Article mis à jour le 18 août 2021

Le tonnerre grondait déjà depuis un bon moment, mais voilà que la foudre administrative est finalement tombée. Le Wall Street Journal rapportait en effet dans son édition du 10 juin 2021 que la CNPD (c.à.d. l’autorité de contrôle luxembourgeoise en matière de protection des données) allait prononcer une sanction de pas moins de 425 millions d’euros à l’encontre d’Amazon.

Sur le principe, le Wall Street Journal avait raison : une sanction a bel et bien été prononcée à l’encontre d’Amazon en date du 15 juillet 2021. Un léger détail était cependant inexact. En lieu et place d’une sanction de 425 millions, c’est une amende de 746 millions d’euros dont aura finalement écopée la société basée au Luxembourg.

Cet évènement marque la première sanction administrative d’une telle intensité au Luxembourg pour une violation du Règlement Général Européen relatif à la Protection des Données (« RGPD »). La première d’une longue lignée ?

Première par la taille, pas par l’esprit

Longtemps raillée par ses voisins pour n’avoir prononcé aucune sanction près de trois ans après la prise d’effet du RGPD, la CNPD a maintenant franchi le cap. Les observateurs les plus attentifs avaient pu noter que la Commission luxembourgeoise s’était déjà essayée à quelques sanctions ces dernières semaines (notamment par décisions du 8 avril et du 12 mai 2021), mais pour des montants bien moins intimidants (entre 1.000 et 3.000 euros en moyenne).

Cette fois, l’autorité nationale a frappé fort et a, de ce fait, envoyé un signal clair : les sanctions les plus sévères prévues par le RGPD trouvent elles aussi à s’appliquer au Luxembourg. On rappellera en effet que l’article 83, §5 de ce règlement européen prévoit des amendes pouvant « s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ». C’est bien ce montant de 4% du chiffre d’affaire mondial d’Amazon (largement supérieur à la somme de 20.000.000 d’euros) qui aura été retenu par le régulateur luxembourgeois.

Une décision susceptible de modification avant publication

La CNPD est l’autorité dite « chef de file » de ce GAFAM, en raison de sa nationalité et de son établissement luxembourgeois.

***

La notion d’autorité chef de file, en bref :

 Notamment abordée aux considérants 124 et suivants du RGPD, la notion « d’autorité chef de file » se réfère à l’autorité de contrôle nationale dont relève l’établissement principal ou l’établissement unique d’une entité. Cette autorité dirige le processus de contrôle et/ou de sanction des entités soumises au RGPD établies sur son territoire. Elle est assistée dans cette tâche par les autres autorités nationales concernées (dans une moindre mesure) par les traitements de données de l’entité visée.

***

Si elle est donc en tête pour juger de l’opportunité et de la nature d’une sanction contre Amazon, elle a également dû se concerter avec d’autres autorités nationales pour aboutir à une décision finale. En application des articles 60 et suivants du RGPD, les violations aux traitements de données qui impactent plusieurs pays membres de l’Union Européenne peuvent déclencher l’obligation pour les autorités nationales concernées de se coordonner. L’objectif est alors d’aboutir à une solution commune et cohérente. Quand l’on connaît l’influence d’Amazon sur le marché de l’achat en ligne et le volume de sa clientèle européenne, on reconnaîtra volontiers la pertinence de ce mécanisme de coordination dans le cas présent.

A ce jour et à défaut d’une publication intégrale de la décision, seules Amazon et la CNPD connaissent l’étendue et la nature exacte des violations alléguées. La publication intégrale, voire nominative, de la décision de la CNPD est d’ailleurs encore loin d’être acquise. L’article 52 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et mise en œuvre du RGPD au Grand-Duché de Luxembourg dispose, à cet effet, que la CNPD « peut » publier ses décisions « sous réserves » que toutes les voies de recours aient été épuisées et que ladite publication n’entraîne pas un « dommage disproportionné ».

La publication d’une décision administrative accessible au grand public (intégrale ou non), n’est donc qu’une option pour la CNPD. Cette faculté disparaît même pour l’autorité de contrôle si certaines circonstances particulières sont rencontrées (voies de recours ouvertes ou disproportion de la mesure). En l’espèce, la notoriété d’Amazon et l’impact de ses traitements de données sur les citoyens européens pourraient amener le régulateur à pencher vers l’option d’une telle publication intégrale.

La CNPD a d’ailleurs elle-même rappelé ce principe dans une communication publique du 6 août 2021, indiquant que « la publication complète et claire des décisions de la CNPD est à considérer comme une sanction supplémentaire (article 52). Par conséquent, elle ne peut publier aucune décision avant que les voies de recours sont [sic] épuisées ».

Quelle que soit la décision à laquelle aboutira la commission luxembourgeoise sur ce point de publicité, il est intéressant de constater que les ramifications de sa décision prochaine ne s’arrêtent pas au simple payement d’une somme d’argent. L’impact réputationnel et donc économique d’une telle sanction se jouera également au niveau de sa publicité et des éventuelles limitations attachées à sa diffusion.

Le géant de la vente en ligne est-il pour autant démuni face à cette décision de la CNPD ?

Des moyens de recours déjà bien connus

La matière de la protection des données peut parfois paraître ésotérique aux non-initiés. Remplie de concepts autonomes et parfois antithétiques au droit civil classique, une constante demeure néanmoins : les sanctions qui en découlent constituent des décisions administratives soumises au droit commun. Il est donc non seulement possible d’en demander l’annulation en justice, mais la procédure administrative qui s’y attache reste inchangée depuis la « loi modifiée du 21 juin 1999 portant règlement de procédure devant les juridictions administratives ».

Cette soumission au droit commun est d’ailleurs reconnue expressément par l’article 55 de la loi luxembourgeoise précitée du 1er août 2018. Point important, la procédure de réformation (qui se distingue de l’annulation par la possibilité pour le juge administratif de modifier et de commuter la sanction sans l’annuler purement et simplement) n’est pas expressément prévue par la loi luxembourgeoise pour les sanctions prononcées par la CNPD. Une incertitude demeure néanmoins à cet égard. En effet, l’article 55 de la loi luxembourgeoise précitée du 1er août 2018 précise que le Tribunal administratif statue à l’égard des décisions de la CNPD comme « juge du fond ». Bien que quelques décisions de jurisprudence éparses identifient parfois ces termes comme une référence indirecte au recours en réformation (voyez par exemple Trib. Adm., 18 décembre 2003, n° 15096), il n’existe, à notre connaissance, pas de décision confirmant une telle interprétation s’agissant de l’article 55 de la loi précitée du 1er août 2018. Il est regrettable que le législateur n’ait pas pris la peine de clarifier ce point, alors même que la référence expresse à un recours en réformation existait sous l’empire de l’ancienne loi de 2002 concernant la protection des données aujourd’hui abrogée (article 33, §2).

La possibilité d’introduire un recours en annulation est, elle, certaine. Le résultat d’un recours administratif en annulation en matière de protection des données sera, par nature, radical. Soit la sanction disparaîtra sans laisser de trace (sous réserve d’appel), soit elle s’appliquera, pleine et entière, à l’encontre du justiciable.

En cas de recours contre une telle décision administrative, les responsables du traitement et autres sous-traitants pourront compter sur l’aide d’un avocat à la Cour pour les représenter dans le cadre de la procédure administrative.

 ***

Que retenir de cette décision ?

  • A l’image de ses voisines, la CNPD sanctionne désormais les violations du RGPD, sans plus se contenter de simples recommandations.
  • Le prononcé d’une sanction par la CNPD n’est qu’une étape d’un long processus, pouvant faire l’objet de recours et dont la publication (en tout ou en partie) marque l’aboutissement.
  • Les sanctions de la CNPD s’incarnent dans des décisions administratives susceptibles de recours en justice devant les juridictions administratives luxembourgeoises.

Dans le cadre de tel recours administratifs et, même dès le stade précontentieux d’échanges avec la CNPD, les conseils d’un avocat versé dans cette matière sont des atouts précieux.

Nous sommes bien sûr à votre disposition pour vous assister à cet égard.

***

Article rédigé par Me Florian Poncin – Avocat à la Cour. Point de contact : florian.poncin@barreau.lu