPD ne disposerait pas du pouvoir de lui imposer des actions en vue d’améliorer ses pratiques en matière de protection des données, courriel auquel Monsieur … répondit en date du même jour.
Par courriel du 17 mars 2020, la CNPD lui confirma son impossibilité de poursuivre sa réclamation, courriel auquel Monsieur … répondit par courriels du même jour et des 28 mars et 19 et 26 avril 2020, ainsi que par courrier recommandé du 4 mai 2020, auxquels la CNPD répondit par courriel du 25 mai 2020 tout en y renvoyant à ses courriels des 6 et 17 mars 2020.
2Par courriel du 29 mai 2020, Monsieur … pria la CNPD de lui envoyer une décision signée conformément aux articles 12 et 13 de son règlement d’ordre intérieur, ce que la CNPD refusa par courriel du 8 juillet 2020.
Par courrier du 10 août 2020, Monsieur … contacta encore la CNPD.
Par courrier du 18 septembre 2020, la CNPD informa Monsieur … de son impossibilité de poursuivre sa réclamation du … 2019 dans les termes suivants :
« (…) La Commission nationale pour la protection des données (ci-après « CNPD ») revient à votre courriel du 8 juillet 2020 relatif à votre réclamation du … 2019 à l'encontre de la société ….
Concernant votre demande d'obtenir des précisions sur les raisons pour lesquelles les articles 9 du règlement de la Commission nationale pour la protection des données (CNPD) relatif à la procédure d'enquête (ci-après « Règlement enquêtes ») et 10 et 12 du Règlement d'Ordre Intérieur de la CNPD (ci —après « ROI ») ne sont pas d'application dans le cas d'espèce, nous vous informons qu'il ressort des dispositions du ROI que les dossiers d'enquêtes et de réclamations relèvent de procédures différentes.
Le Règlement enquêtes est uniquement applicables aux dossiers d'enquête, et les articles 10 et 12 du ROI susmentionnés sont uniquement applicables aux séances de délibération de la CNPD, parmi lesquelles les délibérations relatives aux dossiers d'enquête.
De plus, bien que le traitement d'une réclamation puisse aboutir à la proposition et à l'ouverture d'une enquête selon les modalités prévues à l'article 2 du Règlement enquêtes, l'ouverture d'un dossier d'enquête à la suite d'une réclamation n'est pas systématique.
En effet, lorsqu'une réclamation est introduite, le service « réclamations » essaie de résoudre la problématique soulevée sans ouvrir une enquête formelle au sens des articles 37 à 41 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données (ci-après : « loi du 1er août 2018 »). La plupart des réclamations peuvent être résolues et clôturées de cette manière, après que la CNPD soit intervenue auprès du responsable du traitement concerné.
Lorsqu'il s'avère que le dossier d'une réclamation ne peut pas être instruit de cette manière, le Collège peut décider d'ouvrir une enquête.
Il n'existe pas de critères législatifs qui définissent quand la CNPD doit ou non ouvrir une enquête. La CNPD est une autorité de contrôle indépendante qui bénéficie du principe de l’« opportunité d'action » (cf. Avis du Conseil d'Etat du 26 juin 2018, doc. parl. N° 7184/28).
Elle peut par ailleurs refuser de donner suite à une réclamation qui est manifestement infondée ou excessive, conformément à l'article 57 (4) du RGPD.
Dans le cas de votre réclamation, l'ouverture d'un dossier d'enquête n'apparaît pas pertinente, car la CNPD ne dispose d'aucun moyen d'action à l'encontre d'un responsable du traitement établi sur le territoire des Etats-Unis d'Amérique n'ayant pas d'établissement sur le territoire de l'Union Européenne (UE) ou n'ayant pas désigné de représentant dans l’UE en vertu de l'article 27 du RGPD. En effet, dans ces cas, il lui est impossible de faire respecter les dispositions du RGPD sur le territoire des Etats-Unis d'Amérique.
3Considérant avoir répondu à vos questions, nous estimons que notre intervention dans le cadre de votre réclamation est désormais terminée. (…) » Par requête déposée au tribunal administratif le 1er mars 2021, l’association de droit autrichien …, désignée ci-après par « l’association … », mandatée à cette fin par Monsieur … par une convention de représentation signée le 16 novembre 2020, a fait introduire un recours tendant à la réformation sinon à l’annulation du courrier précité de la CNPD du 18 septembre 2020.
Par un jugement du 21 avril 2023, inscrit sous le numéro 45716 du rôle, le tribunal de céans se déclara d’abord compétent pour connaître du recours principal en réformation tout en disant qu’il n’y avait pas lieu de statuer sur le recours subsidiaire en annulation.
Il déclara ensuite le précité recours irrecevable pour défaut d’intérêt à agir dans le chef de Monsieur …, de sorte à le rejeter, ensemble la demande en allocation d’une indemnité de procédure formulée par l’association …, laquelle fut encore condamnée aux frais et dépens de l’instance.
Cette décision fut motivée par la circonstance que tant au moment de la réclamation de Monsieur … du … 2019 adressée à la CNPD, qu’au moment de l’introduction du recours sous analyse, les données personnelles de celui-ci avaient été supprimées du site internet de la société …, de sorte que le traitement de données litigieux n’était plus d’actualité. Le tribunal en tira comme conclusion que Monsieur … n’avait plus d’intérêt à agir au jour du dépôt de la requête introductive d’instance, quand bien même le traitement antérieur des données personnelles de Monsieur … par la société … aurait constitué une violation de ses droits prévus au RGPD, pour le dédommagement de laquelle, une intervention préalable de la CNPD ne serait de toute façon pas nécessaire.
Par une requête déposée au greffe de la Cour administrative en date du 23 mai 2023, l’association … a relevé appel du jugement précité du 21 avril 2023, appel qui fut déclaré recevable et fondé. Par réformation du jugement entrepris du 21 avril 2023, la Cour administrative a retenu que le tribunal administratif avait, à tort, déclaré irrecevable le recours originaire du 1er mars 2021 pour défaut d’intérêt à agir dans le chef de l’association ….
Cet arrêt est motivé par le constat que la décision litigieuse de la CNPD avait été prise dans le cadre du RGPD, dont les articles 77 et 78 du RGPD consacrent un droit à un recours juridictionnel effectif contre une décision d’une autorité de contrôle, au sens de l’article 55 de la loi modifiée du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données, dénommée ci-après « la loi du 1er août 2018 », lequel ne distingue pas le type de décisions de la CNPD qui serait susceptible de recours, de sorte à inclure a priori toute décision émanant de cette dernière à condition de faire grief. La Cour souligna également, dans ce contexte, que l’objet de la demande initiale de Monsieur … à l’adresse de la CNPD ne visait pas uniquement la cessation par la société … de l’utilisation de ses données à caractère personnel, mais également à voir ordonner à cette dernière de se conformer à l’article 27 du RGPD et de donner une suite à son droit d’accès sur le fondement de l’article 15 du RGPD, de sorte à solliciter de la part de la CNPD d’annuler le classement de l’affaire et de poursuivre le traitement de sa réclamation et puis, en cas de refus d’un droit d’accès, de constater une violation du RGPD et de prononcer, le cas échéant, une mesure corrective au sens de l’article 58 du RGPD.
4La Cour administrative renvoya en conséquence le dossier en prosécution de cause devant le tribunal administratif.
Il suit de ces considérations que la Cour administrative, dans son arrêt précité du 28 novembre 2023, a non seulement toisé de manière définitive, en le rejetant, le moyen d’irrecevabilité tenant à l’absence d’un intérêt à agir dans le chef de Monsieur …, mais a également, dans ce cadre, retenu que la décision déférée est à considérer comme un acte faisant grief susceptible de recours, de sorte à également nécessairement rejeter le moyen de la CNPD concluant à l’incompétence du tribunal administratif de connaître du recours du fait qu’il serait dirigé contre un acte ne faisant pas grief.
La question de la compétence du tribunal de céans pour connaître du recours en réformation dirigé contre la décision de classement prise par la CNPD en date du 18 septembre 2020 étant ainsi définitivement toisée, il appartient maintenant au tribunal de poursuivre son analyse des autres moyens d’incompétence et d’irrecevabilité soulevés par la CNPD.
Force est d’abord au tribunal de relever qu’à l’audience de la continuation des débats, refixée au 30 avril 2024, la CNPD a déclaré renoncer à son moyen d’irrecevabilité du recours pour avoir été introduit par l’association … et non par Monsieur … lui-même, au motif que l’application de l’article 80 (i) du RGPD serait entretemps reconnue en l’espèce.
Il lui en est donné acte.
La CNPD conclut ensuite à l’irrecevabilité de la demande formulée dans le dispositif de la requête introductive d’instance portant sur la non-conformité de la société … à l'article 27 du RGPD, demande qui serait nouvelle par rapport aux demandes lui adressées dans la réclamation, à savoir l’absence de base légale pour le traitement de la part de la société …, ainsi que la réponse non satisfaisante de la part de cette dernière concernant le droit d'accès de Monsieur ….
La CNPD fait préciser à cet égard, dans son mémoire en duplique, que la société … aurait entretemps désigné un représentant dans l'Union européenne, de sorte que les demandes en lien avec l'article 27 du RGPD seraient dès lors sans objet, tout comme les questions préjudicielles 4.1 et 4.2 y relatives.
L’association … conteste que les arguments relatifs à l'article 27 du RGPD constitueraient des « demandes nouvelles » par rapport à celles formulées par Monsieur … dans sa réclamation, alors que la CNPD aurait elle-même constaté une violation de cette disposition qu’elle estime être de portée générale et directement applicable dans tout Etat membre, de sorte à lui permettre d’invoquer la mauvaise application dudit article de la part de la CNPD.
