La Cour de justice de l’Union européenne, par un arrêt rendu le 28 avril 2022, a précisé les modalités de représentation des personnes concernées. Un exploitant de réseau social mettait à disposition des utilisateurs des jeux gratuits fournis par des tiers sur un espace de sa plateforme numérique. Ces applications permettaient l’obtention de données personnelles et autorisaient des publications au nom de l’utilisateur, sans qu’un consentement valide ne soit clairement établi.
Une association de défense des intérêts des consommateurs a estimé que ces pratiques étaient déloyales au regard de la législation sur la protection des données. Elle a introduit une action en cessation devant le tribunal régional de Berlin, lequel a accueilli la demande, décision confirmée par le tribunal régional supérieur de Berlin. Saisie d’un recours, la Cour fédérale de justice s’est interrogée sur la persistance de la qualité pour agir de l’association après l’entrée en vigueur du règlement général.
La juridiction de renvoi a demandé si les dispositions du règlement font obstacle à une réglementation nationale conférant aux associations le pouvoir d’agir sans mandat. La Cour de justice a répondu que le droit de l’Union ne s’oppose pas à une telle faculté d’agir pour les organismes de défense des consommateurs. L’examen des conditions de mise en œuvre de l’action représentative précède l’analyse de l’articulation entre la protection des données et le droit de la consommation.
I. La reconnaissance d’une large faculté d’agir pour les associations de défense des consommateurs
L’article 80 du règlement général offre aux États membres la possibilité de prévoir des mécanismes de recours représentatifs pour protéger les droits des personnes physiques. La Cour souligne que cette disposition constitue une clause d’ouverture laissant aux autorités nationales une marge d’appréciation quant à sa mise en œuvre effective.
A. Une mise en œuvre de la marge d’appréciation laissée aux États membres
Le règlement général sur la protection des données vise une harmonisation complète des législations nationales tout en ménageant des espaces de liberté pour les législateurs. La Cour relève que l’article 80, paragraphe 2, permet aux États membres de prévoir une action représentative indépendamment de tout mandat confié par une personne. Pour que cette action puisse être exercée, il appartient toutefois aux États de faire usage de cette faculté en l’intégrant dans leur ordre juridique interne.
Le juge européen précise que les États doivent utiliser cette marge d’appréciation sans porter atteinte au contenu et aux objectifs poursuivis par le texte communautaire. Le législateur national peut ainsi maintenir des dispositions antérieures permettant déjà aux associations d’agir en justice contre les atteintes à la protection des données personnelles. Cette interprétation favorise une continuité juridique tout en respectant l’autonomie procédurale des États membres dans le cadre défini par le droit de l’Union européenne.
B. L’absence de condition tenant à l’identification préalable des personnes lésées
L’exercice de l’action représentative par une association n’est pas subordonné à l’identification individuelle et préalable de chaque personne spécifiquement concernée par le traitement litigieux des données. La Cour affirme que la notion de personne concernée couvre une personne physique identifiée ou seulement identifiable, conformément aux définitions générales posées par le règlement. La désignation d’une catégorie ou d’un groupe de personnes affectées par un traitement de données peut être jugée suffisante pour introduire l’action collective.
L’action n’est pas non plus soumise à la preuve d’une violation concrète des droits ou d’un préjudice réel subi par une personne dans une situation déterminée. Il suffit que l’entité « considère que les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement » de ses données. Cette souplesse procédurale renforce la capacité d’intervention des organismes de protection des consommateurs face à des pratiques numériques affectant un grand nombre d’individus.
II. Le renforcement de l’effectivité de la protection des données par l’action collective
L’interprétation retenue par la Cour de justice favorise une protection étendue des droits fondamentaux en permettant une synergie entre les différentes branches du droit privé. Cette approche garantit que les objectifs de protection des données ne soient pas entravés par des considérations purement procédurales ou des cloisonnements juridiques.
A. La licéité de l’articulation entre le droit de la consommation et le règlement général
La violation d’une règle relative à la protection des données personnelles peut entraîner simultanément la violation des règles protégeant les consommateurs contre les pratiques déloyales. La Cour admet que les associations peuvent agir contre des violations du règlement en invoquant des dispositions nationales issues de la directive sur les pratiques commerciales déloyales. Cette faculté permet de contrôler l’application du droit par l’intermédiaire de règles ayant pour objet de lutter contre les clauses abusives ou les informations trompeuses.
L’article 80 ne s’oppose pas à ce que la défense des intérêts des personnes concernées passe par des mécanismes juridiques initialement conçus pour la protection économique. La directive relative aux actions représentatives confirme d’ailleurs que les mécanismes d’application du règlement général peuvent être utilisés pour protéger les intérêts collectifs des consommateurs. Cette porosité entre les domaines juridiques assure une surveillance accrue des responsables de traitement opérant sur des marchés de plus en plus numérisés et complexes.
B. L’objectif de garantir un niveau élevé de protection des libertés fondamentales
Le fait d’habiliter les associations à introduire des actions en cessation contribue directement à assurer un niveau élevé de protection du droit à la vie privée. La Cour estime que la fonction préventive des actions menées par ces organismes serait compromise si elles devaient démontrer une atteinte individuelle et concrète. Un mécanisme de recours représentatif peut s’avérer plus efficace que l’action isolée d’une personne affectée par une violation de ses droits fondamentaux par un professionnel.
Le recours collectif permet de prévenir un grand nombre d’infractions potentielles en s’attaquant à la source du traitement illicite de données à caractère personnel. Cette solution est conforme à l’exigence de protection efficace découlant de la Charte des droits fondamentaux de l’Union européenne et du traité sur le fonctionnement. La Cour de justice valide ainsi un modèle de régulation où la vigilance des associations complète utilement l’action des autorités de contrôle nationales indépendantes.
