CJUE, n° C-319/20, Conclusions de l'avocat général de la Cour, Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V, 2 décembre 2021
Chronologie de l’affaire
Commentaires • 5
La Cour de justice de l'Union européenne a rendu une décision (1) à l'encontre de Meta Ireland à propos de la possibilité pour les associations de consommateurs d'agir en défense à l'encontre d'une violation du règlement général sur la protection des données personnelles (RGPD). L'Union fédérale des centrales et associations de consommateurs (2) basée en Allemagne a introduit une action en cessation de la violation des : droits issus du RGPD ainsi que des dispositions relatives à la lutte contre la concurrence déloyale et à la protection des consommateurs contre Meta Platforms Ireland …
Voir le LEB Selon l'Avocat général Richard de la Tour, les recours collectifs sont possibles sur la base du règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (2 décembre) Conclusions dans l'affaire Facebook Ireland, aff. C-319/20 L'Avocat général estime que la substitution du RGDP à la directive 95/46/CE et l'existence d'un article dédié à la représentation des personnes concernées dans le cadre d'actions en justice dans le RGPD ne remet pas en cause la …
Sur la décision
| Référence : | CJUE, Cour, 2 déc. 2021, C-319/20 |
|---|---|
| Numéro(s) : | C-319/20 |
| Conclusions de l'avocat général M. J. Richard de la Tour, présentées le 2 décembre 2021.#Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.#Demande de décision préjudicielle, introduite par le Bundesgerichtshof.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80 – Représentation des personnes concernées par une association à but non lucratif – Action représentative intentée par une association de défense des intérêts des consommateurs en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles.#Affaire C-319/20. | |
| Date de dépôt : | 15 juillet 2020 |
| Solution : | Renvoi préjudiciel |
| Identifiant CELEX : | 62020CC0319 |
| Identifiant européen : | ECLI:EU:C:2021:979 |
Sur les parties
- Avocat général : Richard de la Tour
Texte intégral
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. JEAN RICHARD DE LA TOUR
présentées le 2 décembre 2021 ( 1 )
Affaire C-319/20
Facebook Ireland Limited
contre
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[demande de décision préjudicielle formée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80, paragraphe 2 – Droit à un recours juridictionnel effectif – Représentation des personnes concernées par une association à but non lucratif – Qualité pour agir d’une association de défense des intérêts des consommateurs »
I. Introduction
|
1. |
Dans l’économie moderne, marquée par l’essor de l’économie digitale, le traitement des données à caractère personnel est susceptible d’affecter les personnes non seulement en leur qualité de personnes physiques bénéficiaires des droits conférés par le règlement (UE) 2016/679 ( 2 ), mais également en leur qualité de consommateurs. |
|
2. |
Cette qualité a pour conséquence que les associations de défense des intérêts des consommateurs sont de plus en plus fréquemment à l’origine d’actions qui visent à faire cesser les comportements de certains responsables de traitements portant atteinte simultanément à des droits protégés par ce règlement et par d’autres règles issues tant du droit de l’Union que du droit national en matière, notamment, de protection des droits des consommateurs et de lutte contre les pratiques commerciales déloyales. |
|
3. |
La présente demande de décision préjudicielle a été présentée dans le cadre d’un litige opposant le Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Union fédérale des centrales et associations de consommateurs, ci-après l’« Union fédérale ») à Facebook Ireland Limited, dont le siège social se trouve en Irlande. L’Union fédérale reproche à cette société la violation de la législation allemande relative à la protection des données à caractère personnel constituant, en même temps, une pratique commerciale déloyale, une violation d’une loi en matière de protection des consommateurs et une violation de l’interdiction de l’utilisation de conditions générales nulles. |
|
4. |
Cette demande invite essentiellement la Cour à interpréter l’article 80, paragraphe 2, du règlement 2016/679 en vue de déterminer si cette disposition s’oppose à ce que des associations de défense des intérêts des consommateurs conservent, après l’entrée en vigueur de ce règlement, la qualité pour agir que le droit national leur octroie en vue de faire cesser des comportements constituant à la fois une violation des droits conférés par ledit règlement et une violation de règles ayant pour objet de protéger les droits des consommateurs et de lutter contre les pratiques commerciales déloyales. Dans la mesure où une telle qualité pour agir avait été jugée compatible avec la directive 95/46/CE ( 3 ) par la Cour ( 4 ), il reviendra à celle-ci de dire si le règlement 2016/679 a modifié ou non l’état du droit sur ce point. |
II. Le cadre juridique
A. Le règlement 2016/679
|
5. |
L’article 80 du règlement 2016/679, intitulé « Représentation des personnes concernées », est libellé comme suit ( 5 ) : « 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit. 2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. » |
B. Le droit allemand
|
6. |
L’article 3, paragraphe 1, du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale) ( 6 ), du 3 juillet 2004, dans sa version applicable au litige au principal, énonce : « Les pratiques commerciales déloyales sont illicites. » |
|
7. |
L’article 3a de l’UWG est libellé comme suit : « Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l’intérêt de ses acteurs dès lors que cette infraction est susceptible d’affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. » |
|
8. |
L’article 8, paragraphes 1 et 3, de l’UWG dispose : « (1) Quiconque se livre à une pratique commerciale illicite en vertu de l’article 3 ou de l’article 7 peut donner lieu à un ordre de cessation immédiate (élimination) et, en cas de risque de récidive, à un ordre de cessation pour l’avenir (abstention). Le droit à la cessation pour l’avenir (abstention) naît dès qu’il y a risque d’infraction aux articles 3 ou 7. […] (3) Sont titulaires des droits conférés par le paragraphe 1 : […]
[…] » |
|
9. |
