La Cour de justice de l’Union européenne, par un arrêt de sa troisième chambre rendu le 28 avril 2022, précise l’articulation entre le droit des données personnelles et les actions collectives. Cette décision définit la faculté pour une association de consommateurs d’agir contre des violations du règlement général sur la protection des données sans mandat préalable des individus.
Une société exploitant un réseau social mettait à disposition des jeux gratuits fournis par des tiers au sein d’un espace numérique dédié aux applications. L’utilisation de ces logiciels entraînait la collecte de données personnelles et autorisait des publications automatiques au nom des utilisateurs sur la plateforme de communication. Une association de protection des intérêts des consommateurs a estimé que ces pratiques constituaient des actes déloyaux et violaient les règles relatives au consentement. Le tribunal régional de Berlin a accueilli la demande initiale mais la société a formé un pourvoi en révision devant la juridiction suprême allemande. La Cour fédérale de justice a alors interrogé le juge européen pour savoir si le règlement s’opposait à une action associative dépourvue de mandat exprès. L’article 80 du texte permet-il à une législation nationale d’autoriser une action représentative contre un responsable de traitement sans mandat et sans lésion individuelle concrète ? La Cour répond que le droit de l’Union ne s’oppose pas à une telle réglementation dès lors que le traitement peut affecter des droits individuels. Il convient d’étudier la consécration de cette capacité d’action autonome avant d’analyser l’élargissement des conditions de mise en œuvre de la responsabilité du professionnel.
**I. La reconnaissance d’une faculté d’agir autonome des associations de consommateurs**
**A. La mise en œuvre d’une marge d’appréciation nationale encadrée**
Le règlement général vise une harmonisation complète des législations nationales tout en prévoyant des clauses d’ouverture permettant aux États membres d’adopter des règles spécifiques. L’article 80 paragraphe 2 constitue une telle disposition en laissant aux autorités nationales une marge d’appréciation concernant la représentation des personnes physiques devant les tribunaux. Les États doivent toutefois exercer cette compétence sans porter atteinte au contenu et aux objectifs fondamentaux de la protection européenne des libertés et des droits. L’analyse porte tant sur le fondement juridique de la compétence nationale que sur la nature des entités habilitées par la loi pour engager ces procédures.
**B. L’inclusion des associations de consommateurs dans le champ personnel de l’action**
Une association de défense des intérêts des consommateurs peut introduire une réclamation car elle poursuit un objectif d’intérêt public lié aux libertés des personnes physiques. La Cour affirme qu’une telle entité relève de la notion d’organisme habilité dès lors que sa mission statutaire est connexe à la protection des données personnelles. La violation des règles relatives aux pratiques commerciales déloyales justifie l’intervention de ces groupements pour garantir le respect global du règlement général sur le marché numérique. L’admission de cette qualité pour agir repose sur une lecture favorisant l’intervention collective, laquelle se manifeste également par un assouplissement des critères matériels du recours.
**II. Une interprétation extensive des conditions de l’action représentative**
**A. L’absence d’exigence d’une identification individuelle ou d’un préjudice réel**
L’action représentative ne requiert pas l’identification préalable des personnes spécifiquement concernées par le traitement de données prétendument contraire aux dispositions du droit de l’Union. La désignation d’une catégorie ou d’un groupe de personnes physiques identifiables s’avère suffisante pour que l’organisme puisse valablement introduire son recours devant les juridictions. La Cour précise qu’il suffit de faire valoir que le traitement est « susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement ». L’existence d’une violation concrète ou d’un dommage moral ou matériel n’est donc pas une condition nécessaire à la recevabilité de l’action menée par l’association.
**B. La primauté de l’objectif d’effectivité de la protection des données**
Le droit européen cherche à assurer un niveau élevé de protection des libertés fondamentales à travers une application cohérente et homogène des règles de traitement. Habiliter des associations à agir sans mandat renforce les droits des individus en offrant un mécanisme de contrôle supplémentaire contre les abus des responsables de traitement. Cette fonction préventive permet de lutter contre des violations massives qui ne seraient pas nécessairement sanctionnées par l’exercice de recours purement individuels et isolés. Le juge européen valide ainsi une synergie entre le droit de la consommation et le droit des données pour garantir l’utilité pratique des normes protectrices. Cette souplesse procédurale manifeste la volonté d’abandonner les preuves individuelles strictes au profit d’une recherche d’efficacité maximale du système juridique au sein du marché intérieur.