Elle concède néanmoins, dans le contexte du recours en réformation dont le tribunal serait saisi, que ses demandes tendant à voir ordonner à la société … de se conformer à l'article 27 du RGPD seraient devenues sans objet.
Au vu de ces circonstances nouvelles, le tribunal retient dès lors qu’en raison de la renonciation, par l’association …, à sa demande de voir ordonner à la société … de se conformer à l'article 27 du RGPD, le moyen d’irrecevabilité de cette demande devient en conséquence sans objet et encourt le rejet.
5La CNPD soulève encore l’incompétence du tribunal pour prononcer des injonctions à son égard, faute de base légale afférente, alors que la compétence des juridictions administratives saisies d'un recours en réformation se limiterait à remplacer une décision administrative viciée, dans les limites de l'objet du recours, par une décision nouvelle, conforme à la loi.
La CNPD fait préciser à cet égard que les demandes formulées à l'encontre de la société … correspondraient à l'une des différentes mesures correctrices qui pourraient être prononcées en application de l'article 58, paragraphe (2) du RGPD, mesures qui seraient cependant de la compétence exclusive des autorités de contrôle nationales, de même qu’elles seraient subordonnées à une enquête contradictoire telle que prévue aux articles 37 et suivants, et plus particulièrement 40 de la loi du 1er août 2018, enquête qui n’aurait justement pas été ouverte en l’espèce.
Ainsi, le tribunal, même en siégeant en tant que juge de la réformation, ne saurait prendre en considération des faits qui n'auraient pas été discutés contradictoirement dans le cadre d’une enquête préliminaire, de sorte qu’aucune mesure correctrice ne saurait être prononcée en l’espèce à l’encontre de la société ….
La CNPD fait encore dupliquer à cet égard que l’incompétence des juridictions administratives de prononcer des injonctions à l’encontre d’une autorité administrative ne serait pas de nature à limiter leurs pouvoirs de réformation, sans que la nouvelle formulation du moyen afférent, proposée par l’association … dans son mémoire en réplique, ne soit de nature à énerver son argumentation.
Dans son mémoire en réplique, l’association … fait rappeler que le recours en réformation serait l’attribution légale au juge administratif de la compétence spéciale de statuer à nouveau, en lieu et place de l’administration, ce qui entraînerait que le juge, constatant l'illégalité de la décision déférée, devrait être en mesure de prendre la décision que la CNPD aurait initialement dû prendre, à savoir, au minimum, poursuivre le traitement de sa réclamation visant la société … afin que cette dernière se conforme aux articles 27 et 15 du RGPD et, le cas échéant, au terme d'une instruction diligente du dossier, prononcer des sanctions contre celle-
ci.
Etant donné que la CNPD serait néanmoins certainement dotée de moyens plus adéquats pour remplir ce rôle, l’association … souligne avoir demandé, à titre subsidiaire, au tribunal d'ordonner à la CNPD de prendre les mesures requises.
L’association … donne encore à considérer qu’il serait possible de formuler autrement la demande figurant au dispositif de la requête introductive d’instance en demandant au tribunal de « remplacer la décision de refus du traitement de la réclamation de M. … par la décision d'ordonner à la société … de se conformer à l'article 27 du RGPD„ d'ordonner à la société … de donner suite au droit d'accès de M. … sur le fondement de l' article 15 RGPD, de suivre l'affaire et le cas échéant, de prononcer une mesure corrective au sens de l'article 58 RGPD si … ne devait pas se conformer aux injonctions ci-dessus ».
Elle critique la position de la CNPD qui reviendrait à lui permettre de faire un recours contre ses décisions, sans pour autant lui permettre de demander quoi que ce soit au juge saisi, ce qui contreviendrait au principe du « recours effectif » devant une juridiction.
6En cas de doute sur ses compétences, il appartiendrait au tribunal de poser à la Cour de justice de l’Union européenne, dénommée ci-après « la CJUE », les questions préjudicielles suivantes :
« 5.1. Le droit de recours prévu à l'article 78 (1) et (2) du RGPD et/ou l'article 47 de la Charte des droits fondamentaux, oblige-t-il sinon permet-il au tribunal saisi de se substituer à l'autorité nationale qui a rejeté la plainte de la personne concernée afin de : rouvrir le dossier clôturé, ordonner au responsable de traitement de faire suite aux demandes de la personne concernée sur la base de l'article 15 du RGPD, et prononcer le cas échéant une mesure correctrice à l'encontre du responsable du traitement ? 5.2. Le droit de recours prévu à l'article 78 (1) et (2) du RGPD et/ou l'article 47 de la Charte des droits fondamentaux oblige-t-il sinon permet-il au tribunal d'ordonner à l'autorité nationale qui a rejeté la plainte de la personne concernée de : rouvrir le dossier clôturé, ordonner au responsable de traitement de faire suite aux demandes de la personne concernée sur la base de l'article 15 du RGPD, et prononcer le cas échéant une mesure correctrice à l'encontre du responsable de traitement ? ».
Force est au tribunal de rappeler qu’il ressort clairement de la lecture de la décision déférée que la CNPD n’a pas refusé d’ordonner des mesures correctrices à l’issue d’une enquête dirigée contre la société …, mais s’est limitée à ne pas donner de suites à la réclamation de Monsieur …, en décidant, sur base du principe de l’opportunité d'action, de ne pas ouvrir une enquête formelle à l’encontre de la société … au sens des articles 37 à 41 de la loi du 1er août 2018.
Il s’ensuit qu’au-delà du constat qu’il n’appartient pas au juge administratif, même dans le cadre d’un recours en réformation, de prononcer des injonctions à l’égard d’une autorité administrative en l’absence d’une disposition expresse l’y autorisant1, le tribunal, saisi du contrôle d’une décision déférée, est nécessairement cantonné au même niveau décisionnel que celui dans lequel se trouvait l’autorité administrative concernée, à savoir en l’occurrence la décision de procéder ou non à une enquête dirigée contre la société ….
Ainsi, si le tribunal devait arriver à la conclusion que ce serait à tort que la CNPD a classé sans suites la réclamation de Monsieur …, la conséquence en serait de prononcer l’annulation de ladite décision, dans le cadre du recours en réformation sous examen et de renvoyer le dossier à la CNPD, afin de maintenir dans le chef de l’association … la possibilité de voir toiser sa réclamation à un niveau non contentieux sur base d’une enquête en bonne et due forme diligentée par la CNPD dans le cadre des pouvoirs lui attribués à cet effet.
Il s’ensuit que c’est à bon droit que la CNPD a conclu à l’incompétence du tribunal de connaître des demandes formulées par l’association …, dans le dispositif de sa requête introductive d’instance, tendant, dans leur volet principal, à ordonner à la société … de se conformer à l'article 27 du RGPD et de donner suite au droit d'accès sollicité par M. … sur le fondement de l'article 15 RGPD, respectivement, à titre subsidiaire, d’enjoindre à la CNPD d’ordonner, à son tour, à la société … de se conformer aux articles 15 et 27 du RGPD et le cas échéant de prononcer une mesure corrective au sens de l'article 58 RGPD à l’encontre de la 1 Trib. adm., 11 mars 2015, n° 33444 du rôle, Pas. adm. 2023, V° Recours en réformation, n° 36 et les autres références y citées.
7société …, sans qu’il n’y ait lieu de poser de questions préjudicielles proposées, lesquelles manquent de pertinence en l’espèce.
Le tribunal doit dès lors se déclarer incompétent pour connaître des demandes d’injonctions à l’égard de la CNPD.
Finalement, la CNPD s’étonne encore du défaut de signification du présent recours à la société …, dont les droits de la défense seraient atteints dans le cas où le tribunal accèderait à la demande de l’association … de prononcer des mesures correctrices à l’encontre de cette première.
La CNPD fait rappeler à cet égard que des mesures correctrices ne pourraient être prononcées qu'au terme d'une enquête contradictoire, conformément aux articles 37 et suivants de la loi du 1er août 2018, laquelle n'aurait pas encore eu lieu en l'espèce.
La CNPD se rapporte dès lors à prudence de justice quant à une intervention de la société ….
L’association … fait répliquer à cet égard que le fait que la société … n'aurait pas été invitée à se joindre à la procédure ressortirait du seul fait de la CNPD qui n'aurait pas estimé nécessaire d'ouvrir une enquête à l’encontre de cette dernière, alors même que celle-ci aurait été entendue en sa prise de position.
En tout état de cause, l’association … donne à considérer qu’il ne serait nullement question de passer outre les droits de la défense de la société …, alors que le prononcé d'une mesure corrective n’adviendrait qu’en cas de non-obéissance à l'injonction que la CNPD pourrait adopter.
Elle s’offusque du fait que la CNPD lui demanderait actuellement de faire des démarches et d’engager des dépenses pour faire intervenir la société …, alors que ce serait la CNPD, tout en reconnaissant que ladite société aurait violé l'article 27 du RGPD, qui aurait décidé de ne pas engager de poursuites, ce qui aurait forcément eu pour conséquence que la société … n'aurait pas été entendue au sujet d'une possible sanction.
Sachant que la société … disposerait actuellement d'un représentant au sein de l'Union européenne, l’association … s'en remet à la prudence du tribunal quant à l'opportunité de mettre cette dernière en intervention.
Force est au tribunal de relever qu’il a retenu ci-avant qu’il n’est actuellement saisi que de la décision de la CNPD de ne pas entamer d’enquête formelle à l’encontre la société …, enquête dans le cadre de laquelle cette dernière pourrait faire valoir ses droits de manière contradictoire, de sorte que la présence de cette dernière dans le cadre de la présente instance ne s’impose pas.
Il s’ensuit que le moyen d’irrecevabilité ainsi suggéré par la CNPD est à rejeter.