L’article 2 de l’UKlaG prévoit : « (1) Quiconque enfreint, autrement que par l’utilisation ou la recommandation de conditions générales, des règles de protection des consommateurs (lois sur la protection des consommateurs) peut donner lieu à un ordre de cessation pour l’avenir et de cessation immédiate dans l’intérêt de la protection des consommateurs […] (2) Au sens de la présente disposition, on entend par lois sur la protection des consommateurs en particulier : […]
lorsque les données sont collectées, traitées ou utilisées à des fins de publicité, d’enquête de marché et d’opinion, d’exploitation d’une agence de renseignements, d’établissement de profils de personnalité et d’utilisation, de tout autre commerce de données ou à des fins commerciales analogues. […] » |
|
10. |
Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) indique que, en vertu de l’article 3, paragraphe 1, première phrase, point 1, de l’UKlaG, les organismes ayant qualité pour agir, au sens de cette disposition, peuvent agir en cessation de violations de la législation en matière de protection des consommateurs, laquelle comprend, également, conformément à l’article 2, paragraphe 2, première phrase, point 11, de cette loi, les dispositions qui portent sur la licéité de la collecte, du traitement et de l’utilisation, par un entrepreneur, des données à caractère personnel d’un consommateur à des fins publicitaires. De plus, toujours en vertu de l’article 3, paragraphe 1, première phrase, point 1, de l’UKlaG, les organismes ayant qualité pour agir peuvent réclamer, conformément à l’article 1er de l’UKlaG, la cessation de l’utilisation de conditions générales nulles en vertu de l’article 307 du Bürgerliches Gesetzbuch (code civil), lorsqu’ils considèrent que ces conditions générales enfreignent une disposition en matière de protection des données. |
|
11. |
L’article 13, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques) ( 9 ), du 26 février 2007, est libellé comme suit : « Dès l’entame de l’utilisation, il appartient au fournisseur de services d’informer l’utilisateur sous une forme globalement compréhensible du mode, de l’étendue et de la finalité de la collecte et de l’utilisation de données à caractère personnel ainsi que du traitement de ses données dans les États ne relevant pas du champ d’application de la [directive 95/46] dans la mesure où il n’en a pas déjà été informé. Dans les procédures automatisées, permettant d’identifier l’utilisateur ultérieurement et préparant la collecte ou l’utilisation de données à caractère personnel, l’utilisateur doit être informé à l’entame de cette procédure. L’utilisateur doit pouvoir consulter le contenu de cette information à tout moment. » |
III. Les faits du litige au principal et la question préjudicielle
|
12. |
En Allemagne, l’Union fédérale est inscrite sur la liste des entités ayant qualité pour agir au titre de l’article 4 de l’UKlaG. Facebook Ireland exploite, sous l’adresse www.facebook.de, la plate-forme Internet Facebook, qui permet l’échange de données à caractère personnel et d’autres données. |
|
13. |
La plate-forme Internet Facebook comporte un espace appelé « App-Zentrum » (Espace Applications) sur lequel Facebook Ireland met notamment à la disposition de ses utilisateurs des jeux gratuits fournis par des tiers. Lors de la consultation de certains jeux dans l’Espace Applications le 26 novembre 2012, l’utilisateur pouvait voir apparaître un certain nombre d’informations sous le bouton « Sofort spielen » (Jouer). Il résulte, en substance, de ces informations que l’utilisation de l’application concernée permettait à la société ayant fourni les jeux d’obtenir un certain nombre de données à caractère personnel et l’autorisait à procéder à des publications, au nom de l’utilisateur, de certaines informations, telles que son score. Cette utilisation impliquait l’acceptation par l’utilisateur des conditions générales de l’application et de sa politique en matière de protection des données. En outre, dans le cas du jeu Scrabble, il est indiqué que l’application est autorisée à publier le statut, des photos et d’autres informations au nom de l’utilisateur. |
|
14. |
L’Union fédérale critique la présentation des indications fournies sous le bouton « Jouer » de l’Espace Applications au motif qu’elles seraient déloyales, notamment en raison du non-respect des conditions légales qui s’appliquent à l’obtention d’un consentement valable de l’utilisateur en vertu des dispositions régissant la protection des données. En outre, elle considère que l’indication finale dans le cas du jeu Scrabble constitue une condition générale qui défavorise de façon indue l’utilisateur. |
|
15. |
Dans ce contexte, l’Union fédérale a introduit devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne) une action en cessation contre Facebook Ireland. La juridiction de renvoi précise que cette action a été introduite indépendamment de la violation concrète de droits à la protection des données d’une personne concernée et sans mandat d’une telle personne. |
|
16. |
L’Union fédérale a conclu à ce qu’il soit interdit à Facebook Ireland, sous peine de mesures d’astreinte, « de présenter des jeux, dans le cadre d’activités commerciales à destination des consommateurs ayant leur résidence permanente en […] Allemagne, sur le site Internet correspondant à l’adresse www.facebook.com, et ce dans un “Espace Applications”, de telle sorte que, en cliquant sur un bouton tel que “[Jouer]”, le consommateur déclare que l’exploitant du jeu obtient, par l’intermédiaire du réseau social exploité par [Facebook Ireland], des informations sur les données à caractère personnel qui y figurent et est autorisé à transmettre (publier) des informations au nom du consommateur […] ». |
|
17. |
L’Union fédérale a également demandé qu’il soit interdit à Facebook Ireland « d’inclure dans des conventions avec des consommateurs ayant leur résidence habituelle en […] Allemagne la disposition suivante ou des dispositions au contenu identique relatives à l’utilisation d’applications (applis) dans le cadre d’un réseau social, ainsi que d’invoquer les dispositions relatives à la transmission de données aux exploitants des jeux : “Diese Anwendung darf Statusmeldungen, Fotos und mehr in deinem Namen posten” [Cette application est autorisée à publier ton statut, des photos et d’autres informations en ton nom] ». |
|
18. |
Le Landgericht Berlin (tribunal régional de Berlin) a condamné Facebook Ireland conformément aux conclusions de l’Union fédérale. L’appel interjeté par Facebook Ireland devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne) a été rejeté. |
|
19. |
Facebook Ireland a introduit devant la juridiction de renvoi un recours en « Revision » contre la décision de la juridiction d’appel. |
