Accord politique sur le règlement Digital Services Act (DSA) qui impose de nouvelles règles aux plateformes en ligne
2 mai 2022
RAPPORT D’ACTIVITÉ 2021 de la CNIL : l’autorité de contrôle n’a jamais autant été sollicitée
13 mai 2022

Dans une décision rendue le 28 avril 2022[1], la Cour de justice de l’Union européenne (CJUE) a admis qu’une association de consommateurs puisse agir de manière autonome à l’encontre d’un responsable de traitement qui n’avait pas respecté la législation en matière de protection des données personnelles.

« Les faits »

Dans les faits, il s’agit de l’action d’une association allemande devant la Cour fédérale de justice allemande contre Meta, pour des manquements au RGPD à l’encontre des utilisateurs de Facebook. Elle lui reprochait notamment l’insuffisance des informations concernant les traitements et les transferts de données personnelles réalisés vers l’éditeur de l’application, qui découlent de la fonctionnalité « jeux ». Selon elle, le consentement de l’utilisateur n’était donc pas correctement recueilli.

L’association a agi de manière autonome, sans être mandatée par des personnes concernées. Meta a, de son côté, fait valoir que cette action n’était pas autorisée.

« Une question préjudicielle »

La Cour fédérale de justice allemande a décidé de poser la question à la CJUE pour savoir si les associations de consommateurs étaient compétentes pour agir en cas de violation du RGPD mais ce, en l’absence de mandat et de violation de droits concrets des personnes concernées. Le RGPD prévoit que les États membres peuvent autoriser les organismes ou association à introduire une réclamation ou à agir en cas de violation des données personnelles[2]. La Cour fédérale s’interroge donc sur l’interprétation de cet article.

La CJUE a répondu que les associations de consommateurs pouvaient agir de manière autonome en dehors d’une action collective[3] et en l’absence d’une violation concrète des droits en matière de protection des données d’une personne concernée. La CJUE affirme donc que les associations de consommateurs sont compétentes pour agir en cas de violation du RGPD. Pour ce faire, elles doivent uniquement alléguer de l’existence d’un traitement contraire à des dispositions du RGPD.

« Une solution importante »

Cette solution offre des opportunités nouvelles pour les nombreuses associations de consommateurs en matière de protection des données personnelles[4]. En effet, elles vont désormais pouvoir agir sans violation concrète du RGPD à l’encontre d’une personne concernée et sans mandat[5]. Néanmoins, selon les pays européens, cette solution aura une portée différente puisque tous les États membres n’habilitent pas les associations de consommateurs. Dans l’attente de la transposition de la directive européenne sur les actions représentatives[6], certains craignent donc l’apparition de forum shopping avec des actions d’associations de consommateurs devant les tribunaux des juridictions où le droit national est le plus avantageux[7].

En France, cette décision donne aux associations de consommateurs de nouvelles possibilités et notamment celle de jouer un rôle dans la protection des données personnelles et dans la lutte contre les violations du RGPD, notamment face aux grands acteurs du numérique. L’avenir nous le dira, mais nous allons sûrement assister à une augmentation des actions des associations de consommateurs pour défendre la protection des données personnelles.

Pour en savoir plus :

[1] CJUE, Arrêt du 28 avril 2022Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände. Aff. C-319/20

[2] RGPD, art. 80.2

[3] B. Lemaire, « RGPD : les associations de consommateurs autorisées à ester en justice sans préjudice individuel », CIO, 30 avril 2022

[4] A. Vitard, « Les associations de consommateurs, futures protectrices, des données personnelles face aux plateformes ? », L’Usine Digitale, 28 avril 2022

[5] E. Wery, « Les associations de consommateurs vont devenir les gendarmes du RGPD », Droit & Technologies, 28 avril 2022

[6] Directive (UE) 2020/1828 du Parlement européen et du Conseil du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs

[7] L. Betuzzi, « Les associations de consommateurs peuvent engager des actions collectives pour non-respect de la protection des données », Euractiv, 28 avril 2022