Le règlement général sur la protection des données (RGPD) prévoit la possibilité pour la personne concernée dont les droits ont été violés de former trois types de recours. Elle peut ainsi :
- introduire une réclamation auprès d’une autorité de contrôle afin que celle-ci vérifie la bonne application du RGPD par le responsable du traitement mis en cause (RGPD, art. 77, § 1) ;
- saisir une juridiction dans le but que soit annulée une décision prise par une autorité de contrôle (RGPD, art. 78, § 1) ;
- saisir une juridiction si elle considère que ses droits ont été violés par le responsable du traitement mis en cause (RGPD, art. 79, § 1).
Si cet éventail de possibilités assure incontestablement une large protection des données à caractère personnel, il engendre aussi des difficultés en cas de cumul d’actions intentées par la même personne à l’encontre du même responsable. En effet, cette situation soulève la question de savoir s’il existe une hiérarchie parmi les possibilités offertes par le RGPD. La CJUE apporte des réponses dans un arrêt du 12 janvier 2023.
Elle indique, en premier lieu, que le RGPD ne « prévoit pas de compétence prioritaire ou exclusive, ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions » (point 35). Il en découle qu’il est possible pour la personne concernée d’agir concurremment auprès de l’autorité de contrôle et d’une juridiction, sans que l’une de ces actions soit prioritaire sur l’autre.
La Cour poursuit en confiant à la juridiction nationale de renvoi le soin de préciser comment les différentes voies de recours doivent être articulées et donc mises en œuvre, sur la base des dispositions procédurales nationales applicables, sachant qu’il lui faudra veiller à assurer l’effectivité de la protection des droits garantis par le RGPD, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal.