|
20. |
Sur le fond, la juridiction de renvoi considère que c’est à juste titre que la juridiction d’appel a estimé que les conclusions de l’Union fédérale étaient fondées. En effet, en ne respectant pas les obligations d’information résultant de l’article 13, paragraphe 1, première phrase, première partie de la phrase, du TMG, Facebook Ireland a enfreint l’article 3a de l’UWG et l’article 2, paragraphe 2, première phrase, point 11, de l’UKlaG. La juridiction d’appel a considéré à juste titre que les dispositions de l’article 13 du TMG en cause en l’espèce sont des dispositions légales réglementant le comportement des opérateurs sur le marché au sens de l’article 3a de l’UWG. Il s’agit, en outre, de dispositions qui, conformément à l’article 2, paragraphe 2, première phrase, point 11, sous a), de l’UKlaG, régissent la licéité de la collecte, du traitement ou de l’utilisation, par un entrepreneur, des données à caractère personnel d’un consommateur qui ont été collectées, traitées ou utilisées à des fins publicitaires. Par ailleurs, la juridiction de renvoi estime que, en ne respectant pas les obligations d’information en matière de protection des données qui sont applicables en l’espèce, Facebook Ireland a utilisé une condition générale nulle au sens de l’article 1er de l’UKlaG. |
|
21. |
La juridiction de renvoi se demande cependant si c’est à bon droit que la juridiction d’appel a considéré que le recours de l’Union fédérale était recevable. En effet, elle s’interroge sur le point de savoir si une association de défense des intérêts des consommateurs, telle que l’Union fédérale, dispose encore, depuis l’entrée en vigueur du règlement 2016/679, du pouvoir d’agir, en introduisant un recours devant les juridictions civiles, à l’encontre de violations de ce règlement, et ce indépendamment de la violation concrète de droits de personnes concernées individuelles et sans mandat de ces dernières, en invoquant la violation du droit au sens de l’article 3a de l’UWG, la violation d’une loi en matière de protection des consommateurs au sens de l’article 2, paragraphe 2, première phrase, point 11, de l’UKlaG ou encore l’utilisation d’une condition générale nulle en application de l’article 1er de l’UKlaG. |
|
22. |
La juridiction de renvoi relève que la recevabilité du recours ne faisait pas de doute avant l’entrée en vigueur du règlement 2016/679. En effet, l’Union fédérale était habilitée à agir en cessation devant les juridictions civiles conformément à l’article 8, paragraphe 3, point 3, de l’UWG et à l’article 3, paragraphe 1, première phrase, point 1, de l’UKlaG. |
|
23. |
Selon cette même juridiction, il est possible que ce régime juridique ait été modifié en raison de l’entrée en vigueur du règlement 2016/679. |
|
24. |
Sur le fond, elle observe que les dispositions de l’article 13, paragraphe 1, du TMG ne sont plus applicables depuis cette entrée en vigueur, les obligations d’information pertinentes étant désormais celles qui résultent des articles 12 à 14 du règlement 2016/679. Ainsi, selon la juridiction de renvoi, Facebook Ireland n’a pas respecté l’obligation lui incombant en vertu de l’article 12, paragraphe 1, première phrase, de ce règlement, qui consiste à fournir à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations visées à l’article 13, paragraphe 1, sous c) et e), dudit règlement, lesquelles sont relatives à la finalité du traitement des données et au destinataire des données à caractère personnel. |
|
25. |
Sur la recevabilité du recours, il existe, selon la juridiction de renvoi, un débat sur le point de savoir si des organismes ayant qualité pour agir au sens de l’article 4 de l’UKlaG sont habilités, depuis l’entrée en vigueur du règlement 2016/679 et conformément à l’article 8, paragraphe 3, point 3, de l’UWG, à agir en justice à l’encontre de violations des dispositions de ce règlement, lesquelles sont d’application directe en vertu de l’article 288, deuxième alinéa, TFUE, en invoquant la violation du droit au sens de l’article 3a de l’UWG. |
|
26. |
À cet égard, la juridiction de renvoi fait état de l’existence de points de vue divergents quant à la question de savoir si le règlement 2016/679 régit lui-même, de manière exhaustive, le contrôle de l’application de ses dispositions. |
|
27. |
Cette juridiction observe, à propos du libellé du règlement 2016/679, que la qualité pour agir d’une entité telle que l’Union fédérale, au titre de l’article 8, paragraphe 3, point 3, de l’UWG, n’est pas couverte par l’article 80, paragraphe 1, de ce règlement, dans la mesure où l’action en cessation en cause au principal n’a pas été diligentée sur mandat et au nom d’une personne concernée pour faire valoir ses droits personnels. Il s’agirait, au contraire, d’une qualité pour agir de l’Union fédérale au titre d’un droit qui lui est propre, laquelle lui permettrait, en cas de violation du droit au sens de l’article 3a de l’UWG, d’agir contre des violations des dispositions dudit règlement à titre objectif, indépendamment de la violation de droits concrets de personnes concernées individuelles et d’un mandat de la part de ces dernières. |
|
28. |
Or, la juridiction de renvoi relève qu’une qualité pour agir de l’Union fédérale afin de faire appliquer, à titre objectif, le droit relatif à la protection des données à caractère personnel n’est pas prévue à l’article 80, paragraphe 2, du règlement 2016/679. En effet, si cette disposition prévoirait bien la possibilité d’une action par une telle entité indépendamment de tout mandat confié par une personne concernée, il faudrait cependant que les droits d’une personne concernée, tels que prévus dans ce règlement, aient été violés en raison d’un traitement. Par conséquent, les dispositions de l’article 80, paragraphe 2, dudit règlement n’autoriseraient pas non plus, eu égard à leur libellé, une qualité pour agir des associations qui invoquent des violations objectives du droit relatif à la protection des données à caractère personnel, indépendamment de la violation des droits subjectifs d’une personne concernée concrète, en s’appuyant, comme en l’espèce, sur l’article 3a et sur l’article 8, paragraphe 3, point 3, de l’UWG. Une conclusion identique pourrait être tirée du considérant 142, deuxième phrase, du règlement 2016/679 qui mentionne également la violation des droits d’une personne concernée comme condition d’une qualité pour agir d’une association indépendamment d’un mandat de la personne en question. |
|
29. |
