Association de consommateurs: 1-Meta / Facebook-0

 

 

Par Richard Milchior, le 27 mai 2022

 

Article publié dans Le Monde du Droit 

 

La CJUE a répondu à une question préjudicielle concernant la législation allemande sur la protection des données personnelles pour des faits constituant, en même temps, une pratique commerciale déloyale, une violation de la loi de protection des consommateurs et de l’interdiction de l’utilisation de conditions générales nulles. L’action contre Meta Platform Ireland (ex Facebook) émane d’une association de consommateurs habilitée à demander la cessation de telles conditions et des violations de la législation les protégeant.

La plate-forme Internet Facebook contient à l’adresse www.facebook.de un espace appelé « App-Zentrum » où Meta met à disposition des jeux gratuits fournis par des tiers. Pour certains, l’utilisateur est informé que l’utilisation de l’application permet audit tiers d’obtenir des données personnelles et l’autorise à procéder à des publications au nom de cet utilisateur. Celui-ci accepte ainsi des conditions et sa politique de protection des données.

L’association estimait que les indications fournies étaient déloyales notamment pour absence de consentement valable de l’utilisateur. Pour elle, indiquer que l’application est autorisée à publier au nom de l’utilisateur certaines informations personnelles constitue une condition générale défavorisant indûment celui-ci. Elle a introduit une action en cessation contre Meta fondée sur diverses lois allemandes sans se référer à la violation concrète du droit à la protection des données d’une personne désignée dont elle aurait reçu mandat, posant la question suivante : l’article 80 § 2, du RGPD s’oppose-t-il à une réglementation nationale qui permet à une association de défense des consommateurs d’agir sans mandat contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel en alléguant la violation de l’interdiction des pratiques commerciales déloyales, de la loi de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles ?

Selon ce texte, les États peuvent prévoir que tout organisme, organisation ou association peut introduire une réclamation auprès de l’autorité de contrôle s’il considère que les droits d’une personne ont été violés par le traitement de données personnelles. Le RGPD ouvre de plus la possibilité aux États de prévoir des règles nationales plus strictes ou dérogatoires en laissant une marge d’appréciation pour la mise en œuvre de ces dispositions.

Des dispositions du RGPD nécessitent, pour leur mise en oeuvre, l’adoption de mesures nationales. Ainsi, l’autorisation d’une action représentative sans mandat en matière de protection des données à caractère personnel doit être intégrée en droit national dans les conditions et limites prévues par le RGPD.

Le législateur allemand a considéré que la réglementation transposant la directive 2009/22, permettait aux associations de consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données personnelles. Mais ces règles respectaient-elle le RGPD et notamment ses exigences au niveau des champs d’application personnel et matériel de ces textes ?

Concernant le champ d’application personnel, la qualité pour agir est reconnue à : «…une association à but non lucratif […] dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant ».

C’est le cas d’association de défense des consommateurs qui poursuivent un objectif d’intérêt public : assurer les droits et les libertés des personnes concernées en leur qualité de consommateurs, dès lors que cet objectif est susceptible d’être connexe à la protection des données personnelles.

S’agissant de l’application matériel, l’exercice de l’action représentative hors mandat, par une entité autorisée suppose que celle-ci « considère que les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement » de ses données personnelles et ce sans devoir identifier individuellement une personne « qui peut être identifiée », directement ou indirectement, par référence à un identifiant, comme un nom ou un numéro d’identification. Ainsi, la désignation d’un groupe de personnes affectées par un tel traitement peut suffire et ce sans avoir à démontrer l’existence d’une violation concrète des droits qu’une personne tire des règles de protection des données ni devoir prouver l’existence d’un préjudice réel.

L’article 80 § 2, du RGPD fait-il alors obstacle à l’exercice d’une action représentative lorsque la violation des règles de protection des données a été alléguée lors d’une action fondée sur d’autres règles de protection du consommateur ?

La Cour a dit que les associations sont habilitées à agir contre des violations des droits prévus par le RGPD par l’intermédiaire d’autres règles protégeant les consommateurs ou luttant contre des pratiques commerciales déloyales, telles celles prévues par les directives 2005/29 et 2009/22.

La Cour a ainsi jugé que l’article 80, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, sans mandat conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.