La CJUE juge que le règlement européen relatif à la protection des données ne s’oppose pas à une action collective (appelée aussi l’action représentative ou « class action ») introduite indépendamment de toute violation concrète des droits protégés ou de mandat pour agir. Explications.
Le RGPD est à nouveau sous les projecteurs de la Cour de justice, appréhendé, cette fois-ci, à travers les règles régissant la protection des consommateurs et la lutte contre les pratiques commerciales déloyales. L’arrêt rendu hier concerne Meta, où le propriétaire de Facebook s’oppose à la législation allemande qui permet aux associations de défense des intérêts des consommateurs d’agir en justice, sans pour autant qu’il y ait de violation concrète des droits d’une personne physique déterminée.
En 2012, l’Union fédérale des centrales et associations de consommateurs avait reproché à Facebook de multiples violations des règles relatives à la protection des données à caractère personnel, outre des pratiques commerciales déloyales, du Code de la consommation allemand dont l’interdiction sur les clauses abusives…
L’association épinglait en particulier ces jeux mis à disposition sur le réseau social, entrainant en arrière-boutique de multiples traitements : collecte de données à caractère personnel, possibilité de publier au nom de l’utilisateur des informations sur son compte, comme des photos… Des jeux où une simple pression sur le bouton « Jouer » valait acceptation des CGU. Ainsi un « Scrabble » permettait à son éditeur de publier des statuts, des photos et d’autres informations au nom du joueur.
De prime abord, tout semble dans les règles puisque des informations étaient visibles sur l’application. L’analyse n’a cependant pas été partagée par l’association pour qui, en substance, le consentement de l’utilisateur n’a pas été valablement recueilli. L’Union fédérale avait fini par saisir le tribunal régional de Berlin avec l’espoir d’interdire à Meta en Allemagne la mise à disposition de jeux où le consentement se retrouve caché derrière un simple clic.
Contestation après constatation, le dossier est remonté jusqu’à la Cour de justice de l’UE, dans le cadre d’un recours en révision focalisé sur la capacité des associations de consommateurs à défendre les droits des personnes physiques. L’incertitude reposait sur une question centrale : le fameux RGPD fait-il obstacle à la qualité d’agir d’une association des consommateurs en absence d’une victime concrète et donc d’un mandat pour agir ?
Le RGPD doit assurer un haut niveau de protection
L’article 80, paragraphe 1 du RGPD confère un droit d’action en justice à une association telle que l’Union fédérale, uniquement en cas d’un mandat de représentation fourni par une personne qui se prétendrait victime d’une violation des droits protégés au titre du règlement.
Son paragraphe 2 reconnaît aussi à un État membre la possibilité d’ouvrir à ces associations un droit d’agir en justice sans mandat, « s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement ».
Le raisonnement magistral de la Cour, dans le cadre de l’examen de la question préjudicielle, a consisté en une analyse étape par étape de chacun des termes de cette expression.
Dans un premier temps, elle rappelle l’objectif du RGPD : le règlement vise « à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union et à lever les obstacles aux flux de données à caractère personnel au sein de celle-ci » (considérant 52).
Or, certaines dispositions « peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres » et à ce titre les États disposent d’une marge de manœuvre, lesquelles ne doivent pas conduire à « porter atteinte au contenu et aux objectifs de ce règlement ».
La Cour relève également la pertinence des règles en matière de protection de consommateurs et des données à caractère personnel. En effet, « la violation des règles ayant pour objet de protéger les consommateurs ou de lutter contre les pratiques commerciales déloyales peut être connexe, comme en l’occurrence, à la violation des règles en matière de protection des données à caractère personnel de ces consommateurs ».
Ensuite, la Cour se livre à l’interprétation minutieuse de l’article 80, paragraphe 2 du RGPD. Par exemple, l’expression « personnes concernées » désigne « non seulement une personne physique identifiée, mais également une personne physique identifiable ».