Par ailleurs, la qualité pour agir d’une association, telle que celle prévue à l’article 8, paragraphe 3, de l’UWG, ne saurait, selon la juridiction de renvoi, résulter de l’article 84, paragraphe 1, du règlement 2016/679, en vertu duquel les États membres déterminent le régime des autres sanctions applicables en cas de violations de ce règlement et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. En effet, la qualité pour agir d’une association, telle que celle qui est visée à l’article 8, paragraphe 3, de l’UWG, ne saurait être considérée comme une « sanction », au sens de cette disposition dudit règlement. |
|
30. |
La juridiction de renvoi relève, en outre, que l’économie du règlement 2016/679 ne permet pas de déterminer avec certitude si la qualité pour agir d’un organisme au titre de l’article 8, paragraphe 3, point 3, de l’UWG, c’est-à-dire au titre d’une disposition destinée à lutter contre la concurrence déloyale, peut encore être reconnue depuis l’entrée en vigueur de ce règlement. Cette juridiction considère qu’il pourrait être déduit du fait que celui-ci confère aux autorités de contrôle des pouvoirs étendus en matière de surveillance, d’enquête et en vue de l’adoption de mesures correctrices qu’il incombe principalement à ces autorités de contrôler l’application des dispositions dudit règlement. Cela irait à l’encontre d’une interprétation extensive de l’article 80, paragraphe 2, du règlement 2016/679. La juridiction de renvoi relève également que l’adoption de mesures nationales de mise en œuvre d’un règlement n’est en principe permise que si elle est expressément autorisée. Toutefois, l’incise « [s]ans préjudice de tout autre recours », qui figure à l’article 77, paragraphe 1, à l’article 78, paragraphes 1 et 2, ainsi qu’à l’article 79, paragraphe 1, de ce règlement, pourrait infirmer la thèse d’une réglementation exhaustive du contrôle de l’application du droit par ledit règlement. |
|
31. |
En ce qui concerne l’objectif du règlement 2016/679, l’effet utile de celui-ci pourrait plaider en faveur de l’existence d’une qualité pour agir des associations au titre du droit de la concurrence, conformément à l’article 8, paragraphe 3, point 3, de l’UWG, indépendamment de la violation de droits concrets de personnes concernées, dans la mesure où cela ferait subsister une possibilité supplémentaire de contrôler l’application du droit, afin d’assurer un niveau aussi élevé que possible de protection des données à caractère personnel, conformément au considérant 10 de ce règlement. Néanmoins, admettre la qualité pour agir des associations au titre du droit de la concurrence pourrait être considéré comme allant à l’encontre de l’objectif d’harmonisation poursuivi par ledit règlement. |
|
32. |
La juridiction de renvoi fait également état de ses doutes concernant la persistance, après l’entrée en vigueur du règlement 2016/679, de la qualité pour agir des organismes qui sont visés à l’article 3, paragraphe 1, première phrase, point 1, de l’UKlaG afin d’exercer des actions en cas de violation des dispositions de ce règlement, au titre des actions introduites en raison du non-respect d’une loi en matière de protection des consommateurs, au sens de l’article 2, paragraphe 2, première phrase, point 11, de l’UKlaG. Il en va de même en ce qui concerne la qualité pour agir, conformément à l’article 1er de l’UKlaG, d’une association de défense des intérêts des consommateurs en vue de réclamer la cessation de l’utilisation de conditions générales nulles, au sens de l’article 307 du code civil. |
|
33. |
À supposer que les différentes dispositions nationales fondant, avant l’entrée en vigueur du règlement 2016/679, la qualité pour agir d’organismes puissent être considérées comme une mise en œuvre par anticipation de l’article 80, paragraphe 2, de ce règlement, la reconnaissance en l’espèce d’une qualité pour agir de l’Union fédérale nécessiterait, selon la juridiction de renvoi, qu’elle fasse valoir que les droits d’une personne concernée, prévus dans ledit règlement, ont été violés du fait d’un traitement. Or, cette condition ne serait pas remplie. |
|
34. |
En effet, cette juridiction souligne que les conclusions de l’Union fédérale portent sur le contrôle abstrait de la présentation de l’Espace Applications par Facebook Ireland au regard du droit objectif de la protection des données, sans que l’Union fédérale ait allégué la violation de droits d’une personne physique identifiée ou identifiable, au sens de l’article 4, point 1, du règlement 2016/679. |
|
35. |
S’il devait être constaté que l’Union fédérale a perdu, à la suite de l’entrée en vigueur du règlement 2016/679, la qualité pour agir reposant sur les dispositions précitées du droit allemand, la juridiction de renvoi indique qu’elle devrait accueillir le recours en « Revision » introduit par Facebook Ireland et rejeter l’action de l’Union fédérale, étant donné que, en vertu du droit procédural allemand, la qualité pour agir doit persister jusqu’à la fin de la dernière instance. |
|
36. |
Au vu de ces considérations, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante : « Les dispositions du chapitre VIII du règlement 2016/679, et en particulier l’article 80, paragraphes 1 et 2, ainsi que l’article 84, paragraphe 1, de celui-ci, font-elles obstacle à des dispositions nationales qui – parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer [ce] règlement et aux possibilités de recours des personnes concernées – confèrent aux concurrents, d’une part, et aux associations, organismes et chambres habilités en vertu du droit national, d’autre part, le pouvoir, en cas de violation du règlement 2016/679, d’agir contre l’auteur de celle-ci en introduisant un recours devant les juridictions civiles, indépendamment de la violation de droits concrets de personnes concernées individuelles et sans mandat d’une personne concernée, en invoquant l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles ? » |
|
37. |
L’Union fédérale, Facebook Ireland, les gouvernements autrichien et portugais ainsi que la Commission ont déposé des observations écrites. Ces parties, à l’exception du gouvernement portugais, ainsi que le gouvernement allemand ont présenté leurs observations orales lors de l’audience qui s’est tenue le 23 septembre 2021. |
IV. Analyse
|
38. |
Par sa question, la juridiction de renvoi demande, en substance, si le règlement 2016/679, et en particulier l’article 80, paragraphe 2, de ce dernier, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui permet aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles. |
|
39. |
Aux termes de l’article 4, point 1, du règlement 2016/679, une « personne concernée », au sens de ce règlement, est « une personne physique identifiée ou identifiable ». Lorsqu’une telle personne considère que ses données à caractère personnel ont fait l’objet d’un traitement contraire aux dispositions dudit règlement, elle dispose de plusieurs moyens d’action. |
|
40. |
Ainsi, une personne concernée a le droit, en vertu de l’article 77 du même règlement, d’introduire une réclamation auprès d’une autorité de contrôle. Par ailleurs, en vertu de l’article 78 du règlement 2016/679, cette personne a droit à un recours juridictionnel effectif contre une autorité de contrôle. En outre, l’article 79, paragraphe 1, de ce règlement confère à chaque personne concernée le droit à un recours juridictionnel effectif si elle considère que les droits que lui confère ledit règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du même règlement. |
|
41. |
Les personnes concernées peuvent bien entendu introduire elles-mêmes une réclamation auprès d’une autorité de contrôle ou bien exercer les recours juridictionnels précédemment décrits. Cela étant, l’article 80 du règlement 2016/679 prévoit, sous certaines conditions, la possibilité pour ces personnes d’être représentées par un organisme, une organisation ou une association à but non lucratif. Au-delà des recours individuels, le droit de l’Union prévoit ainsi différentes possibilités d’actions représentatives menées par l’intermédiaire d’entités chargées de représenter les personnes concernées ( 10 ). L’article 80 du règlement 2016/679 s’inscrit dès lors dans la tendance consistant à développer les actions représentatives exercées par de telles entités dans le but de défendre des intérêts généraux ou collectifs comme un moyen de renforcer l’accès à la justice des personnes affectées par la violation des règles en cause ( 11 ). |
|
42. |
L’article 80 du règlement 2016/679, intitulé « Représentation des personnes concernées », comporte deux paragraphes. Le premier vise la situation dans laquelle une personne concernée donne mandat à un organisme, une organisation ou une association afin de la représenter. Le second concerne l’action représentative exercée par une entité indépendamment de tout mandat confié par une personne concernée. |
|
43. |
Dans la mesure où l’action exercée par l’Union fédérale ne s’appuie pas sur le mandat d’une personne concernée, c’est l’article 80, paragraphe 2, du règlement 2016/679 qui est pertinent dans le cadre du présent renvoi préjudiciel. |
A. L’arrêt Fashion ID
|
44. |
Dans son arrêt Fashion ID, la Cour s’est prononcée, à propos de la directive 95/46, sur une question similaire à celle posée dans le cadre du présent renvoi préjudiciel. Elle a ainsi dit pour droit que « les articles 22 à 24 de [cette directive] doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel » ( 12 ). |
|
45. |
Pour parvenir à cette conclusion, la Cour est partie du constat qu’aucune disposition de la directive 95/46 n’imposait aux États membres l’obligation de prévoir, ni ne les habilitait expressément à prévoir, dans leur droit national, la possibilité pour une association de représenter en justice une personne concernée ou d’intenter de sa propre initiative une action en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel ( 13 ). Selon la Cour, cela ne signifiait pas pour autant que cette directive s’opposait à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une telle atteinte ( 14 ). À cet égard, la Cour a mis en exergue les caractéristiques qui sont propres à une directive ainsi que l’obligation pour les États membres destinataires de prendre toutes les mesures nécessaires pour assurer le plein effet de la directive concernée, conformément à l’objectif que celle-ci poursuit ( 15 ). |
|
46. |
La Cour a alors rappelé que la directive 95/46 avait pour objectifs d’« assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel » et de « garantir un niveau élevé de protection dans l’Union [européenne] » ( 16 ). Or, selon la Cour, le fait pour un État membre de prévoir dans sa réglementation nationale la possibilité pour une association de défense des intérêts des consommateurs d’intenter une action en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel contribuait à la réalisation de ces objectifs ( 17 ). La Cour a, par ailleurs, souligné que « les États membres disposent à maints égards d’une marge de manœuvre en vue de la transposition de [la directive 95/46] » ( 18 ), en particulier concernant ses articles 22 à 24, qui « sont rédigés en termes généraux et n’opèrent pas une harmonisation exhaustive des dispositions nationales relatives aux recours juridictionnels susceptibles d’être engagés à l’égard de l’auteur présumé d’une atteinte à la protection des données à caractère personnel » ( 19 ). Ainsi, « le fait de prévoir la possibilité pour une association de défense des intérêts des consommateurs d’intenter une action en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel apparaît pouvoir constituer une mesure appropriée, au sens de [l’article 24 de cette directive], qui contribue […] à la réalisation des objectifs de ladite directive, conformément à la jurisprudence de la Cour » ( 20 ). |
|
47. |
Le présent renvoi préjudiciel invite la Cour à décider si ce qui pouvait être admis sous l’empire de la directive 95/46 devrait désormais être interdit à la suite de l’entrée en vigueur du règlement 2016/679. Autrement dit, l’article 80, paragraphe 2, de ce règlement a-t-il pour effet juridique de supprimer la qualité pour agir d’une association de défense des intérêts des consommateurs dans le cadre d’une action telle que celle en cause au principal ? |
|
48. |
Il est déjà permis d’en douter à la seule lecture du point 62 de l’arrêt Fashion ID, dans lequel la Cour a relevé que le fait que le règlement 2016/679 « autorise expressément, à son article 80, paragraphe 2, les États membres à permettre aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel n’implique nullement que les États membres ne pouvaient leur conférer ce droit sous l’empire de la directive 95/46, mais confirme, au contraire, que l’interprétation de celle-ci retenue par le présent arrêt reflète la volonté du législateur de l’Union » ( 21 ). |
|
49. |
Pour les raisons que je vais à présent développer, je considère que ni le remplacement de la directive 95/46 par un règlement ni la circonstance que le règlement 2016/679 consacre désormais un article à la représentation des personnes concernées dans le cadre d’actions en justice ne sont de nature à remettre en cause ce que la Cour a jugé dans son arrêt Fashion ID, à savoir que les États membres peuvent prévoir dans leur réglementation nationale la possibilité pour des associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. |
