La nouvelle voie de recours concernant la protection des données personnelles

Publié le 04/05/2020 Vu 1 054 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Dans une décision du 1er octobre 2019 (JOUE L 261/97, 14 oct. 2019), la Cour de justice de l’Union européenne a mis en place un mécanisme interne de contrôle .

Dans une décision du 1er octobre 2019 (JOUE L 261/97, 14 oct. 2019), la Cour de justice de l’Union europée

La nouvelle voie de recours concernant la protection des données personnelles

En effet dans le cadre de leur travail, il est fréquent que les institutions européennes soient amenées à procéder au traitement des données personnelles de citoyens avec lesquelles ils échangent. (1)

Dans ce cadre, étant destinataire et détenteur d’informations à caractère personnel, il était nécessaire que le règlement s’applique aussi au traitement des données à caractère personnel dans le cadre de la mission juridictionnelle de l’Union européenne.

Il est possible de constater suite à cette récente décision, que les instituions de l’Union européenne ne peuvent se soustraire aux obligations relatives à la protection des données personnelles. Le règlement de l’Union européenne 2018/1725 émanant du parlement européen ainsi que du Conseil en date du 23 octobre 2018 concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union prévoit un alignement des règles applicables aux institutions de l’Union européenne avec le Règlement général à la protection des données.

Les institutions et organes de l’UE sont parfois amenés à traiter des informations à caractère personnel communiquées par des citoyens sous forme électronique, écrite ou visuelle.

 Le règlement (UE) 2018/1725 précise un ensemble de règles en matière de protection des données au sein des institutions de l’Union européenne, crée une autorité de contrôle – le contrôleur des données – et en définit les fonctions et les compétences, la mission de ce dernier ne s’étend pas au traitement effectué par la Cour dans l’exercice de ses fonctions juridictionnelles. Toutefois, le règlement ménage la possibilité de la création d’un mécanisme interne de contrôle (§ 74).

 « La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne. »

Or, comme le rappelle la Cour dans sa décision, les données à caractère personnel bénéficient de la protection au titre de l’article 19, au titre III « disposition relatives aux institutions »  du Traité de l’Union européenne et l’article 8 de la Charte des droits fondamentaux.

L’article 8, § 3, de la Charte prévoit que toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.

Toute personne dispose du droit à droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. (3) & (4)

La CJUE s’appuie sur le dernier point celui du contrôle soumis à une autorité indépendante, sur ce fondement, la Cour décide donc de créer une procédure de réclamation en deux temps.

Nous allons observer les précédentes voies de recours offertes au justiciable (I) avant d’observer de quelle manière s’articule la nouvelle voie de recours instaurer par la Cour de justice de l’Union européenne (II).

 

I)                   Les voies de recours existantes offertes au justiciable

Il faut ici observer la réclamation auprès d’une autorité de contrôle (A) mais aussi le droit de réclamation accordée au justiciable contre un responsable de traitement ou un sous-traitant (B).

A)   La réclamation auprès et à l’encontre d’une autorité de contrôle

L’article 77 du règlement à la protection des données précise un droit de réclamation auprès d’une autorité de contrôle «  Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

 

 L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. (5)

On retrouve au terme de cet article l’ensemble des conditions requises afin de procéder à une réclamation auprès d’une autorité de contrôle.

L’article 78 du règlement à la protection des données précise qu’il est possible de déposer une réclamation à l’encontre d’une autorité de contrôle, il faut comme pour l’article 77 que sans préjudice de tout autre recours administratif ou extrajudiciaire, il faut être une personne physique ou morale afin de former le recours contre une décision juridiquement contraignante d’une autorité de contrôle la concernant.

Il est nécessaire l’autorité de contrôle compétente en vertu des articles 55 et 56 ne traite pas la réclamation ou que celle-ci n’informe pas la personne concernée dans un délai de trois mois de la réclamation introduite au titre de l’article 77 du règlement à la protection des données.

L’action devra être intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité est établie. Dans le cas d’une action intentée contre une décision d’une autorité précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

 

B)    Le droit à un recours contre un responsable de traitement ou un sous-traitant

L’article 79 du règlement à la protection des données précise que chaque personne concernée a droit à un recours juridictionnel effectif dès le moment où elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement.

Mais une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

 

II)                L’ouverture d’une nouvelle voie de recours

 

La CJUE de par cette décision à permis l’ouverture d’une nouvelle voie de recours, en commençant par la saisine du greffier de la CJUE (A) et un recours concernant les décisions du greffier (B).

 A) La saisine du greffier de la CJUE


Dans un premier temps afin de mettre en application la nouvelle voie de recours, il sera nécessaire de saisir le greffier de la Cour, responsable du traitement des données à caractère personnel dans le cadre des fonctions juridictionnelles de la Cour de justice.

Celui-ci aura deux mois pour notifier sa décision au justiciable arguant de la violation de son droit à la protection de ses données personnelles. Un silence au-delà de ce délai vaudra par ailleurs décision implicite de rejet.

B) Une décision susceptible de recours devant le comité

Dans un second temps la nouvelle procédure réside dans un mécanisme de recours des décisions du greffier, auprès d’un nouvel organe interne créer à cet effet «  le comité ».

Le comité sera composé d’un président et de deux membres choisis parmi les juges et les avocats généraux de la Cour de justice et désignés par la Cour sur proposition de son président, le comité est assisté par le conseiller juridique pour les affaires administratives de la Cour et se réunit sur convocation du président.

Le requérant disposera d’un délai de deux mois afin de faire valoir et présenter sa réclamation, à compter de la notification de la décision ou de la date à laquelle la personne en a eu connaissance.

Une fois la réclamation jugée recevable, le Comité décidera de faire passer un entretien à toute personne dont il juge l’audition utile.

Le comité se verra confier de multiples pouvoir en effet celui-ci pourra annuler, réformer, ou conformer la décision litigieuse. Il devra en notifier l’auteur de la réclamation dans un délai de quatre mois à compter de l’introduction de la réclamation. Enfin, l’introduction d’un recours juridictionnel contre ladite décision mettra fin à la compétence du comité.


 

SOURCES :

1)       http://curia.europa.eu/juris/liste.jsf?language=fr&td=ALL&num=C-673/17

2)       https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32018R1725

3)       https://eur-lex.europa.eu/resource.html?uri=cellar:2bf140bf-a3f8-4ab2-b506-fd71826e6da6.0002.02/DOC_1&format=PDF

4)       https://fra.europa.eu/fr/eu-charter/article/8-protection-des-donnees-caractere-personnel

https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

Vous avez une question ?
Blog de Murielle Cahen

Murielle CAHEN

150 € TTC

7 évaluations positives

Note : (5/5)

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.