L'action en justice d'une association de consommateurs allemande a permis de clarifier la recevabilité des procédures relatives au RGPD.

Voilà un arrêt important en matière de protection des données personnelles en ce qu'il confère aux associations, notamment de défense des intérêts des consommateurs, un rôle éminent en la matière. Une fois encore, c'est la filiale européenne de l'ex-Facebook, Meta Platforms Ireland, qui est visée pour divers manquements au règlement général sur la protection des données (RGPD), c'est-à-dire au règlement (UE) 2016/679 du 27 avril 2016.

Doute initial sur le droit d'agir des associations

Une association de consommateurs allemande a introduit une action en cessation contre le géant américain auquel elle reproche d'avoir violé, dans le cadre de la mise à la disposition des utilisateurs des jeux gratuits fournis par des tiers, des règles relatives à la protection des données à caractère personnel, à la lutte contre la concurrence déloyale et à la protection des consommateurs. L'affaire est remontée jusqu'à la plus haute juridiction allemande, à savoir la Cour fédérale de justice, qui considère que l'action de l'association de consommateurs paraît fondée, mais nourrit des doutes concernant la recevabilité de celle-ci. En effet, cette juridiction s'interroge sur le point de savoir si une association de défense des intérêts des consommateurs, telle que celle ayant assigné Meta Platforms Ireland, dispose encore, depuis l'entrée en vigueur du RGPD, du pouvoir d'agir en introduisant une action devant les juridictions civiles à l'encontre de violations de ce règlement, et ce indépendamment de la violation concrète de droits de personnes individuelles concernées et sans mandat de ces dernières. En outre, elle observe qu'il peut être déduit du RGPD qu'il incombe principalement aux autorités de contrôle de vérifier l'application de celui-ci.

Une réponse rassurante

Saisie par la voie préjudicielle, la Cour de justice de l'Union européenne (CJUE) relève, à titre liminaire, que le RGPD procède à une harmonisation en principe complète des législations nationales relatives à la protection des données à caractère personnel. Cependant, certaines dispositions du RGPD ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires qui laissent à ceux-ci une marge d'appréciation sur la manière dont ces dispositions peuvent être mises en œuvre, à condition que les règles nationales adoptées ne portent pas atteinte au contenu et aux objectifs dudit règlement. À cet égard, ils ont notamment la possibilité de prévoir un mécanisme d'action représentative contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel, tout en énonçant un certain nombre d'exigences qui doivent être respectées.

Enfin, la Cour considère que l'article 80, §2 du RGPD doit être interprété en ce sens qu'il ne s'oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d'agir en justice, en l'absence d'un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l'auteur présumé d'une atteinte à la protection des données à caractère personnel. Cela en invoquant la violation de l'interdiction des pratiques commerciales déloyales, d'une loi en matière de protection des consommateurs ou de l'interdiction de l'utilisation de conditions générales nulles dès lors que le traitement de données concerné est susceptible d'affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

Auteur

Juris associations pour le Crédit Mutuel