B. Les caractéristiques particulières du règlement 2016/679
|
50. |
Concernant le remplacement de la directive 95/46 par une norme de nature différente, à savoir le règlement 2016/679, il convient de relever que le choix du législateur de l’Union de recourir à la forme juridique du règlement, qui est, en vertu de l’article 288 TFUE, obligatoire dans tous ses éléments et directement applicable dans tout État membre, s’explique par sa volonté, exprimée au considérant 13 du règlement 2016/679, d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur. Par conséquent, ce règlement semble, à première vue, tendre vers une harmonisation complète, en ne se limitant donc pas à établir des normes minimales que les États membres pourraient relever et en ne laissant pas à ces États le choix de déroger, de compléter ou de mettre en œuvre ses dispositions, afin que l’application simultanée et uniforme dans l’Union des dispositions dudit règlement ne soit pas compromise. |
|
51. |
La réalité s’avère être plus complexe. En effet, la base juridique du règlement 2016/679, à savoir l’article 16 TFUE ( 22 ), empêche de considérer que l’Union aurait, en adoptant ce règlement, préempté l’ensemble des ramifications que la protection des données à caractère personnel est susceptible d’avoir dans d’autres domaines relatifs, notamment, au droit du travail, au droit de la concurrence ou encore au droit de la consommation, en privant les États membres d’adopter des règles spécifiques dans ces domaines, et ce de manière plus ou moins autonome, selon qu’il s’agit ou non d’un domaine régi par le droit de l’Union ( 23 ). En ce sens, bien que la protection des données à caractère personnel soit par nature transversale, l’harmonisation opérée par le règlement 2016/679 est limitée aux aspects spécifiquement couverts par ce règlement dans ce domaine. En dehors de ceux-ci, les États membres restent libres de légiférer, dès lors qu’ils ne portent pas atteinte au contenu et aux objectifs dudit règlement. |
|
52. |
En outre, lorsque l’on se plonge dans le détail des dispositions du règlement 2016/679, force est de constater que l’étendue de l’harmonisation opérée par ce règlement varie selon les dispositions considérées. La détermination de la portée normative dudit règlement requiert donc un examen au cas par cas ( 24 ). S’il peut être considéré, dans le droit fil de la jurisprudence relative à la directive 95/46 ( 25 ), que le règlement 2016/679 procède à une harmonisation qui est, « en principe, complète », plusieurs dispositions de ce règlement reconnaissent toutefois aux États membres une marge de manœuvre qui doit ou peut, selon les cas, être utilisée par ces derniers dans les conditions et les limites prévues par ces mêmes dispositions ( 26 ). |
|
53. |
Il convient de rappeler que, selon une jurisprudence bien établie de la Cour, « en vertu de l’article 288 TFUE et en raison même de la nature des règlements et de leur fonction dans le système des sources du droit de l’Union, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans qu’il soit besoin, pour les autorités nationales, de prendre des mesures d’application. Néanmoins, certaines de ces dispositions peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres » ( 27 ). Le recours à un règlement n’implique pas nécessairement l’absence de toute marge d’action laissée aux sujets de droits par les dispositions de ce règlement ( 28 ). Par ailleurs, le caractère obligatoire et directement applicable d’un règlement n’empêche pas un acte de cette nature de contenir des règles facultatives ( 29 ). |
|
54. |
L’article 80, paragraphe 2, du règlement 2016/679 constitue, du fait de l’emploi du mot « peuvent », un exemple de disposition facultative offrant aux États membres une marge d’appréciation dans sa mise en œuvre. |
|
55. |
Cette disposition fait partie des nombreuses « clauses d’ouverture » contenues dans ce règlement, qui lui donnent sa singularité par rapport à un règlement classique et le rapprochent d’une directive ( 30 ). Les renvois au droit national figurant dans ces clauses peuvent être obligatoires ( 31 ), mais constituent cependant le plus souvent une faculté laissée aux États membres ( 32 ). Il a pu être observé que ces nombreux renvois aux droits nationaux font peser le risque d’une nouvelle fragmentation du régime de la protection des données à caractère personnel au sein de l’Union, allant à contre-courant de la volonté exprimée par le législateur de l’Union de parvenir à une uniformisation plus poussée de ce régime et pouvant avoir des effets négatifs sur l’effectivité de cette protection, de même que sur la lisibilité de leurs obligations par les responsables de traitement et par les sous-traitants ( 33 ). La portée de l’harmonisation réalisée par le règlement 2016/679 se trouve ainsi limitée par les nombreuses « clauses d’ouverture » figurant dans ce règlement. |
|
56. |
Il est clair que, en comparaison avec ce qui était le cas avec la directive 95/46, le législateur de l’Union a souhaité, avec le règlement 2016/679, réglementer de façon plus étendue et plus précise au niveau de l’Union les aspects relatifs à la représentation des personnes concernées en vue d’introduire une réclamation devant une autorité de contrôle ou bien une action en justice ( 34 ). Les paragraphes 1 et 2 de l’article 80 de ce règlement n’ont cependant pas la même portée normative. En effet, alors que le paragraphe 1 de cet article est obligatoire pour les États membres ( 35 ), son paragraphe 2 offre seulement une faculté à ces derniers. Ainsi, pour que l’action représentative sans mandat prévue à l’article 80, paragraphe 2, dudit règlement puisse être exercée, les États membres doivent faire usage de la faculté qui leur est offerte par cette disposition de prévoir dans leur droit national cette modalité de représentation des personnes concernées. |
|
57. |
L’article 80, paragraphe 2, du règlement 2016/679, ne serait-ce qu’en raison de son caractère facultatif et des disparités potentielles entre les droits nationaux que cela implique, ne saurait être considéré comme ayant procédé à une harmonisation complète concernant les actions représentatives sans mandat en matière de protection des données à caractère personnel. Toutefois, lorsqu’ils mettent en œuvre cette disposition dans leur droit national, les États membres doivent respecter les conditions et les limites dans lesquelles le législateur de l’Union a souhaité encadrer l’exercice de la possibilité prévue à ladite disposition. |
