Bientôt des class actions en matière de RGPD ?

Publié le par - 1059 vues

Les États membres peuvent-ils permettre aux associations de défense des consommateurs d’exercer des actions représentatives contre des atteintes à la protection des données à caractère personnel ? Pour l’avocat général, la réponse est positive, d’autant que la défense des intérêts collectifs des consommateurs par des associations est « particulièrement adaptée à l’objectif du règlement général sur la protection des données d’établir un niveau élevé de protection des données à caractère personnel ».

Les faits

Facebook Allemagne proposait en 2012 un Espace Application (App-Zentrum). Quand le visiteur cliquait sur un bouton « Sofort spielen » (Jouer), l’application concernée permettait à la société qui a fourni les jeux d’obtenir un certain nombre de données à caractère personnel et l’autorisait à procéder à des publications, au nom de l’utilisateur, de certaines informations, telles que son score. Cette utilisation impliquait l’acceptation par l’utilisateur des conditions générales de l’application et de sa politique en matière de protection des données. En outre, dans le cas du jeu « Scrabble », il est indiqué que l’application est autorisée à publier le statut, des photos et d’autres informations au nom de l’utilisateur.

Le Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Union fédérale des centrales et associations de consommateurs) reproche à Facebook Ireland d’avoir violé des règles en matière de protection des données à caractère personnel, de lutte contre la concurrence déloyale et de protection des consommateurs.

L’Union fédérale a introduit une action en cessation contre Facebook Ireland devant les juridictions allemandes.

Selon le Bundesgerichtshof (Cour fédérale de justice, Allemagne), Facebook Ireland n’a pas fourni aux utilisateurs (d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples) les informations nécessaires relatives à la finalité du traitement des données et au destinataire des données à caractère personnel. Ainsi, selon lui, Facebook Ireland a violé le règlement général sur la protection des données.

Le Bundesgerichtshof a toutefois des doutes quant à la recevabilité de l’action introduite par l’Union fédérale.

En effet, il s’interroge sur le point de savoir si une association de défense des intérêts des consommateurs, telle que l’Union fédérale, dispose encore, depuis l’entrée en vigueur du règlement général sur la protection des données, du pouvoir d’agir, en introduisant une action devant les juridictions civiles, à l’encontre de violations de ce règlement, et ce indépendamment de la violation concrète de droits de personnes concernées individuelles et sans mandat de ces dernières.

Il considère notamment qu’il pourrait être déduit du fait que le règlement général sur la protection des données confère aux autorités de contrôle des pouvoirs étendus en matière de surveillance, d’enquête et en vue de l’adoption de mesures correctrices qu’il incombe principalement à ces autorités de contrôler l’application de ce règlement.

L’avis de l’avocat général

L’avocat général Jean Richard de la Tour a rendu ses conclusions : il propose à la Cour d’interpréter le règlement général sur la protection des données en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles, dès lors que l’action représentative en cause vise à faire respecter des droits que les personnes qui font l’objet du traitement contesté tirent directement de ce règlement.

L’avocat général rappelle que, dans son arrêt Fashion ID, la Cour s’est prononcée, à propos de la directive 95/46 4 qui précédait le règlement général sur la protection des données, sur une question similaire. Elle a dit pour droit que cette directive ne s’oppose pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.

L’avocat général considère que ni le remplacement de la directive 95/46 par un règlement ni la circonstance que le règlement général sur la protection des données consacre désormais un article à la représentation des personnes concernées dans le cadre d’actions en justice ne sont de nature à remettre en cause ce que la Cour a jugé dans cet arrêt.

Ainsi, selon lui, les États membres peuvent encore prévoir la possibilité pour certaines entités d’exercer, sans mandat des personnes concernées et sans qu’il soit nécessaire d’alléguer l’existence de cas concrets à propos de personnes individuellement désignées, des actions représentatives visant à protéger les intérêts collectifs des consommateurs, dès lors qu’est alléguée la violation de dispositions de ce règlement ayant pour objet de conférer des droits subjectifs aux personnes concernées.

Tel serait bien le cas de l’action en cessation qui a été introduite par l’Union fédérale à l’encontre de Facebook Ireland.

L’avocat général estime également que le règlement général sur la protection des données ne s’oppose pas à des dispositions nationales qui habilitent une association de défense des intérêts des consommateurs à exercer une action en cessation en vue de garantir le respect des droits conférés par ce règlement par l’intermédiaire de règles ayant pour objet de protéger les consommateurs ou de lutter contre les pratiques commerciales déloyales.

En effet, de telles règles peuvent contenir des dispositions semblables à celles contenues dans le règlement, en particulier en ce qui concerne l’information des personnes concernées quant au traitement de leurs données à caractère personnel. Par conséquent, la violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales.

Selon l’avocat général, la défense des intérêts collectifs des consommateurs par des associations est particulièrement adaptée à l’objectif du règlement général sur la protection des données d’établir un niveau élevé de protection des données à caractère personnel.

Le contexte global

Cet arrêt est d’autant plus attendu que le contexte actuel n’est pas à l’entente cordiale entre les autorités de protection de données. Plusieurs d’entre elles considèrent que certaines autorités font preuve d’un laxisme tellement évident qu’elles sabotent l’ensemble du système.

Le problème est simple à comprendre :

  • Étape 1 : Le RGPD introduit la notion d’autorité chef de file. Il s’agit, dans les situations de traitement transfrontalier, de l’autorité de contrôle dont relève l’établissement principal ou l’établissement unique du responsable du traitement ou du sous-traitant.
  • Etape 2 : le chef de file en tant qu’interlocuteur unique. Ce chef de file est, au terme de l’article 56 § 6 du RGPD, le « (…) seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant ».
  • Etape 3 : la Cour confirme le rôle du chef de file. Dans un récent arrêt, la cour de justice a confirmé l’importance du rôle du chef de file. Elle n’a pas exclu que les autres autorités puissent, dans certains cas bien précis, agir devant leurs propres juridictions, mais les conditions ne sont pas simples.
  • Etape 4 : le sabotage ? Conclusion logique de ce qui précède : si une autorité chef de file adopte une attitude laxiste, par exemple parce qu’elle veut attirer ou conserver sur son territoire de grands comptes, il y a un risque réel que les autres autorités se retrouvent démunies. C’est alors, en raison du principe du guichet unique traduit par la notion de chef de file, l’ensemble de l’Union qui est affectée.

La situation est loin d’être théorique. Depuis près d’un an, on assiste à l’isolement de l’autorité irlandaise sur des questions fondamentales. Celle-ci adopte des positions qui sont étonnamment laxistes et qui ont le don d’énerver les autres autorités. La question est désormais posée : la DPC irlandaise est-elle inféodée aux intérêts des GAFAM ? Même le Parlement européen s’en est ému, appelant la Commission à réagir.

C’est dans ce contexte très tendu que la Cour de justice rendra son arrêt concernant la représentation des personnes concernées par les associations de défenses des consommateurs.

Si elle adopte une attitude d’ouverture, elle déplacera en quelque sorte le combat : le pouvoir que les autorités non-chef de file ont perdu, sera récupéré par les associations qui s’en saisiront en bénéficiant de l’énorme avantage de pouvoir beaucoup plus facilement assigner devant leurs propres juridictions.

Plus d’infos ?

En lisant les conclusions de l’avocat général (C-319/20).

En consultant notre fil d’actualité sur l’autorité chef de file.

Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK