Associations de consommateurs et RGPD : nouvel arrêt de la CJUE
La Cour de justice de l’Union européenne a rendu une décision (1) à l’encontre de Meta Ireland à propos de la possibilité pour les associations de consommateurs d’agir en défense à l’encontre d’une violation du règlement général sur la protection des données personnelles (RGPD).
L’Union fédérale des centrales et associations de consommateurs (2) basée en Allemagne a introduit une action en cessation de la violation des :
- droits issus du RGPD ainsi que des
- dispositions relatives à la lutte contre la concurrence déloyale et à la protection des consommateurs contre Meta Platforms Ireland (anciennement « Facebook Ireland Limited »), dont le siège social se trouve en Irlande.
L’association allemande reprochait à Meta la violation de plusieurs règles relatives à la :
- protection des données à caractère personnel,
- lutte contre la concurrence déloyale et
- protection des consommateurs.
Cette violation se matérialisait par la présentation des indications sous le bouton « Jouer » de l’espace « Application ». L’association considérait qu’elles étaient déloyales en raison :
« du non-respect des conditions légales qui s’appliquent à l’obtention d’un consentement valable de l’utilisateur en vertu des dispositions régissant la protection des données ».
De plus, l’association estimait que l’indication finale, dans le cas du jeu « Scrabble », constituait « une condition générale qui défavorise de façon indue l’utilisateur » (3).
La Cour fédérale de justice allemande est interrogée sur la recevabilité de l’action des associations de consommateurs. En l’occurrence, l’association en question :
- n’était pas directement mandatée par des consommateurs et
- n’invoquait pas la violation de droits concrets des personnes concernées.
Elle a pourtant saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle à laquelle cette dernière a répondu le 28 avril 2022 (4).
L’action d’une association de consommateurs fondée sur le RGPD
Il s’agissait pour la Cour d’interpréter l’article 80, paragraphe 2, du RGPD (5) qui indique que :
« les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement ».
Plus généralement, la question était de savoir si les associations de consommateurs pouvaient introduire une telle action :
- en l’absence de mandat et
- sans qu’il soit nécessaire d’identifier individuellement et préalablement la personne spécifiquement concernée par ladite violation.
La CJUE (6) avait déjà jugé positivement cette question à propos de la directive 95/46/CE aujourd’hui abrogée (7).
La recevabilité de l’action
La Cour répond de nouveau par l’affirmative. Elle précise qu’une association de défense des intérêts des consommateurs a « qualité à agir » au sens du RGPD.
De fait, la Cour estime que la violation de règles concernant la protection des consommateurs ou les pratiques commerciales déloyales peut être connexe à la violation d’une règle relative à la protection des données à caractère personnel.
De plus, les juges estiment que l’Union fédérale poursuit un objectif d’intérêt public consistant à protéger les droits des consommateurs.
Ainsi, cette action a été déclarée recevable.
En d’autres termes, la recevabilité de l’action des associations de consommateurs n’est pas subordonnée à l’identification préalable et individuelle de la personne ou des personnes victimes présumées d’une violation de droit en rapport avec le RGPD.
En outre, la Cour précise que l’existence d’une violation concrète des droits tirés des règles en matière de protection des données ne s’impose pas.
Selon les juges, cette interprétation permet d’assurer un niveau élevé de protection des données et une meilleure application du RGPD.
La confirmation de la jurisprudence « Fashion ID » bénéfique aux associations de consommateur
Dans cet arrêt, la CJUE ajoute que le RGPD ne s’oppose pas à ce que les États prévoient des règles nationales supplémentaires leur conférant une marge d’appréciation sur la manière dont les dispositions du RGPD peuvent être mises en œuvre. Ainsi, les États peuvent prévoir un mécanisme d’action représentative contre l’auteur présumé d’une violation à la protection des données à caractère personnel et soumettre cette action à un certain nombre de conditions.
C’est dans ce sens qu’a conclu l’avocat général (8) en considérant que « ni le remplacement de la directive 95/46 par un règlement, ni la circonstance que le règlement 2016/679 consacre désormais un article à la représentation des personnes concernées dans le cadre d’actions en justice » ne seraient de nature à « remettre en cause ce que la Cour a jugé dans son arrêt Fashion ID ». Ainsi « les États membres peuvent prévoir dans leur réglementation nationale la possibilité pour des associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. ».
A l’avenir, il est donc fort probable que se multiplient les actions des associations à l’encontre de responsables du traitement, privés ou publics, qui méconnaîtraient les règles européennes en matière de protection des données à caractère personnel. Ceci constitue une raison supplémentaire, s’il en fallait une, pour inscrire la conformité au RGPD dans les priorités.
Frédéric Forster
Valentin Cayré
Lexing pôle Constructeur informatique et Télécoms
Notes :
(1) CJUE 28-04-2022 Aff. C-319/20, « Meta Platforms Ireland Limited ».
(2) Bundesverband der Verbraucherzentralen und Verbrauchervebände.
(3) Concl. Jean Richard de la Tour (avoc. gén.), présentées le 02-12-2021, aff. C-319/20, §13.
(4) CJUE Aff. C-319/20 op. cit.
(5) Règl. (UE) 2016/679 du 27-04-2016 dite « RGPD ».
(6) CJUE, 29-07-2019, C-40/17, « Fashion ID ».
(7) Dir. 95/46/CE du 23-11-1995 sur la protection des données à caractère personnel et à la libre circulation de ces données.
(8) Concl. AG, aff. C-319/20, op. cit. §49.