|
58. |
Si, en comparaison avec ce qui était le cas avec la directive 95/46, l’encadrement se fait plus précis, les États membres conservent malgré tout une marge d’appréciation dans la mise en œuvre de l’article 80, paragraphe 2, du règlement 2016/679. |
|
59. |
Il ressort des éléments dont dispose la Cour que le législateur allemand n’a pas, à la suite de l’entrée en vigueur de ce règlement, adopté de disposition destinée spécifiquement à mettre en œuvre, dans son droit national, l’article 80, paragraphe 2, dudit règlement. Cela étant, il convient, ainsi que la juridiction de renvoi y invite la Cour, d’examiner si les règles préexistantes du droit allemand qui octroient à une association de défense des intérêts des consommateurs la qualité pour agir en vue de faire cesser un comportement constitutif d’une violation à la fois de dispositions du règlement 2016/679 et de règles ayant notamment pour objet de protéger les consommateurs sont compatibles avec cette disposition. Autrement dit, le droit national préexistant à l’entrée en vigueur de ce règlement est-il en adéquation avec ce que permet l’article 80, paragraphe 2, dudit règlement ? |
|
60. |
Comme le gouvernement allemand l’a précisé lors de l’audience, les dispositions nationales qui habilitent une association comme l’Union fédérale à introduire une action représentative telle que celle en cause au principal constituent des mesures de transposition de la directive 2009/22. Pour répondre à la question de savoir si l’article 80, paragraphe 2, du règlement 2016/679 autorise également une telle action, et donc si ces mêmes dispositions nationales s’inscrivent dans le cadre de la marge d’appréciation reconnue à chaque État membre ( 36 ), il convient d’interpréter cet article en tenant compte, notamment, de son libellé ainsi que de l’économie et des objectifs de ce règlement. |
C. L’interprétation littérale, systématique et téléologique de l’article 80, paragraphe 2, du règlement 2016/679
|
61. |
Aux termes de l’article 80, paragraphe 2, du règlement 2016/679, les actions représentatives qui y sont prévues peuvent être exercées par « tout organisme, organisation ou association visé au paragraphe 1 » de cet article. L’article 80, paragraphe 1, de ce règlement vise « un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant ». Une telle définition ne saurait, à mon avis, être limitée aux entités qui ont pour objet unique et exclusif la protection des données à caractère personnel, mais s’étend à toutes celles qui poursuivent un objectif d’intérêt public ayant une connexion avec la protection des données à caractère personnel. Tel est le cas d’associations de défense des intérêts des consommateurs, telles que l’Union fédérale, qui sont amenées à exercer des actions en cessation de comportements qui, en portant atteinte aux dispositions dudit règlement, violent également des règles en matière de protection des consommateurs ou de lutte contre la concurrence déloyale ( 37 ). |
|
62. |
Selon le libellé de l’article 80, paragraphe 2, du règlement 2016/679, l’action représentative peut être exercée par une entité répondant aux conditions mentionnées au paragraphe 1 de cet article si elle « considère que les droits d’une personne concernée prévus dans [ce règlement] ont été violés du fait du traitement ». Contrairement à ce que la juridiction de renvoi semble laisser entendre, je ne crois pas que ce dernier membre de phrase devrait être interprété dans un sens restrictif, comme signifiant que, pour être habilitée à agir en conformité avec ce que prévoit l’article 80, paragraphe 2, du règlement 2016/679, une entité devrait procéder à une individualisation préalable d’une ou de plusieurs personnes concrètement affectées par le traitement en cause. Les travaux préparatoires à l’adoption de ce règlement ne vont nullement dans ce sens. De plus, la définition même de la notion de « personne concernée », au sens de l’article 4, point 1, dudit règlement, c’est-à-dire une « personne physique identifiée ou identifiable » ( 38 ), me paraît antinomique avec l’exigence selon laquelle les personnes qui font l’objet d’un traitement contraire aux dispositions du règlement 2016/679 devraient déjà être identifiées lors de l’introduction d’une action représentative au titre de l’article 80, paragraphe 2, de ce règlement. Il s’ensuit logiquement qu’il ne saurait être exigé, en vertu de cette disposition, qu’une entité allègue l’existence de cas concrets à propos de personnes individuellement désignées pour qu’elle puisse être habilitée à agir de manière conforme à ce que prévoit ladite disposition. |
|
63. |
Je considère que la mise en œuvre d’une action représentative au titre de l’article 80, paragraphe 2, du règlement 2016/679 suppose uniquement que soit alléguée l’existence d’un traitement de données à caractère personnel contraire à des dispositions de ce règlement protectrices de droits individuels, et donc susceptible d’affecter les droits de personnes identifiées ou identifiables, sans que la qualité pour agir d’une entité soit soumise à la vérification au cas par cas du point de savoir si les droits d’une ou de plusieurs personnes déterminées ont été violés ( 39 ). En somme, une telle action doit être fondée sur la violation des droits qu’une personne physique est susceptible de tirer dudit règlement à la suite d’un traitement de ses données à caractère personnel. Cette action n’a pas pour objet de protéger un droit objectif, mais seulement les droits subjectifs que les personnes concernées tirent directement du règlement 2016/679 ( 40 ). En d’autres termes, la clause d’ouverture figurant à l’article 80, paragraphe 2, de ce règlement vise à permettre aux entités habilitées de faire vérifier par une autorité de contrôle ou bien par une juridiction le respect par les responsables de traitement des règles protectrices des personnes concernées qui figurent dans ledit règlement ( 41 ). Dans cette perspective, il suffit, pour qu’une entité ait qualité pour agir en vertu de cette disposition, qu’elle fasse état de la violation de dispositions du règlement 2016/679 qui ont pour objet de protéger les droits subjectifs des personnes concernées. |
|
64. |
