RGPD : la liberté d’agir des associations de défense de consommateurs

Vianney DESSENNE
Vianney DESSENNE - Avocat

Source :  Article CURIA, ARRÊT DE LA COUR (troisième chambre), du 28 avril 2022

Meta Platforms Ireland est le responsable du traitement des données à caractère personnel des utilisateurs du réseau social en ligne Facebook dans l’Union européenne.

L’union fédérale allemande des associations de consommateurs avait introduit une action à son encontre pour violation des règles relatives à la protection des données à caractère personnel, à la lutte contre la concurrence déloyale et à la protection des consommateurs.

Dans le cadre des recours, la Cour fédérale de justice s’est interrogée sur la possibilité pour une association de défense des intérêts des consommateurs d’agir en introduisant une action devant les juridictions civiles sur le fondement de la violation du RGPD indépendamment de la violation de droits individuels et sans mandat des victimes.

Dans un arrêt du 28 avril 2022 (affaire C-319/20), la CJUE relève que le RGPD ne prohibe pas le fait qu’une réglementation nationale autorise une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement des données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

En effet, certaines dispositions du RGPD ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre, à condition que les règles nationales adoptées ne portent pas atteinte au contenu et aux objectifs dudit règlement.

Les Etats membres disposent donc de la faculté d’organiser un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel,

Dans ce cadre, la CJUE précise qu’une association de défense des intérêts des consommateurs, telle que l’union fédérale allemande ici requérante, relève de la notion d’« organisme ayant la qualité pour agir » au sens du RGPD en ce qu’elle poursuit un objectif d’intérêt public consistant à assurer les droits des consommateurs.

En effet, la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales peut être connexe à la violation d’une règle relative à la protection des données à caractère personnel.

La CJUE souligne que :

1.  L’introduction d’une action représentative présuppose qu’une telle association, indépendamment de tout mandat qui lui a été confié, « considère » que les droits d’une personne concernée prévus dans le RGPD ont été violés du fait du traitement de ses données à caractère personnel, sans qu’il soit nécessaire d’identifier, individuellement et préalablement, la personne spécifiquement concernée par ledit traitement et d’alléguer l’existence d’une violation concrète des droits tirés des règles en matière de protection des données : une telle interprétation est conforme à l’objectif poursuivi par le RGPD consistant notamment à assurer un niveau élevé de protection des données à caractère personnel ;

2.  Le RGPD ne s’oppose pas au fait que des dispositions nationales prévoient l’exercice d’actions représentatives contre des violations des droits conférés par ce règlement par l’intermédiaire, le cas échéant, de règles ayant pour objet de protéger les consommateurs ou de lutter contre des pratiques commerciales déloyales.

Print Friendly, PDF & Email
Partager cet article