§ 1. Exclusivité des critères
38. Comme évoqué précédemment, l’article 82, § 6, dispose que la
per-sonne préjudiciée entendant réclamer la réparation de son dommage peut agir devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, § 2, du RGPD 63. Avant de nous pencher sur les critères définis dans cette disposition, nous nous permettons de pointer le fait dès lors que c’est sur une violation du RGPD qu’une personne se fonde pour intenter son action en réparation, les règles de compétences juridiction-nelles sont celles définies dans le règlement et elles nous semblent d’ordre public. Le RGPD nous paraît exclure tout aménagement contractuel en matière de juridiction compétente, de sorte que, à titre d’exemple, une clause dans des conditions générales qui viserait à déterminer la compé-tence de certaines juridictions en violation de l’article 79, § 2, nous paraît devoir être considérée comme contestable.
Par ailleurs, pour ce qui est d’une éventuelle contrariété avec d’autres instruments pertinents contenant des règles de compétences tel le règle-ment Bruxelles 1bis 64, le considérant n° 147 du RGPD consacre la préva-lence des dispositions du RGPD pour ce qui y est spécifiquement réglé, notamment en ce qui concerne les procédures relatives aux recours juri-dictionnels, y compris ceux qui visent à obtenir réparation, contre un responsable du traitement ou un sous-traitant.
Ces considérations nous amènent à conclure que les critères prévus dans le règlement sont exclusifs.
63 Libelle comme suit : « toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du trai-tement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique ».
§ 2. Critères
39. Quant aux critères d’attribution de compétence, ils sont
alterna-tifs. L’article 79, § 2, offre la possibilité d’intenter une action devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle.
Ce choix laissé à la personne préjudiciée lui permet d’agir, soit où cela est le plus aisé pour elle (pays de résidence), soit là où l’action judiciaire aura le plus de facilité à être menée et exécutée (pays d’établissement du responsable du traitement ou du sous-traitant).
a) La résidence habituelle de la personne concernée
Ce critère d’attribution de compétence est spécifique au demandeur qui a la qualité de personne concernée, ce qui suppose que la violation du RGPD qui fonde la demande concerne des données relatives à cette per-sonne. Or la terminologie utilisée dans le règlement laisse penser que la possibilité d’obtenir réparation est ouverte à toute personne préjudiciée, comme nous l’avons relevé 65. Autrement dit, s’il s’agit d’obtenir répara-tion sur le fondement d’une violarépara-tion du RGPD, la personne qui subit un préjudice sans que la violation du RGPD ne porte sur des données la concernant ne pourra pas s’appuyer sur les critères que sont le lieu d’éta-blissement du responsable du traitement ou du sous-traitant ou sur son lieu de résidence pour déterminer la juridiction qui peut être saisie.
Par ailleurs, le RGPD prévoit que la personne ne pourra agir que devant les juridictions de l’État membre où elle réside lorsque « le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique » 66. Nous comprenons aisément, pour des raisons tenant à son droit à la sou-veraineté, qu’un État ne voit pas sa responsabilité engagée devant les juri-dictions d’un autre État.
b) Le lieu d’établissement du responsable de traitement ou du sous-traitant
40. Quant aux deux autres critères, la formulation de l’article 79, § 2
nous paraît ambiguë lorsqu’elle prévoit que « [t]oute action contre un responsable du traitement ou un sous-traitant est intentée devant les
65 Cf. Chapitre 1, introduction, supra. 66 Art. 79, § 2, du RGPD.
juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. […] ».
Cette phrase peut être comprise en effet de deux manières. Elle peut signifier soit que l’action peut être menée devant les juridictions de l’État membre dans lequel l’entité poursuivie dispose d’un établissement, soit que cette action peut être menée devant les juridictions de l’État membre dans lequel l’entité poursuivie ou son cocontractant 67 dispose d’un établis-sement. On ne peut affirmer si cette ambiguïté a été voulue pour élargir les possibilités d’actions.