Il suit de toutes les considérations qui précèdent, et à défaut de tout autre moyen d’irrecevabilité même à souligner d’office, que le recours principal en réformation, introduit par ailleurs dans les formes et délai de la loi, est recevable uniquement en ce qu’il vise la 8réformation de la décision de la CNPD de ne pas ouvrir une enquête à l’encontre de la société ….
Il n’y a partant pas lieu de statuer sur le recours subsidiaire en annulation.
A l’appui de son recours et en fait, la partie demanderesse, tout en rappelant en substance les rétroactes passés en revue ci-avant, fait préciser que la société … décrirait son activité sur la page d'accueil de son site internet comme étant celle de collecter et de commercialiser des données concernant des professionnels du monde entier et notamment de l'Union européenne.
Dans son mémoire en réplique, elle relève que si la société … affirmerait collecter des données sur « différentes sources publiques », cette dernière aurait cependant également disposé de son adresse email laquelle ne serait pas disponible publiquement sur Internet, mais aurait été copiée de son profil Linkedin, en violation des conditions générales dudit site, et recoupée avec ses autres données.
La partie demanderesse donne également à considérer que les informations le visant lui communiquées par la société … auraient été incomplètes, alors qu’il y aurait manqué sa photo, pourtant incluse dans son profil affiché sur leur site, de sorte à ce qu’il se poserait la question de savoir quelles autres données seraient éventuellement encore stockées auprès de la société ….
De plus, il apparaîtrait que la société … aurait entretemps remis en ligne son profil.
La partie demanderesse rappelle que l’objet de la réclamation introduite par Monsieur … auprès de la CNPD aurait été de réclamer contre le fait que la société … ne lui aurait pas fourni les informations nécessaires relatives au traitement de données personnelles le concernant, ainsi que contre le fait qu’elle aurait transmis ses données personnelles à des tiers, respectivement qu’elle aurait procédé à une collecte excessive de ses données personnelles, de sorte que la CNPD ne saurait prétendre qu’il se serait uniquement agi de mettre en cause la licéité des traitements effectués par la société … au sens de l'article 6 du RGPD.
La partie demanderesse s’offusque encore de la circonstance que la CNPD reprocherait un manque de coopération à Monsieur …, ainsi que le fait que ce dernier aurait introduit 12 réclamations auprès de la CNPD, respectivement fait appel à l'Ombudsman, de même qu’il se soucierait de l’intérêt général dont la protection devrait pourtant être le souci premier de la CNPD.
Elle fait encore souligner que Monsieur … aurait bien saisi la CNPD après avoir reçu la réponse de la société … le … à 12h07, soit à 23h54 et non à 11h54 du même jour, cette confusion mise en avant par la CNPD s'expliquant sans doute par un mauvais réglage de l'horloge informatique, étant relevé que Monsieur … aurait bien fait référence à la réponse reçue par la société … dans sa réclamation.
En droit, la partie demanderesse conclut à une violation par la CNPD de l'article 57 du RGPD relatif aux missions des autorités de contrôle, de leur devoir de diligence, ainsi que des articles 27 et 15 du RGPD.
9En effet, malgré le fait d’avoir elle-même soulevé que la société … serait à considérer comme responsable du traitement pour les traitements de données à caractère personnel effectués sur son site internet et que cette dernière ne disposerait pas d'un représentant dans l'Union européenne au sens de l'article 27 du RGPD, la CNPD conclurait qu’il lui serait impossible de « poursuivre de façon effective » le traitement de son dossier au motif qu’il lui serait impossible de faire respecter les dispositions du RGPD sur le territoire des Etats-Unis d'Amérique.
Or, premièrement l’absence de coopération de la société concernée serait insuffisante pour justifier l'inaction de la CNPD et, deuxièmement, le bien-fondé des décisions de la CNPD serait à apprécier non pas au regard de leur facilité d'exécution, mais au regard de la législation applicable.
La partie demanderesse fait plaider qu’en vertu de l'article 57 du RGPD, la CNPD aurait pour rôle premier de contrôler l'application de ce règlement et d'en assurer le respect, ce qu'elle ferait notamment en traitant les réclamations faisant craindre une violation du RGPD et en effectuant des enquêtes.
Or, dans l'exercice de ces missions, l'« opportunité d'action » invoquée par la CNPD pour justifier son inaction dans la présente affaire ne serait pas absolue et ne pourrait pas permettre à la CNPD d'opter pour s’abstenir d’instruire une violation manifeste du RGPD et des droits d'une personne ayant introduit une réclamation, d’autant plus que le principe d’opportunité de poursuite ne serait pas formulé comme tel dans le RGPD, mais se dégagerait uniquement d'un avis du Conseil d'Etat, lequel ne pourrait pas faire obstacle à la bonne mise en œuvre du droit de l'Union européenne. Par ailleurs, la possibilité de « refuser de donner suite à une réclamation qui est manifestement infondée ou excessive », telle que prévue à l’article 57, paragraphe (4) du RGPD ne serait pas applicable, faute, pour la CNPD, d’avoir prouvé le caractère manifestement infondé ou excessif de la demande de Monsieur ….
La partie demanderesse fait souligner que le RGPD serait bien applicable, alors qu’il s’agirait d’une collecte et d’une commercialisation de données personnelles, notamment des données relatives à l'activité professionnelle de résidents de l'Union européenne, ce que la société … concèderait d’ailleurs elle-même sur son site internet.
La partie demanderesse fait relever qu’en constatant que la société …, société basée aux Etats-Unis, n'aurait pas désigné de représentant dans l’Union européenne, la CNPD aurait implicitement reconnu une violation de l’article 27 du RGPD.
Or, contrairement à ce que semblerait être la lecture de la CNPD de cette disposition, l'obligation pour le responsable de traitement établi hors de l'Union européenne de désigner un représentant sur ledit territoire serait bien une obligation au sens de l'article 27 du RGPD et non pas une condition d'application territoriale du RGPD, de sorte que, sous peine de vider l'article 27 de sa substance, toute violation dudit article devrait être sanctionnée, notamment par les autorités nationales de contrôle de la protection des données.
Il y aurait également lieu de constater la violation de l'article 15 du RGPD par la société …, du fait que cette dernière se serait contentée de lui répondre qu'elle aurait supprimé ses données tout en lui envoyant une copie des données en question, alors même qu’il n’aurait réclamé ni l'effacement des données, ni son droit à obtenir copie des données. En effet, il aurait 10seulement demandé d'obtenir les informations relatives au traitement de données dont il aurait fait l'objet, demande pourtant restée sans réponse.
Ainsi, il aurait incombé à la CNPD d'enquêter sur cette violation de l’article 15, paragraphe (1) du RGPD.
La partie demanderesse en conclut que la CNPD aurait clairement manqué à ses obligations en décidant de mettre fin au traitement du dossier en raison de l'absence de représentant désigné sur le territoire de l'Union européenne.
Elle estime qu'une simple tentative de contact demeurerait bien en deçà des moyens dont disposerait la CNPD pour enquêter sur une violation du RGPD.
Le simple fait que le considérant numéro 116 du RGPD indiquerait que les autorités nationales de protection des données « peuvent être confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières. (…) » ne constituerait pas une exception à l'obligation de désigner un représentant en vertu de l'article 27 du RGPD.
Ensuite, le considérant numéro 6 du RGPD ne viserait en aucun cas à décharger les autorités nationales de leurs responsabilités par rapport à des transferts de données personnelles vers des Etats tiers, alors que selon son considérant numéro 116, le RGPD viserait à chercher des solutions pour permettre aux autorités nationales de protection des données d'être plus efficaces dans de telles situations, notamment en favorisant la coopération entre autorités nationales de contrôle de la protection des données et en facilitant la mise en place d'une assistance mutuelle internationale en la matière, notamment par la signature d’accords de coopération pour faciliter la mise en œuvre du RGPD au sens de l’article 50 du RGPD. Or, l'absence de tels accords ne signifierait pas qu'une mise en œuvre du RGPD devrait être abandonnée par principe et que toute plainte déposée contre un responsable de traitement sans établissement ou représentant sur le territoire de l’Union européenne devrait être rejetée, alors que ce serait précisément l'un des grands apports du RGPD que de confier aux autorités nationales de contrôle un rôle crucial pour le respect du régime juridique de la protection des données et notamment en accentuant leur rôle répressif.
En particulier, l'article 83, paragraphe 4, sous a) du RGPD, auquel renverrait l'article 48, paragraphe (1) de la loi du 1er août 2018, prévoirait que les violations des « obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 » feraient l'objet d'amendes administratives, lesquelles seraient recouvrées par l'Administration de l'Enregistrement, des Domaines et de la TVA, ayant des moyens non négligeables non seulement sur le territoire luxembourgeois mais encore au-delà en s'appuyant sur les instruments de droit de l'Union européenne, voire de droit international pertinents.
Il s'ensuivrait que face à une violation manifeste et non contestée d'une disposition du RGPD, telle que l'article 27, il aurait incombé à la CNPD non seulement d'enquêter mais encore d'agir pour mettre fin à cette violation, sous peine d'aller à l'encontre de l'exigence de diligence dégagée aux points 109 et suivants de l'arrêt de la CJUE du 16 juillet 2020, dans l’affaire C-
311/18, dénommé ci-après « l’arrêt SCHREMS II » de la CJUE.
Dans son mémoire en réplique, la partie demanderesse s’offusque du fait que la CNPD mettrait toujours en doute l’applicabilité du RGPD en se contentant de reprendre l'argumentaire 11initial de la société …, - laquelle aurait cependant entretemps changé de position avec la nomination d’un représentant dans l’Union européenne -, et ce, tout en ayant cependant pris le temps de traiter sa réclamation et en ayant considéré la société … comme responsable du traitement au sens de l'article 4, paragraphe (7) du RGPD.