Conclusion ? Une association telle que l’Union fédérale n’a pas à identifier les personnes « concernée[s] par un traitement de données prétendument contraire aux dispositions du RGPD ».
Une action ouverte même sans violation concrète
Pour ouvrir la possibilité d’action d’une association de consommateurs sur ce fondement, « il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits ».
Cette interprétation se justifierait donc par l’objectif du RGPD d’assurer ce niveau élevé de protection. Et une interprétation inverse reviendrait à réduire à néant « la fonction préventive des actions menées par des associations de défense des intérêts des consommateurs ».
Promouvoir l’action collective « indépendamment de la violation des droits d’une personne individuellement et concrètement affectée par cette violation » non seulement « contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection », mais « pourrait s’avérer plus efficace que le recours d’une seule personne individuellement et concrètement affectée », juge la Cour.
D’ailleurs, la directive du 25 novembre 2020, relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs (contraignante à partir du 25 juin 2023), « contient plusieurs éléments qui confirment que l’article 80 du RGPD ne fait pas obstacle à l’exercice d’actions représentatives complémentaires dans le domaine de la protection des consommateurs » (considérant 81) donc il existera à terme tout un panel de procédures à disposition des organismes de défense des intérêts des consommateurs.
L'Union fédérale applaudit un « arrêt historique » puisque désormais les associations peuvent défendre les consommateurs concernés sans mandat et indépendamment de la violation de droits spécifiques, si du moins le droit national prévoit une telle possibilité.
En France, l’article 37 de la loi Informatique et Libertés ouvre un droit d’action à certaines associations, mais seulement « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature ». L’article 38 organise la possibilité pour chacune de ces personnes de mandater l’association.
Commentaires (6)
#1
Une décision qui va dans le bon sens ! Si cette décision pouvait inspirer le législateur français à ouvrir ce droit aussi..
A l’entrée en vigueur du RGPD, la Quadrature du Net et NYOB avaient fait portées des plaintes collectives mais il est peut-être plus dur aujourd’hui qu’en 2018 de fédérer un grand nombre de gens. En 2018 il y avait un “momentum” RGPD dans le grand public
#1.1
La transcription dans le droit local ne s’applique pas ici ?
#2
Je ne connais pas assez bien l’intégration dans le droit allemand pour comprendre si c’est l’absence de spécification de l’article 80 du RGPD dans la loi allemande qui a amené cette question.
#2.1
Le RGPD n’a pas de transposition dans le droit national, un Règlement Européen s’applique immédiatement en l’état au contraire d’une Directive qui doit être transposée dans le droit de chaque Etat-membre. Par contre, un règlement peut provoquer un changement de législation nationale pour la rendre compatible dans le cas où il y aurait contradiction (il me semble qu’il y en a eu pour le droit français dans le cas du démarrage du RGPD).
De ma compréhension, ce n’est pas une question de spécification dans la loi allemande, le RGPD étant au dessus de celle-ci. La juridiction qui a traité l’affaire avait interprété l’article 80 du RGPD comme empêchant l’Union Fédérale de représenter les victimes sans mandat explicite de leur part. La CJUE a conclu que cet article ne l’empêche aucunement du moment que le droit national leur en donne la compétence.
#3
En effet un règlement est d’application direct, par contre le législateur européen laisse certains pans aux Etats. A titre d’exemple l’article 80-2 du RGPD indique que “les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente”.
Sur ce point spécifique (la saisine sans mandat direct) la liberté est laissée à chaque Etat. Ce qui est fait en France dans l’article 37-38 de la LIL modifiée. Le terme de transposition était mal choisi je le reconnais mais je n’avais pas mieux trouver sur le moment
Quand cette précision n’est pas faite par l’Etat, que cela soit par omission ou volonté, ça laisse la place à des batailles juridiques sur le fait que le règlement l’autorise implicitement ou non comme cela semble être le cas ici.
#4
On ne va pas trop en attendre de la CNIL Irlandaise au vu de l’article sorti récemment hein.