Les associations de consommateurs vont devenir les gendarmes du RGPD

Les associations de défense des consommateurs peuvent exercer des actions représentatives contre des atteintes à la protection des données à caractère personnel. Une telle action pourrait être introduite indépendamment de la violation concrète du droit à la protection des données d’une personne concernée et en l’absence de mandat à cette fin.

Les faits

Meta Platforms Ireland, anciennement Facebook Ireland, est le responsable du traitement des données à caractère personnel des utilisateurs du réseau social en ligne Facebook dans l’Union.

L’Union fédérale des centrales et associations de consommateurs (Allemagne) a introduit une action en cessation contre Meta Platforms Ireland, en lui reprochant, d’avoir violé, dans le cadre de la mise à la disposition des utilisateurs des jeux gratuits fournis par des tiers, des règles relatives à la protection des données à caractère personnel, à la lutte contre la concurrence déloyale et à la protection des consommateurs. En l’occurrence, lors de la consultation de l’Espace « Applications » de certains de ces jeux, l’utilisateur voit apparaître l’indication selon laquelle l’utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données à caractère personnel et l’autorise à procéder à des publications au nom de cet utilisateur. Cette utilisation impliquait l’acceptation par l’utilisateur des conditions générales de l’application et de sa politique en matière de protection des données.

La Cour fédérale de justice (Allemagne) observe que l’action de l’Union fédérale serait fondée, mais elle nourrit des doutes concernant la recevabilité de celle-ci.

En effet, cette juridiction s’interroge sur le point de savoir si une association de défense des intérêts des consommateurs, telle que l’Union fédérale, dispose encore, depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), du pouvoir d’agir en introduisant une action devant les juridictions civiles à l’encontre de violations de ce règlement, et ce indépendamment de la violation concrète de droits de personnes concernées individuelles et sans mandat de ces dernières. En outre, elle observe qu’il peut être déduit du RGPD qu’il incombe principalement aux autorités de contrôle de vérifier l’application de celui-ci.

La question ne vise donc pas une situation dans laquelle un demandeur unique représente les intérêts de plusieurs personnes qui lui confèrent un mandat (action collective), mais sur le droit d’une association d’introduire une action en nom propre lorsqu’elle considère qu’un comportement viole les droits des personnes concernées.

Un boulevard s’ouvre pour les associations

Par son arrêt de ce jour, la Cour constate que le RGPD ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement des données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

À titre liminaire, la Cour relève que le RGPD procède à une harmonisation en principe complète des législations nationales relatives à la protection des données à caractère personnel.

Cependant, certaines dispositions du RGPD ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre, à condition que les règles nationales adoptées ne portent pas atteinte au contenu et aux objectifs dudit règlement. À cet égard, ils ont notamment la possibilité de prévoir un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, tout en énonçant un certain nombre d’exigences qui doivent être respectées.

La Cour souligne d’abord qu’une association de défense des intérêts des consommateurs, telle que l’Union fédérale, relève de la notion d’« organisme ayant la qualité pour agir » au sens du RGPD en ce qu’elle poursuit un objectif d’intérêt public consistant à assurer les droits des consommateurs. En effet, la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales peut être connexe à la violation d’une règle relative à la protection des données à caractère personnel.

La Cour indique ensuite que l’introduction d’une action représentative présuppose qu’une telle association, indépendamment de tout mandat qui lui a été confié, « considère » que les droits d’une personne concernée prévus dans le RGPD ont été violés du fait du traitement de ses données à caractère personnel, sans qu’il soit nécessaire d’identifier, individuellement et préalablement, la personne spécifiquement concernée par ledit traitement et d’alléguer l’existence d’une violation concrète des droits tirés des règles en matière de protection des données.

Une telle interprétation est conforme à l’objectif poursuivi par le RGPD consistant notamment à assurer un niveau élevé de protection des données à caractère personnel.

Enfin, selon la Cour, le RGPD ne s’oppose pas à des dispositions nationales qui prévoient l’exercice d’actions représentatives contre des violations des droits conférés par ce règlement par l’intermédiaire, le cas échéant, de règles ayant pour objet de protéger les consommateurs ou de lutter contre des pratiques commerciales déloyales.

La fin du principe de l’autorité chef de file ?

Cet important arrêt doit être lu en parallèle avec l’arrêt Facebook c. Autorité belge de protection des données (C-645/19).

Dans cet arrêt-là, la CJUE était interrogée sur les compétences et pouvoirs d’une autorité nationale qui n’est pas chef de file, à l’égard d’un responsable de traitement situé dans un autre Etat membre. Concrètement : l’autorité belge peut-elle poursuivre Facebook devant un juge belge alors que le siège de la société est en Irlande et que c’est l’autorité irlandaise qui la supervise en tant que chef de file ?

Derrière cette question, il y a le conflit désormais ouvert qui oppose la Commission irlandaise de protection des données (DPC) et ses consoeurs européennes : celles-ci reprochent à la première sa passivité coupable à l’égard des « gros clients » qu’elle est supposée superviser (Facebook et la plupart des GAFAM). En off, certains n’hésitent pas à parler de sabotage tant la DPC fait preuve de mauvaise volonté.

Dans un subtil exercice d’équilibriste, la Cour soulignait dans cet arrêt l’importance du principe du guichet unique et de ses conséquences. Elle jugeait en effet qu’une autorité de contrôle d’un État membre qui n’est pas chef de file « a le pouvoir de porter toute prétendue violation dudit règlement à l’attention d’une juridiction de cet État membre et, le cas échéant, d’ester en justice peut exercer ce pouvoir en ce qui concerne un traitement de données transfrontalier (…), pour autant que ce soit dans l’une des situations où le règlement 2016/679 confère à cette autorité de contrôle une compétence pour adopter une décision constatant que ledit traitement méconnaît les règles qu’il contient ainsi que dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement ».

La Cour ouvrait donc la possibilité d’une action judiciaire intentée par une autorité qui n’est pas chef de file, mais moyennant deux conditions sévères :

  1. Premièrement, le RGPD doit « [conférer à l’autorité qui n’est pas chef de file] une compétence pour adopter une décision constatant que ce traitement méconnaît les règles prévues par ce règlement ». Cette condition pèse lourd car les hypothèses ne sont pas nombreuses ; la Cour cite en exemple les articles 56, § 2 (la réclamation concerne uniquement un établissement dans l’État membre de l’autorité saisie) et 66 (procédure d’urgence).
  2. Deuxièmement, ce pouvoir doit être exercé dans le respect des procédures de coopération et de contrôle de la cohérence prévues par ce règlement.

Tout en allant aussi loin que possible vu le libellé du règlement, la Cour limitait fortement les situations pratiques dans lesquelles une autorité non chef de file peut agir.

C’est là que l’arrêt qui vient d’être rendu prend toute son importance : autant la Cour était liée par le principe du guichet unique s’agissant de l’autorité non-chef de file, autant elle était déliée de cette contrainte s’agissant des actions introduites par les associations de consommateurs.

Le résultat est désormais connu : ce que la Cour a enlevé aux autorités qui ne pas chef de file, elle l’a donné aux associations.

Facebook doit désormais plus craindre Noyb que l’autorité irlandaise …

Plus d’infos ?

En lisant l’arrêt de la Cour et les conclusions de l’avocat général disponibles en annexe.

Source : Droit & Technologies

Mots clés

Articles recommandés

Traitement des données pour intérêt légitime, quand et comment ? l’EDPB publie ses lignes directrices.

Dirigeants en télétravail : évitez les pièges cachés !

Sept employés belges sur dix apprécient la flexibilité