La partie demanderesse fait souligner que selon l’article 3, paragraphe (2) du RGPD, ce dernier s'appliquerait au traitement des données à caractère personnel relatives à des personnes concernées se trouvant sur le territoire de l'Union européenne par un responsable du traitement ou un sous-traitant qui n'y est pas établi, lorsque les activités de traitement sont liées soit à l’offre de biens ou de services à ces personnes concernées dans l'Union européenne, ainsi lorsque il s’agit d’un suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement ayant lieu au sein de l'Union européenne.
En effet, Monsieur … se trouverait en l’espèce bien sur le territoire de l’Union européenne et la collecte de ses données sur internet par la société … serait indiscutablement liée à l'offre de services proposée par cette dernière sur le marché de l'Union européenne. A cet égard, la partie demanderesse cite un arrêt de la CJUE ayant considéré qu'il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement d’un moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dénommée ci-après « la directive 95/46 », la partie demanderesse citant encore deux décisions de la part des autorités de contrôle néerlandaise respectivement de Hambourg, par rapport à des responsables de traitement se situant en dehors de l’Union européenne.
A titre subsidiaire, il y aurait lieu de poser les questions préjudicielles suivantes à la CJUE pour déterminer si le RGPD s'applique au cas d'espèce :
« 1.1. L'article 3(2)(a) du RGPD doit-il être interprété en ce sens que le traitement de données consistant en la collecte des informations glanées sur différents sites internet, effectué par une organisation commerciale située en dehors de l'EU et sans établissement dans l'Union, et qui revend les lesdites données à des clients - y compris des clients situés sur le territoire de l'Union -, afin d'être exploitées à des fins de prospection commerciale ou professionnelle, est soumis au RGPD, dès lors que ce traitement est indissociablement lié au traitement des données des clients situés sur le territoire de l'Union ? 1.2. Si la réponse à cette question était négative, l'article 3(2)(b) du RGPD doit-il être interprété en ce sens que ce même traitement est soumis au RGPD, en ce qu'il consiste à suivre le comportement des individus résidents dans l'union en collectant systématiquement les données trouvées sur internet à leur égard ? » En tout état de cause, la CNPD, en admettant elle-même ne pas s'être prononcée sur l'applicabilité du RGPD au cas d’espèce, n'aurait clairement pas traité la réclamation litigieuse, ce qu’elle confirmerait, par ailleurs, en invoquant notamment l'article 57, paragraphe (4) du RGPD l’autorisant à refuser de donner suite à une réclamation qui serait manifestement infondée ou excessive.
Or, en se contentant d'esquiver la question de l'applicabilité du RGPD au cas d'espèce, la CNPD aurait manqué à ses obligations les plus fondamentales de régulateur.
12 En ce qui concerne le motif de refus de traitement de sa réclamation, la partie demanderesse reproche à la CNPD d’avoir invoqué son indépendance en vue de se dispenser de s'acquitter de ses obligations imposées par le RGPD, la partie demanderesse relevant que la « procédure » conçue par la CNPD ne saurait en aucun cas orienter et encore moins restreindre la portée du RGPD, sous peine de porter atteinte au principe de primauté du droit de l'Union européenne.
Alors même qu’il résulterait des écrits de la CNPD, que celle-ci aurait procédé à un classement sans suite en application de l'article 3 de la « procédure », la décision déférée ne se fonderait sur aucun des critères, certes non exhaustifs, mentionnés audit article.
La partie demanderesse fait préciser, dans ce contexte, que l'autorité belge de protection des données aurait publié des critères objectifs qui permettraient à sa chambre contentieuse de décider de classer sans suite une plainte, ce qui ne serait pas le cas de la CNPD, étant relevé que cette politique de classement sans suite ne prévoirait d’ailleurs aucunement l'impossibilité de continuer le traitement du dossier faute de présence du responsable du traitement au sein de l'Union européenne.
En ce qui concerne l'article 57, paragraphe (1), point (f) ainsi que le considérant numéro 141 du RGPD, invoqués par la CNPD dans ce contexte, et prévoyant que les autorités de surveillance ne devraient examiner l’objet d'une réclamation que dans la mesure nécessaire, respectivement que l'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d'espèce, la partie demanderesse souligne que le pouvoir discrétionnaire de l'autorité de contrôle y relatif n'échapperait pas au contrôle juridictionnel, tel que ce serait d’ailleurs le cas en jurisprudence administrative générale et ressortirait également du jugement du Verwaltungsgericht d'Ansbach, cité de façon tronquée par la CNPD à l'appui de son mémoire en réponse, ainsi que des deux décisions du Conseil d'Etat français citées par cette dernière.
Par ailleurs, le jugement du Verwaltungsgericht d'Ansbach aurait encore constaté, dans certains cas, la « réduction du pouvoir discrétionnaire à zéro », lorsque le constat d’une violation du RGPD s’imposerait ou serait à tout le moins probable.
A titre surabondant, la partie demanderesse donne à considérer que les faits ayant conduit à l'arrêt de la CJUE du 6 octobre 2015, dans l’affaire C‑362/14, dénommé ci-après « l’arrêt SCHREMS I », auraient une résonnance toute particulière dans le cas d'espèce, puisque l’autorité de contrôle irlandaise aurait refusé d'examiner la plainte de Monsieur SCHREMS au motif que les preuves auraient fait défaut. Après avoir interrogé la CJUE, la High Court irlandaise aurait réformé la décision du refus d’agir de l’autorité de contrôle irlandaise.
Quant à l’argumentation de la CNPD tirée de l'absence de moyens d'action à l'encontre d'un responsable de traitement non établi sur le territoire de l'Union européenne, et sur l'impossibilité de faire respecter ses décisions sur le territoire des Etats-Unis, la partie demanderesse donne à considérer, d’un côté, qu’il ressortirait du dossier que la CNPD aurait bien été en mesure de contacter la société … qui lui aurait d’ailleurs répondu, de sorte qu’elle aurait bien pu mettre en œuvre les moyens à sa disposition et, d’un autre côté, que la domiciliation de la société … aux Etats-Unis n’empêcherait pas la CNPD de conclure (i) à l'application du RGPD, (ii) à l'absence de représentant en violation de l'article 27 du RGPD et 13(ii) à la violation de l'obligation de transparence par la société … qui n’aurait fourni à Monsieur … ni les informations demandées ni la base légale utilisée pour le traitement de données litigieux.
La partie demanderesse renvoie à ce sujet à l’affaire LOCATEFAMILY, dans laquelle l'autorité néerlandaise n'aurait pas dû se rendre aux Etats-Unis ou exercer des pouvoirs d'enquête violant le droit international pour conclure que le RGPD s'appliquerait et que ladite société n’aurait pas disposé de représentant dans l'Union européenne.
Il en irait de même en ce qui concerne les affaires SCHREMS I et SCHREMS II où la CJUE aurait invalidé deux décisions d'adéquation relatives aux transferts de données vers les Etats-Unis sans devoir se rendre aux Etats-Unis ou enquêter sur les pratiques des autorités de surveillance aux Etats-Unis.
Par ailleurs, dans d'autres domaines, des décisions seraient également prises par des organismes sans pour autant que ce derniers aient dû procéder à une enquête que leurs pouvoirs limités les empêcheraient de mener sur le territoire de pays tiers, ce qui serait le cas pour l'Organisation Mondiale du Commerce tranchant des conflits entre Etats parties sans pour autant devoir se rendre dans les pays concernés, respectivement pour l'analyse d'une demande d'asile se faisant forcément sur base de la situation particulière du demandeur d'asile et de la situation de son pays d’origine, sans qu’il n’y ait lieu d’envoyer un agent pour procéder à une enquête dans ledit pays. Il en serait de même en droit de la concurrence, où les autorités pourraient évaluer les effets anticoncurrentiels sur leur marché et les pratiques illégales ayant eu lieu à l'étranger sans pour autant devoir se rendre sur place pour enquêter et violer, de ce chef, le droit international.
En tout état de cause, la CNPD aurait très bien pu utiliser le mécanisme de coopération avec ses homologues européens prévu par les articles 61 et suivants du RGPD.
Par ailleurs, la société … serait située en Californie, où serait entré en vigueur le California Consumer Privacy Act, dont la mise en œuvre serait confiée à l'Attorney General, que la CNPD aurait pu contacter dans ce contexte, comme cela aurait été fait dans l’affaire LOCATEFAMILY, où l'autorité néerlandaise de protection des données aurait contacté son homologue canadien et en lui demandant de collaborer à l'enquête.
De plus, de nombreuses autorités de contrôle auraient déjà prononcé des sanctions à l'encontre de sociétés non établies dans l'Union européenne, à savoir notamment celles des Pays-Bas, de Hambourg, d’Angleterre, de la France et de la Norvège.
La partie demanderesse cite encore, à ce sujet, la décision de la CJUE dans l'affaire C-
507/17, où cette dernière aurait confirmé la possibilité pour une autorité de contrôle de prononcer une mesure correctrice à l'égard d'une société établie aux Etats-Unis, avec également la possibilité de l'obliger à déréférencer des autres domaines que les domaines européens.
De son côté, l’arrêt de la CJUE du 13 mai 2014, dans l’affaire C-131/12, dénommé ci-
après « l’arrêt GOOGLE SPAIN », aurait clarifié l'importance de soumettre au RGPD et donc à la compétence des autorités de contrôle, les sociétés non établies dans l'Union européenne mettant en place des traitements affectant les individus dans l'Union européenne. La partie demanderesse souligne ainsi que la circonstance que ce moteur de recherche serait exploité par une entreprise d'un État tiers ne saurait avoir pour conséquence que le traitement de données à 14caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche dans le cadre de l'activité publicitaire et commerciale d'un établissement du responsable de ce traitement sur le territoire d'un État membre soit soustrait aux obligations et aux garanties prévues par la directive 95/46 et par le RGPD.
Ce serait d'ailleurs suite à cet arrêt que la Commission européenne se serait assuré d’insérer l'article 3, paragraphe (2) dans le texte du RGPD.
En ce qui concerne les sanctions concrètement possibles d’être prises envers la société …, la partie demanderesse estime que, contrairement à ce qu'affirmerait la CNPD, les sanctions pécuniaires ne seraient pas du tout « hors sujet », alors que l'autorité néerlandaise de protection des données aurait justement retenu ce type de sanction à l'encontre d'une société extra-
européenne ayant manqué à son obligation de désigner un représentant sur le territoire de l'Union européenne.
La partie demanderesse renvoie également à l'article de Benjamin GREEZE, abondamment cité par la CNPD dans son mémoire en réponse, lequel ferait référence à la possibilité non théorique de bloquer des sites web et/ ou certains domaines.
En tout état de cause, même dans l'hypothèse où la décision de la CNPD ne pourrait pas faire l'objet d'une exécution forcée, cela ne devrait nullement empêcher la CNPD d'enquêter, respectivement d'adopter une décision.
La partie demanderesse cite encore une affaire YAHOO!, dans laquelle la Cour d'appel américaine du neuvième circuit aurait constaté que la France serait un État souverain qui pourrait décider d'interdire la vente de certains objets sur son territoire et qu’il appartiendrait à une société américaine, ayant choisi de développer ses activités à l'étranger, d’accepter de faire face à ses responsabilités si elle n'applique pas les législations étrangères.
Il ne serait d’ailleurs pas exclu qu’une société, non basée dans l'Union européenne, se conforme spontanément à la décision d’une autorité de contrôle d’un Etat membre, alors que le préjudice de réputation et commercial pour les entreprises concernées ne devrait pas être négligé.
A titre subsidiaire, il y aurait lieu de poser les questions préjudicielles suivantes à la CJUE :
« 6.1 Les articles 55 et 58 du RGPD doivent-ils être interprétés comme permettant à une autorité de contrôle de clôturer une réclamation au motif qu'elle ne disposerait pas des moyens d'enquête nécessaire au traitement de la réclamation en vertu de ses pouvoirs limités sur son territoire national ? » « 6.2. Les articles 55 et 58 du RGPD doivent-ils être interprétés comme permettant à une autorité de contrôle de clôturer une réclamation au motif que sa décision éventuelle ne pourrait en tout état de cause pas faire l'objet d'une mesure d'application ? » La CNPD conclut au rejet du recours en précisant en fait qu’en date du … 2019 à 11h54, Monsieur … aurait déposé une réclamation afin de porter à sa connaissance les difficultés qu'il aurait rencontrées avec la société …, et notamment concernant la licéité des traitements effectués par cette dernière au sens de l'article 6 du RGPD et ce, avant même d’avoir contacté la société ….
15 La CNPD fait ensuite relever que Monsieur … aurait affirmé dans le formulaire de réclamation que la société … n’aurait pas répondu à sa prise de contact avec cette dernière, alors qu’il ressortirait actuellement des pièces versées que cette dernière aurait bien répondu à Monsieur … le jour même, de sorte que, lors du dépôt de sa réclamation, il n’aurait pas répondu aux questions reprises dans le formulaire avec toute la sincérité requise, attitude qui aurait perduré au-delà du dépôt de la réclamation, alors que, malgré sa demande y relative, Monsieur … ne lui aurait jamais transmis la réponse de la société …. Cette absence de collaboration s'illustrerait encore par la brièveté des éléments de réponses fournis par Monsieur … dans son courriel du 9 avril 2019 en réponse aux demandes d'explications et contextualisation lui adressées, la CNPD estimant que ce dernier entendrait surtout, par le biais de sa réclamation, défendre l'intérêt général ou collectif des personnes dont les données seraient traitées par la société … et que ses difficultés personnelles rencontrées avec cette dernière auraient été relativement secondaires sinon inexistantes.
La CNPD fait relever qu’elle aurait néanmoins traité la réclamation litigieuse de manière régulière en tenant Monsieur … informé de son état d'avancement, ainsi que de l'issue réservée à cette dernière, conformément aux articles 57, paragraphe (1), point f), 77, paragraphe (2) et 78, paragraphe (2) du RGPD.
La CNPD demande encore à noter que la réclamation litigieuse relative à la société … ne serait qu’une des très nombreuses réclamations et demandes déposées par Monsieur …, alors que depuis le mois d’avril 2019, celui-ci aurait introduit pas moins de douze réclamations distinctes, dont une subdivisée en trois dossiers, auxquelles elle aurait à chaque fois répondu, tel qu’elle l’aurait également fait pour cinq demandes d'informations et la demande d'accès aux documents de la part de ce dernier.
Par ailleurs, Monsieur … aurait introduit auprès de l'Ombudsman une réclamation à l'encontre de la CNPD en automne 2020.
Au total depuis avril 2019, ce ne serait pas moins de 229 emails et courriers qui auraient été échangés avec Monsieur ….
La CNPD fait encore dupliquer à cet égard que Monsieur … ne pourrait pas être considéré comme un personnage anonyme sur internet, alors qu’une simple recherche sur internet permettrait de collecter manuellement l'ensemble des données personnelles détenues par la société … et plus encore, sans aucune nécessité de souscrire à un service quelconque. Il y aurait ainsi deux blogs personnels de Monsieur …, ainsi que ses profils LinkedIn et Twitter comprenant de nombreuses données sur lui, tel qu'une description détaillée de son parcours professionnel, son lieu de résidence et une photo de profil.
En droit, la CNPD fait d’abord plaider que l’applicabilité du RGPD à la société … en vertu de l'article 3, paragraphe (2) du RGPD ne serait pas évidente, tout en faisant préciser que, contrairement aux allégations de la partie demanderesse, elle n’aurait jamais érigé la désignation par la société … d'un représentant de l'Union européenne comme une condition d'application territoriale du RGPD, mais qu’elle aurait simplement constaté qu'un tel représentant n'aurait pas été désigné, ce qui la limiterait dans ses moyens d'actions à l’égard de la société … basée aux Etats-Unis.
16Contrairement à ce qui serait prétendu dans la requête introductive d’instance, la notice « General Data Protection Regulation » de la société … préciserait que cette dernière considérerait clairement que le RGPD ne s'appliquerait pas aux traitements effectués sur les données des personnes figurant sur son site, alors qu’elle se limiterait à collecter des données professionnelles déjà volontairement publiés par les personnes concernées.
La CNPD fait souligner que le fait qu’elle ait indiqué, dans son email du 6 mars 2020, qu'elle ne partagerait pas l'analyse de la société … et qu'elle serait d'avis que cette dernière serait bien à considérer comme responsable du traitement, ne signifierait cependant pas qu’elle aurait considéré ou considèrerait que les traitements effectués par cette dernière entreraient dans le champ d'application territorial du RGPD au regard des critères de l'article 3, paragraphe (2) du RGPD.
La CNPD fait encore dupliquer à cet égard, que la partie demanderesse n’établirait pas que le RGPD serait applicable au cas d’espèce.
Ainsi, l'arrêt GOOGLE SPAIN de la CJUE, invoqué par la partie demanderesse, ne serait pas pertinent pour expliquer la portée de l'article 3, paragraphe (2), point a) du RGPD, n’ayant pas encore existé au jour de l’arrêt, mais tout au plus de l'article 3, paragraphe (1) du RGPD, concernant le traitement de données effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire d’un Etat membre de l’Union européenne, cas de figure par ailleurs étranger à la situation de l’espèce, étant donné que la société … n’aurait pas d'établissement dans l'Union européenne. Il en serait de même en ce qui concerne l'affaire LOCATEFAMILY, qui ne serait pas non plus pertinente en l’occurrence.
En ce qui concerne l'article 3, paragraphe (2), point a) du RGPD, la CNPD fait relever, par référence aux lignes directrices publiées par l’European Data Protection Board, dénommé ci-après « l'EDPB », relatives au champ d'application territorial du RGPD, que la simple accessibilité du site internet du responsable du traitement ne serait pas en soi une preuve suffisante pour démontrer la volonté d'offrir des biens et services à des personnes concernées sur le territoire de l'Union européenne. Après avoir cité les différents facteurs afférents cités par l’EDPB dans ses lignes directrices, la CNPD déduit des explications données par la société … à Monsieur …, que cette dernière ne ciblerait pas spécifiquement le territoire et les résidents de l'Union européenne avec son offre de services et que Monsieur … ne saurait être considéré comme un client de … du simple fait que ses données seraient accessibles sur le site de cette dernière, offrant des services exclusivement entre professionnels (B2B), payables en dollars américains et sans possibilité de changer de monnaie et de langue. Par ailleurs, la clientèle mentionnée par la société … sur son site pour faire la promotion de ses services (à savoir FACEBOOK, GOOGLE, MICROSOFT, BANK OF AMERICA, INTEL, DISNEY) serait exclusivement basée aux Etats-Unis et non dans l'Union européenne. Il en irait de même pour les témoignages repris sur ledit site.
Ainsi, il ne saurait être exclu que ce ne serait que par incidence que les services fournis par la société … seraient accessibles par des clients localisés dans l'Union européenne et ce, même si ces services seraient relatifs à des données a priori professionnelles de résidents de l'Union européenne, de sorte que la volonté de la société … d'offrir des services à des personnes concernées résidant dans l'Union européenne ne serait en l'espèce pas suffisamment démontrée.