A priori, la première hypothèse semble la plus cohérente lorsqu’il
s’agit d’initier une procédure contre un responsable de traitement seul ou contre un sous-traitant seul. Si la personne préjudiciée souhaite intenter une action contre un défendeur (qu’il soit le responsable du traitement ou le sous-traitant), il n’y a aucune raison qu’il saisisse la juridiction d’un autre État membre que celui sur lequel le défendeur est établi. Lorsqu’il est question de litiges impliquant plusieurs intervenants établis sur différents territoires, le RGPD ne détermine pas explicitement les règles à respecter sauf à considérer, précisément au regard du flou de l’article 79, § 2, que le demandeur puisse attraire ces différents inter-venants devant une seule juridiction qui pourrait être, selon son choix discrétionnaire, celle d’un responsable de traitement participant au trai-tement ou celle d’un sous-traitant. Cette interprétation favorise une économie de procédure, mais crée dans le même temps une insécurité juridique pour les personnes participant à un traitement. Cela implique concrètement qu’un responsable du traitement, telle une PME établie en Belgique, qui confie l’hébergement de données à caractère personnel d’un client localisé en Belgique à un hébergeur établi en France prend le risque de devoir répondre d’une demande de réparation devant une juridiction française alors que la relation contractuelle qui s’est nouée avec ce client l’a été dans un contexte belgo-belge.
La question de la mise à la cause de personnes non visées par l’action initiale n’est pas non plus réglée dans le RGPD. Il s’agit pourtant d’un cas de figure qui pourrait être fréquemment rencontré. Pour reprendre l’exemple de l’hébergeur, si la PME belge estime qu’une violation du règle-ment qui lui est reprochée relève de la responsabilité de son sous-traitant, elle aura intérêt à le faire intervenir à la cause, à tout le moins pour que la décision lui soit opposable, si ce n’est pour obtenir directement une décision contraignant son sous-traitant à l’indemniser.
67 Par « cocontractant », nous désignons le sous-traitant si l’action est engagée contre le responsable du traitement et à l’inverse nous désignons le responsable de traitement si l’action est engagée contre le sous-traitant.
41. Quant à la notion d’« établissement » sur laquelle repose le
cri-tère de compétence territoriale, elle n’est pas définie formellement dans le RGPD.
Il nous paraît qu’elle est à distinguer de celle d’« établissement prin-cipal » mobilisée pour déterminer quelle est l’autorité nationale de contrôle compétente pour connaître d’une réclamation ou pour contrôler un responsable du traitement ou un sous-traitant. La définition de cette notion 68 lui confère un caractère tout à fait spécifique qui permet d’iden-tifier, parmi plusieurs établissements dont disposent ces intervenants sur le territoire européen, celui qui sera déterminant pour identifier l’autorité de référence pour l’ensemble de ceux-ci.
En revanche, les précisions qui sont apportées au sein du RGPD à la notion d’établissement en lien avec le champ d’application territorial du règlement pourraient s’avérer pertinentes pour cerner cette notion. Le considérant n° 22 précise que « l’établissement suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable ». La forme juri-dique retenue pour un tel dispositif, qu’il s’agisse d’une succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard 69. Ce considérant est d’autant plus important qu’il reprend l’ensei-gnement d’un arrêt phare en la matière, l’arrêt Weltimmo 70, qui intervient alors que la compréhension de la notion d’établissement était devenue un élément clé dans l’application de la Directive. On ne peut écarter l’idée que le recours à cette même notion dans le RGPD, dans quelque contexte qu’il soit, s’inscrive donc dans la continuité de la Directive.
Si l’on retient cette notion ainsi comprise, on constate que cela favorise encore davantage les possibilités de choix de juridiction, sans résoudre toute difficulté. Il n’est pas rare qu’une multinationale dispose d’établis-sements dans plusieurs États membres de sorte que la question de savoir quelle entité sera à privilégier risque de faire elle-même l’objet de débats.
42. On l’aura compris, la multiplication des critères de compétence
territoriale visant à assurer une protection effective de la personne préju-diciée induit dans le chef des responsables de traitement et sous-traitants une impossibilité de prévoir devant quelles juridictions ils sont suscep-tibles de devoir rendre des comptes vis-à-vis des personnes concernées alors que RGPD entend parallèlement clarifier et simplifier la situation
68 Définie à l’article 4, 16), du RGPD.
69 Nous renvoyons à ce sujet à la contribution de Cécile De terwanGne, intitulée « Définitions clés et champ d’application du RGPD » au sein du présent ouvrage.
lorsqu’il s’agit de déterminer devant quelle autorité de contrôle ils doivent rendre des comptes.