CJUE : pouvoir d'ester en justice contre les infractions au RGPD

Une autorité nationale de protection des données, autre que l’autorité « chef de file », peut-elle intenter une action en justice dans son Etat membre contre des infractions au RGPD en ce qui concerne un traitement transfrontalier de données ?Le président de l’autorité belge de protection des données a intenté une action contre Facebook, reprochant à la société des violations de la législation relative à la protection des données consistant, notamment, en la collecte et l’utilisation d’informations sur le comportement de navigation des internautes en Belgique par le biais de témoins de connexion (« cookies »), de modules sociaux (« social plug-ins ») ou de « pixels ».
Dans le cadre de ce litige, le Hof van beroep te Brussel (Cour d’appel de Bruxelles, Belgique) a demandé à la Cour de justice de l’Union européenne (CJUE) si le règlement 2016/679 du 27 avril 2016 (RGPD) s’opposait à ce qu’une autorité nationale de protection des données, autre que l’autorité « chef de file », intente une action en justice dans son Etat membre contre des infractions à ce même RGPD en ce qui concerne un traitement transfrontalier de données.
Dans ses conclusions rendues le 13 janvier 2021 (affaire C-645/19), l’avocat général près la CJUE répond par la négative, « pour autant que [l’autorité concernée] le fasse dans les situations pour lesquelles le RGPD lui en attribue explicitement la compétence et conformément aux procédures prévues par ce même règlement ».