En tout état de cause, la CNPD estime qu’à la lecture de l’article 3, paragraphe (2), point a) du RGPD, cette disposition limiterait l’application de l’RGPD au traitement des 17données aux seules offres de biens et de services effectuées vers les personnes dont les données seraient traitées. Si l'EDPB n'apporterait pas de précisions sur ce point dans ses lignes directrices relatives au champ d'application territorial du RGPD, tous les exemples y cités concerneraient des hypothèses dans lesquelles, pour fournir le service proposé à une personne concernée, le responsable de traitement devrait traiter les données de cette même personne.
Or, en l'espèce les services fournis par la société … ne sembleraient pas être destinés aux personnes concernées dont elle traiterait les données, mais à des tiers.
Concernant l'article 3, paragraphe (2), point b) du RGPD, invoqué subsidiairement par la partie demanderesse, la CNPD est d'avis que le cas d'espèce ne remplirait pas les conditions d'application de celui-ci, alors qu’en vertu du considérant 24 du RGPD, le suivi du comportement des personnes au sein de l'Union européenne nécessiterait l'utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel consistant en un profilage d'une personne physique, en vue par exemple d’une publicité comportementale, de la géolocalisation, de l'utilisation de cookies ou encore des services personnalisés d'analyse relatifs à la santé ou l'alimentation.
Selon l’EDPB, ne serait pas automatiquement considérée comme un « suivi » la collecte ou l'analyse en ligne de données personnelles, sans tenir compte de la finalité et de l'analyse comportementale impliquant lesdites données. Or, en l'espèce, les informations disponibles quant aux traitements effectués par la société … ne permettraient pas de conclure qu'un suivi du comportement des personnes concernées serait effectué, alors que cette dernière semblerait se limiter à mettre à disposition de ses utilisateurs un ensemble de données publiées sur internet en vue d'être utilisées à des fins de prospection commerciale et professionnelle.
La décision de l'autorité de contrôle de Hambourg citée par la partie demanderesse dans ce cadre à l'égard de la société américaine CLEARVIEW AI, ne serait pas pertinente en l’espèce, alors que les actes de traitement effectués par cette dernière à l'origine de la décision de l'autorité allemande seraient très éloignés de ceux du cas d'espèce, du fait de correspondre à un moteur de recherche par reconnaissance faciale comparant une photographie avec des milliards de photographies collectées sur la toile, ensemble les métadonnées liées auxdites photographies.
A titre subsidiaire, s'agissant, de la question préjudicielle 1.2 proposée par la partie demanderesse quant à l'applicabilité de l'article 3, paragraphe (2), point b) du RGPD à une activité telle que celle exercée par la société …, la CNPD demande à reformuler ladite question comme suit :
« L'article 3, §2, b) du RGPD doit-il être interprété en ce sens que le traitement de données relatives à des personnes résidant dans le monde entier consistant en la collecte d'informations glanées sur différents sites internet et se limitant a priori à des données professionnelles du type parcours académique, emploi, adresse email et pays de résidence, effectuée par une organisation commerciale située en dehors de l'UE et sans établissement dans l'Union, et qui revend lesdites données à des clients afin d'être exploitées à des fins de prospection commerciale ou professionnelle, est à considérer comme un suivi du comportement de personnes concernées qui a lieu au sein de l'Union au sens de cet article, et dès lors serait soumis aux dispositions du RGPD ? ».
18En ce qui concerne les voies de recours admissibles en la matière, la CNPD relève que le RGPD envisagerait spécifiquement la question du recours juridictionnel effectif ouvert dans le contexte d'une réclamation, dans son article 78, paragraphe (2), et ce, dans deux hypothèses, à savoir (i) en cas d'absence de traitement de la réclamation ou (ii) en cas de non-information du réclamant de l'état d'avancement ou de l'issue de la réclamation.
Si, ce faisant le législateur européen aurait imposé aux autorités nationales une obligation de traitement de la réclamation, il n’en découlerait cependant pas que les autorités nationales seraient contraintes de poursuivre, de sanctionner ou de prendre des mesures correctrices à l'égard de toute violation du RGPD.
Dans son mémoire en duplique, la CNPD fait remarquer qu’elle ne serait pas restée inactive, alors qu’elle aurait effectué des démarches qui l’auraient amenée à clôturer la réclamation sans ouvrir d'enquête conformément aux articles 38 et suivants de la loi du 1er août 2018 en vue de la prononciation éventuelle de mesures correctrices. Ainsi, elle n’aurait pas rejeté la réclamation, alors qu’un tel rejet ou refus de traitement aurait alors dû intervenir à un stade antérieur du processus de traitement des réclamations.
La CNPD renvoie à la décision du Hamburgisches Oberverwaltungsgericht du 7 octobre 2019 citée par la partie demanderesse, qui s'exprimerait sur ce qu'il faudrait entendre par rejet ou refus d'une réclamation, pour soutenir qu’il ne saurait être retenu que toute décision de non-ouverture d'enquête et de clôture d'une réclamation, même après un premier examen et une prise de contact avec le responsable de traitement, devrait être qualifiée de non-traitement de celle-ci. La seule possibilité d’une violation du droit fondamental au respect de la vie privée d'un individu ne saurait l’obliger à ouvrir une enquête et donner lieu à des mesures correctrices, en raison du fait qu’une telle interprétation ne lui permettrait pas de prioriser son action en fonction de la gravité des cas qu'elle traite, ce qui reviendrait encore à lui dénier toute indépendance et tout pouvoir d'appréciation.
De plus, une automaticité des sanctions, dès qu'une violation du RGPD serait probable, serait contraire au principe de proportionnalité des peines prévu à l'article 49 de la Charte des droits fondamentaux de l'Union européenne, dénommée ci-après « la Charte », tel que cela aurait notamment été souligné par la doctrine.
En ce sens, cette impossibilité pour le réclamant d'invoquer un droit individuel à l'intervention de l'autorité de contrôle et à la prise de mesures spécifiques par cette dernière aurait été confirmée dans une décision du 21 avril 2021 du Verwaltungsgericht Berlin qui ne serait pas la première à avoir retenu ce principe.
Dans son mémoire en duplique, la CNPD fait encore souligner que par le fait qu’elle ait constaté que la société … n’aurait pas de représentant dans l’Union européenne, ne saurait signifier qu’elle aurait conclu à l’applicabilité du RGPD et à une violation de son article 27.
En ce qui concerne la critique selon laquelle elle n'aurait pas instruit la réclamation litigieuse avec toute la diligence requise, la CNPD, en référence à un jugement du Oberverwaltungsgericht Rheinland-Pfalz du 26 octobre 2020, estime qu’elle aurait pris la décision déférée en fonction des ressources et possibilités à sa disposition dans une proportion lui semblant justifiée et raisonnable au regard de l'importance de l'affaire pour Monsieur … et de la gravité des faits, et en considération du fait qu’elle aurait été confrontée aux limites de ses moyens en matière de mise en œuvre du RGPD dans des pays tiers tels que les Etats-Unis.
19Autrement dit, elle estime avoir pris en considération aussi bien la perception subjective de Monsieur …, que l'enjeu objectif de la violation alléguée pour apprécier l'opportunité d'engager des poursuites.
Au fond, la CNPD fait d’abord relever que les articles 27 et 15 du RGPD, dont la violation serait mise en exergue par la partie demanderesse, comprendraient des obligations s'appliquant aux responsables de traitement, sans prévoir d’injonction y relative à l'égard des autorités nationales de contrôle.
La CNPD considère que la décision déférée ne violerait pas l'article 57 du RGPD, alors qu’elle (i) aurait traité et instruit la réclamation litigieuse, (ii) serait, en droit, totalement indépendante en bénéficiant d'une large marge de manœuvre dans l'appréciation de l'opportunité des poursuites ou des mesures correctrices à prendre et (iii) aurait valablement justifié la clôture de la réclamation litigieuse.
En effet, l'article 57 du RGPD ne l’obligerait pas à ouvrir une enquête ou de prononcer des mesures correctrices, mais se limiterait à lui imposer de (i) de traiter les réclamations, (ii) d’en examiner l’objet et (iii) d’informer le réclamant de l'état d'avancement et de l'issue de l'enquête.
Une obligation d’ouverture d’une enquête ou de sanction ne saurait pas non plus être déduite des arrêts SCHREMS de la CJUE, étant donné que l'arrêt SCHREMS II aurait, au contraire, retenu que chaque autorité de contrôle serait tenue de procéder au traitement d'une réclamation avec toute la diligence requise, le renvoi à la notion de diligence étant à comprendre comme un rappel des formulations « dans la mesure du nécessaire » de l'article 57, paragraphe (1), point f) du RGPD et « dans la mesure appropriée requise » du considérant 141 du RGPD, ce qui serait également confirmé en doctrine.
Elle en conclut qu’il ne serait pas contestable, ni contesté, qu’elle aurait bien traité la réclamation litigieuse et informé Monsieur … de l'état d'avancement ainsi que de l'issue y réservée, de sorte qu’elle aurait bien respecté ses obligations en vertu de l'article 57 du RGPD lesquelles ne lui imposeraient pas de prendre des mesures correctrices ou d'ouvrir une enquête.
La CNPD fait ensuite souligner, toujours sans reconnaissance quant à l'applicabilité du RGPD en l’espèce, que conformément aux articles 51 et 52 du RGPD, chaque autorité de contrôle exercerait ses pouvoirs en toute indépendance, en application notamment de l'article 8 de la Charte et de l'article 16, paragraphe (2) du Traité sur le fonctionnement de l'Union européenne, dénommé ci-après « la TFUE ».
Au niveau national, son indépendance serait soulignée par les articles 3 et 17, paragraphe (2) de la loi du 1er août 2018, indépendance qui aurait comme corollaire direct une liberté quant à l'opportunité des poursuites suite au dépôt d'une plainte.
La liberté de principe de classer des affaires sans suite ou de les clôturer sans ouvrir d'enquête ou de prononcer de mesures correctrices résulterait également de l'article 57, paragraphe (1), point f) du RGPD, qui poserait le principe que les autorités de surveillance ne devraient examiner l'objet d'une réclamation que « dans la mesure nécessaire », confirmé par le considérant 141 du RGPD précisant que l'enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d'espèce.
20La CNPD se réfère également, à ce sujet, à l’avis du Conseil d’Etat du 26 juin 2018 portant sur le texte du projet de loi de la loi du 1er août 2018, qui aurait mis en exergue, dans son commentaire sur l'article 37, le principe de l’opportunité d’action, lequel aurait également été introduit dans la procédure relative aux réclamations de la CNPD à ses articles 1 et 3.
De façon similaire, le Conseil d'Etat français aurait jugé que l’autorité de contrôle française, dénommée ci-après « la CNIL », disposerait, en tant qu’autorité administrative indépendante, d'un large pouvoir d'appréciation compte tenu de l'ensemble des intérêts généraux dont elle aurait la charge.
Il en serait de même de la jurisprudence allemande permettant aux autorités de contrôle, entre autres, de tenir compte de leurs ressources et possibilités, ainsi que de la gravité de l'atteinte aux droits de la personne concernée, même en cas de violation constatée ou de violation probable du RGPD, en ce que le plaignant n'aurait aucun droit à la prise de mesures règlementaires par l'autorité de contrôle. Cette position serait également partagée par l'arrêt SCHREMS II, ainsi que par la doctrine.
Etant donné que l'article 37 de la loi du 1er août 2018 correspondrait au libellé de l'article 10 de la loi modifiée du 23 octobre 2011 relative à la concurrence, il pourrait également être fait une analogie avec la jurisprudence en matière du droit de la concurrence où la liberté d'opportunité des poursuites aurait déjà été consacrée au Luxembourg, La CNPD en conclut qu’en vertu du principe de l'opportunité des poursuites, elle aurait eu la liberté, en l'espèce, de clôturer la réclamation litigieuse, qu’elle aurait traitée dans la mesure du nécessaire et avec toute la diligence requise jusqu'à être confrontée à la limite de l'applicabilité de ses pouvoirs d'enquête et des mesures correctrices en raison de l’établissement sur le territoire des Etats-Unis de la société ….
Dans son mémoire en duplique, la CNPD revient encore une fois à l’analogie avec le droit de la concurrence, matière dans laquelle le juge administratif aurait retenu que le Conseil de la concurrence ne serait pas, en toute hypothèse, obligé de mener une enquête à condition de motiver sa décision, soulignant ainsi l’existence du principe de l’opportunité des poursuites lequel ne serait pas non plus mentionné expressis verbis dans les dispositions légales applicables à ladite matière.
Quant à l’argument de la partie demanderesse selon lequel elle aurait dépassé les limites de son pouvoir discrétionnaire, en ce que Monsieur … serait bien en droit d'attendre une intervention de l'autorité de contrôle dans le cas où une violation du RGPD est identifiée ou à tout le moins probable, la CNPD fait rétorquer que la partie demanderesse n'aurait pas autorité pour qualifier des faits de violation du RGPD, alors que le constat de l'existence d'une violation probable du RGPD relèverait de sa seule compétence à elle, dans le cadre d’une décision prise, sous le contrôle éventuel du juge administratif, compte tenu de ses moyens et ressources.
Si la CNPD ne conteste pas que le droit au respect de la vie privée et le droit à la protection des données seraient deux droits fondamentaux consacrés dans les traités de l'Union européenne et dans la Charte, il ne faudrait pas oublier qu'il ne s'agirait pas de droits absolus, dans le sens que toute violation des dispositions du RGPD devrait systématiquement être entendue comme une violation des droits et libertés fondamentaux de la personne concernée justifiant une intervention automatique de la part de l'autorité de contrôle.
21En effet, la gravité d'une violation du RGPD et dès lors des droits et libertés fondamentaux, varierait nécessairement en fonction des faits de l'espèce, considération dont la partie demanderesse ferait entièrement abstraction, de même que de la nécessité d'efficience et de l’efficacité que doit comprendre tout action d'une autorité de contrôle.
La CNPD cite encore un extrait d’une décision du Conseil d'Etat français du 16 octobre 2019, laquelle aurait précisé que pour apprécier l'opportunité d'engager des poursuites, il pourrait être tenu compte de la gravité des manquements en cause au regard de la législation ou de la réglementation, de la date à laquelle ils ont été commis, du contexte dans lequel ils l'ont été et, plus généralement, de l'ensemble des intérêts généraux à préserver. Il en serait de même pour l'autorité belge qui définirait cette notion par les critères pour identifier des traitements à haut risque comme les activités de profilage et de prédiction, la prise de décisions automatisées, la surveillance systématique de zones accessibles au public, le traitement de données sensibles à caractère hautement personnel, la combinaison d'ensemble de données qui outrepasseraient les attentes raisonnables de la personne concernée, les traitements de données de personnes vulnérables, etc. De plus, il serait pris en considération l'intérêt personnel de la personne concernée, mesuré, entre autres, par la circonstance que la personne concernée a ou non introduit une réclamation auprès du responsable de traitement ou lui a ou non laissé suffisamment de temps pour répondre, que la plainte a disparu du fait des mesures prises par le responsable de traitement ou encore qu’un examen approfondi de la plainte serait ou non disproportionné compte tenu des moyens nécessaires pour l'examiner, des chances de succès de la plainte ou du volume des plaintes reçues pour une même thématique.
Dans le même ordre d'idées, l'autorité néerlandaise aurait publié les critères suivants pour établir s'il y a lieu de poursuivre son investigation suite à la première évaluation initiale :
la mesure dans laquelle la personne concernée est affectée par la violation alléguée, l'importance sociétale plus large d'une éventuelle action de l'autorité de contrôle, ainsi que la mesure dans laquelle l'autorité de contrôle est en mesure d'agir de manière efficace et efficiente, le tout justifié par la nécessité de priorisation et d'hiérarchisation.
Selon la CNPD, les critères ainsi appliqués par les autorités belge et néerlandaise se retrouveraient également au Luxembourg dans l’article 3 de la procédure applicable aux réclamations, lui conférant un pouvoir discrétionnaire pour apprécier si elle devrait instruire une réclamation ou non en fonction des caractéristiques propres à chaque réclamation, en tenant compte notamment du degré de gravité des faits allégués ou de la violation alléguée, du degré d'impact sur les droits et libertés fondamentaux, du degré de priorité par rapport au nombre de réclamations et de ressources disponibles.
En tout état de cause la CNPD conteste qu'un plaignant puisse exiger de sa part de prononcer des mesures correctrices spécifiques à l'égard d'un responsable de traitement même si la théorie allemande de la « réduction du pouvoir discrétionnaire à zéro » devait s'appliquer, alors que la jurisprudence allemande ne parlerait que d’un « droit à l'intervention de l'autorité de contrôle ». En tout état de cause, cette « réduction du pouvoir discrétionnaire à zéro » constituerait une exception au pouvoir d'appréciation de l'autorité de contrôle et devrait donc, en toutes hypothèses, faire l'objet d'une interprétation restrictive.
Quant au bienfondé de sa décision de clôture, la CNPD fait souligner que cette dernière ne serait nullement motivée par l'article 57, paragraphe (4) du RGPD permettant à une autorité de contrôle de refuser de donner suite à une réclamation lorsqu'elle serait manifestement 22infondée ou excessive, même si cette possibilité aurait été mentionnée à titre informatif dans la décision déférée.
Tout en soulignant que, même dans le cadre d'un recours en réformation, le juge administratif saisi ne saurait étendre son contrôle de l'opportunité de manière à empiéter sur le terrain des choix de politique générale ou de choix économiques, la CNPD estime que la réformation de la décision déférée laquelle serait motivée par le constat qu’elle n’aurait aucun moyen d'action à l'encontre d'un responsable de traitement établi sur le territoire des Etats-Unis d'Amérique n'ayant pas d'établissement, respectivement pas de représentant sur le territoire de l'Union européenne, reviendrait à donner à la décision du tribunal administratif une orientation dépassant très largement le cadre limité de la présente espèce, d’autant plus que l'applicabilité du RGPD à la société … en vertu de l'article 3, paragraphe (2) du RGPD ne serait pas évidente, la CNPD rappelant qu’elle ne se serait jamais prononcée sur ce point.
En effet, l'établissement de l'applicabilité du RGPD aux traitements faisant l'objet de la réclamation litigieuse aurait nécessité des mesures d'enquête supplémentaires de sa part, ce qui n’aurait pas été possible à défaut d'un pouvoir d'enquête en dehors de son territoire national et donc a fortiori sur le territoire américain, ce dont le législateur européen aurait par ailleurs parfaitement conscience en ayant introduit l'article 3, paragraphe (2) du RGPD.
La CNPD cite à ce sujet le considérant 116 du RGPD, prévoyant qu’au vu du fait que les autorités de contrôle seraient confrontées à l'impossibilité d'examiner des réclamations ou de mener des enquêtes sur les activités exercées en dehors de leurs frontières, il serait nécessaire de favoriser une coopération plus étroite entre les autorités de contrôle de la protection des données, pour les aider à échanger des informations et mener des enquêtes avec leurs homologues internationaux.
Une coopération internationale impliquant la conclusion de traités ou d’accords internationaux serait dès lors indispensable, laquelle ferait cependant défaut à ce jour, sans que cette conclusion ne soit énervée par le fait que le recouvrement des amendes serait confié à l'Administration de l'Enregistrement et des Domaines, alors que ce type de sanction serait hors sujet dans le cadre du présent recours, étant donné qu’en l’absence d’enquête, il ne saurait être question d'infliger une amende à la société ….
Il en irait de même des parallélismes avec le droit de la concurrence ainsi que du protocole de coopération conclu avec l'Autorité belge par rapport au blocage de sites internet.
Dans son mémoire en duplique, la CNPD fait encore souligner qu’elle serait soumise à une exigence de loyauté de preuve et d'enquête découlant de l'article 6 de la CEDH, de sorte qu’elle ne saurait se permettre de procéder par des provocations à commettre une infraction, de même que tout contournement des règles de procédure lui serait interdit.
S'agissant des mesures en lien avec le blocage des sites internet, la CNPD fait relever qu’en Belgique, ce type d'accord ferait débat, en ce qu’il serait reproché à l’autorité belge de prendre des mesures coercitives illégales et d'intimidation du fait de s'octroyer unilatéralement le pouvoir de fermer des sites internet en cas de soupçon d'infraction.
Concernant le mécanisme d'assistance organisé par les articles 61 et suivants du RGPD évoqué par la partie demanderesse, la CNPD donne à considérer qu’il s'agirait d'une coopération entre autorités européennes et non étrangères. En tout état de cause, ce mécanisme 23d'entraide ne permettrait pas de réaliser des enquêtes en dehors de l'Union européenne ni de mettre en œuvre des décisions en dehors du territoire européen.
La CNPD relève encore qu'en vertu de l'article 43 de la loi du 1er août 2018, elle serait uniquement autorisée à collaborer avec des autorités administratives soumises à un secret professionnel au moins équivalent au sien.
La CNPD conclut au regard de toutes ces considérations que la décision déférée serait toujours légalement justifiée, du fait que les moyens qui auraient dû être déployés auraient été largement disproportionnés par rapport à un résultat somme toute incertain, d’autant plus qu’il ne serait pas établi que les traitements mis en lumière par Monsieur … présenteraient un risque élevé pour ce dernier, quand bien même le droit au respect de la vie privée serait un droit fondamental.
En effet, les données de Monsieur … traitées par la société … correspondraient à des données non sensibles du type de celles comprises sur un profil LinkedIn, de même que rien n'indiquerait qu'un traitement à haut risque aurait été effectué avec les données de Monsieur …, les jurisprudences étrangères invoquées à l’appui du recours n’étant pas transposables au présent cas d’espèce, tant en ce qui concerne le nombre de plaintes que quant à la sensibilité des données et l’envergure du traitement.
A titre liminaire force est au tribunal de relever que si la partie demanderesse estime que la CNPD, par sa décision déférée du 18 septembre 2020, aurait violé tant l’article 57 que les articles 15 et 27 du RGPD, c’est à bon droit que la CNPD a fait plaider que sur ces trois articles, seul l’article 57 comprend des obligations lui opposables, alors que les articles 15 et 27 s’appliquent uniquement aux responsables de traitement et non aux autorités de contrôle, telle que la CNPD.
En effet, en substance, la critique adressée à la CNPD en l’espèce consiste dans le reproche lui adressé de ne pas avoir, en violation de l’article 57 du RGPD définissant les missions des autorités de contrôle, fait suivre la réclamation litigieuse de Monsieur … d’une enquête à l’encontre de la société … pour violation, par cette dernière, des articles 15 et 27 du RGPD, et partant de ne pas avoir fait en sorte que les articles 15 et 27 soient respectés par cette dernière en vue de garantir les droits de Monsieur ….
Aux termes de l’article 57, paragraphe (1) du RGPD : « (…) Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
a) contrôle l'application du présent règlement et veille au respect de celui-ci ;
(…) f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l'article 80, examine l'objet de la réclamation, dans la mesure nécessaire, et informe l'auteur de la réclamation de l'état d'avancement et de l'issue de l'enquête dans un délai raisonnable, notamment si un complément d'enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;
(…) 24 h) effectue des enquêtes sur l'application du présent règlement, y compris sur la base d'informations reçues d'une autre autorité de contrôle ou d'une autre autorité publique ; (…) ».
Si, tel que déjà retenu par la Cour administrative, dans son arrêt précité du 28 novembre 2023, les articles 77 et 78 du RGPD2 consacrent un droit à un recours juridictionnel effectif contre une décision d’une autorité de contrôle faisant grief, comme celle de l’espèce de ne pas donner de suite à une réclamation au sens de l’article 77 du RGPD, le tribunal, dans le cadre de son contrôle de la décision lui déférée, est tenu de tenir compte de l’indépendance de l’autorité de contrôle, au sens de l’article 52 du RGPD3, ainsi que du principe de l’opportunité de la poursuite sous-jacent.
Dans ce contexte, force est d’abord de rappeler que la décision déférée, telle que reprise in extenso ci-avant, est motivée par le fait que l'ouverture d'un dossier d'enquête n'apparaîtrait pas pertinente, car la CNPD ne disposerait d'aucun moyen d'action à l'encontre d'un responsable du traitement établi sur le territoire des Etats-Unis d'Amérique n'ayant pas d'établissement sur le territoire de l'Union européenne ou n'y ayant pas désigné de représentant en vertu de l'article 27 du RGPD, alors que, dans ces cas, il lui serait impossible de faire respecter les dispositions du RGPD sur le territoire des Etats-Unis d'Amérique.
Si la CNPD ajoute encore, dans le cadre de ses conclusions, que sa décision de ne pas entamer d’enquête serait également motivé par la prise en compte notamment du degré de gravité des faits allégués ou de la violation alléguée, du degré d'impact sur les droits et libertés fondamentaux, du degré de priorité par rapport au nombre de réclamations et de ressources disponibles, force est de relever que cette mise en balance des intérêts au jour de la décision déférée, est actuellement sérieusement remise en question par les changement en fait et en droit survenus depuis, et que le tribunal, dans le cadre du recours en réformation dont il est saisi, est obligé de prendre en compte dans son analyse du bien-fondé de la décision lui déférée.
En effet, les parties litigantes s’accordent pour constater que la société … a entretemps désigné un représentant dans Union européenne, de sorte que d’un côté, cette dernière ne violerait plus l’article 27 du RGPD, diminuant ainsi le nombre de violations du RGPD éventuellement à constater, et d’un autre côté, la justification principale, avancée par la CNPD 2 Article 77 : « Droit d'introduire une réclamation auprès d'une autorité de contrôle 1.Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.
2.L'autorité de contrôle auprès de laquelle la réclamation a été introduite informe l'auteur de la réclamation de l'état d'avancement et de l'issue de la réclamation, y compris de la possibilité d'un recours juridictionnel en vertu de l'article 78. » Article 78 : « Droit à un recours juridictionnel effectif contre une autorité de contrôle 1.Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d'une autorité de contrôle qui la concerne. (…) ».
3 Article 52 : « Indépendance 1.Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.
2.Dans l'exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu'elle soit directe ou indirecte, et ne sollicitent ni n'acceptent d'instructions de quiconque. (…) ».
25pour refuser de pousser plus loin le traitement de la réclamation de Monsieur …, basée sur l’absence d’un représentant de la société … sur le territoire de l’Union européenne, ne saurait plus valoir.
Or, la CNPD ne prend cependant pas explicitement position, dans la présente procédure, quant à l’incidence concrète de ce changement pourtant significatif de la situation de fait et de droit sur son appréciation de son opportunité de poursuite de la réclamation litigieuse, de sorte qu’il y a lieu de procéder, dans le cadre du recours en réformation par lequel le tribunal est saisi, à l’annulation de la décision déférée, et de renvoyer le dossier à la CNPD, en vue de permettre à cette dernière, de procéder à une nouvelle analyse de la réclamation de Monsieur …, compte tenu des nouveaux éléments de fait et de droit.
Le recours est partant à accueillir dans ce sens, sans qu’il n’y ait lieu de statuer plus en avant.
La partie demanderesse n’ayant pas établi en quoi il serait inéquitable qu'elle supporte seule les sommes exposées par elle et non comprises dans les dépens, elle est à débouter de sa demande en allocation d'une indemnité de procédure d’un montant de 2.000,- euros, augmentée à 5.000,- euros selon le dernier état des conclusions, présentée en application de l’article 33 de la loi modifiée du 21 juin 1999 portant règlement de procédure devant les juridictions administratives.
Par ces motifs, le tribunal administratif, quatrième chambre, statuant contradictoirement ;
statuant en prosécution de cause de l’arrêt de la Cour administrative du 28 novembre 2023, inscrit sous le numéro 48964C du rôle, donne acte à la CNPD de ce qu’elle renonce à son moyen tenant à une violation de l’article 80, paragraphe (1) du RGPD ;
reçoit en la forme le recours principal en réformation en ce qu’il est dirigé contre la décision déférée de la CNPD du 18 septembre 2020 de ne pas poursuivre le traitement de la réclamation de Monsieur … du … 2019 ;
se déclare incompétent pour le surplus ;
au fond, déclare le recours principal en réformation justifié et annule, dans le cadre du recours en réformation, la décision déférée de la CNPD du 18 septembre 2020 et renvoie le dossier en prosécution de cause à cette dernière ;
dit qu’il n’y pas lieu de statuer sur le recours subsidiaire en annulation ;
rejette la demande en allocation d’une indemnité de procédure formulée par l’association … ;
condamne la CNPD aux frais et dépens de l’instance.
Ainsi jugé et prononcé à l’audience publique du 24 septembre 2024 par :
26 Paul Nourrissier, premier vice-président, Olivier Poos, vice-président, Emilie Da Cruz De Sousa, premier juge, en présence du greffier Marc Warken.
s.Marc Warken s.Paul Nourrissier Reproduction certifiée conforme à l’original Luxembourg, le 24 septembre 2024 Le greffier du tribunal administratif 27