Comme l’indique, en substance, la Commission, une interprétation de l’article 80, paragraphe 2, du règlement 2016/679, selon laquelle une entité devrait, pour pouvoir exercer une action représentative sans mandat, démontrer ou faire valoir qu’une personne déterminée a été lésée dans ses droits dans une situation donnée, limiterait de façon trop importante le champ d’application de cette disposition. À l’instar du gouvernement portugais et de la Commission, je considère que l’article 80, paragraphe 2, de ce règlement devrait faire l’objet d’une interprétation qui préserve son effet utile par rapport au paragraphe 1 de cet article. Par conséquent, l’article 80, paragraphe 2, dudit règlement devrait, selon moi, être compris comme allant au-delà de la représentation de cas individuels, laquelle fait l’objet du paragraphe 1 de cet article, en ouvrant une possibilité de représentation, à l’initiative des entités habilitées et de manière autonome, des intérêts collectifs des personnes faisant l’objet d’un traitement de leurs données à caractère personnel contraire au règlement 2016/679. L’article 80, paragraphe 2, de ce règlement verrait son effet utile réduit dans une large mesure s’il devait être considéré que, à l’instar de ce qui est exigé au paragraphe 1 de cet article, une entité voyait son action limitée dans les deux cas à la représentation de personnes nommément et individuellement désignées. |
|
65. |
L’interprétation que je retiens de l’article 80, paragraphe 2, du règlement 2016/679 est d’ailleurs conforme à la nature préventive et à l’objectif dissuasif des actions en cessation, ainsi qu’à leur indépendance à l’égard de tout conflit individuel ( 42 ). |
|
66. |
Sauf à risquer de créer deux standards différents concernant la qualité pour agir des entités habilitées à introduire une action en cessation selon qu’une telle action est fondée sur une mesure nationale entrant dans le champ d’application de l’article 80, paragraphe 2, du règlement 2016/679 ou bien dans celui de la directive 2020/1828, il me paraît indiqué, bien que cette directive ne soit pas applicable dans le cadre du litige au principal, de tenir compte du fait que cette dernière exige de telles entités non pas qu’elles invoquent l’existence de consommateurs individuels nommément désignés comme ayant été affectés par la violation en cause ( 43 ), mais qu’elles invoquent l’existence d’infractions commises par des professionnels aux dispositions du droit de l’Union visées à l’annexe I de ladite directive ( 44 ), laquelle fait d’ailleurs mention, à son point 56, du règlement 2016/679. |
|
67. |
La thèse favorable à une interprétation restrictive de l’article 80, paragraphe 2, du règlement 2016/679 oppose, selon moi, de façon erronée, la défense des intérêts collectifs des consommateurs ( 45 ) et la protection des droits de chaque personne faisant l’objet d’un traitement supposé contraire à ce règlement. En effet, la défense des intérêts collectifs des consommateurs n’exclut pas, à mon avis, la protection des droits subjectifs que les personnes concernées tirent directement du règlement 2016/679, mais elle intègre, au contraire, une telle protection. |
|
68. |
Je décèle d’ailleurs dans l’indication figurant au considérant 15 de la directive 2020/1828, selon laquelle « les mécanismes d’application prévus dans le règlement […] 2016/679 […] ou fondés sur celui-ci pourraient, le cas échéant, encore être utilisés aux fins de la protection des intérêts collectifs des consommateurs » ( 46 ), la confirmation que l’action représentative prévue à l’article 80, paragraphe 2, de ce règlement est bien susceptible de viser la protection de tels intérêts. |
|
69. |
Je déduis des éléments qui précèdent que l’article 80, paragraphe 2, du règlement 2016/679 autorise, à mon avis, les États membres à prévoir la possibilité pour les entités habilitées d’exercer, sans mandat des personnes concernées, des actions représentatives visant à protéger les intérêts collectifs des consommateurs, dès lors qu’est alléguée la violation de dispositions de ce règlement ayant pour objet de conférer des droits subjectifs aux personnes concernées. |
|
70. |
Or, tel est bien le cas de l’action en cessation qui a été introduite par l’Union fédérale à l’encontre de Facebook Ireland. |
|
71. |
En effet, je rappelle que, selon la juridiction de renvoi et conformément aux conclusions de l’Union fédérale, Facebook Ireland n’a pas respecté l’obligation lui incombant en vertu de l’article 12, paragraphe 1, première phrase, du règlement 2016/679, qui consiste à fournir à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations visées à l’article 13, paragraphe 1, sous c) et e), de ce règlement, lesquelles sont relatives à la finalité du traitement des données et au destinataire des données à caractère personnel. Ces dispositions appartiennent assurément à la catégorie de celles qui confèrent aux personnes concernées des droits subjectifs, ce que confirme notamment le constat selon lequel elles figurent dans le chapitre III dudit règlement, intitulé « Droits de la personne concernée ». Dès lors, la protection de ces droits peut être réclamée soit directement par les personnes concernées, soit par une entité habilitée au titre de l’article 80, paragraphe 1, du règlement 2016/679 ou bien de dispositions nationales mettant en œuvre l’article 80, paragraphe 2, de ce règlement. |
|
72. |
J’estime également que l’article 80, paragraphe 2, du règlement 2016/679 ne s’oppose pas à des dispositions nationales qui habilitent une association de défense des intérêts des consommateurs à exercer une action en cessation en vue de garantir le respect des droits conférés par ce règlement par l’intermédiaire de règles ayant pour objet de protéger les consommateurs ou de lutter contre les pratiques commerciales déloyales. En effet, de telles règles peuvent contenir des dispositions semblables à celles contenues dans ledit règlement, en particulier en ce qui concerne l’information des personnes concernées quant au traitement de leurs données à caractère personnel ( 47 ), ce qui implique que la violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales. Rien n’empêche, dans le libellé de l’article 80, paragraphe 2, du règlement 2016/679, une mise en œuvre partielle de cette clause d’ouverture, en ce sens que l’action représentative vise à protéger, en leur qualité de consommateurs, les droits que les personnes concernées tirent de ce règlement ( 48 ). |
|
73. |
L’interprétation ainsi proposée de l’article 80, paragraphe 2, du règlement 2016/679 est, selon moi, la mieux à même d’atteindre les objectifs poursuivis par ce règlement. |
|
74. |
À cet égard, la Cour a relevé que, « ainsi qu’il découle de l’article 1er, paragraphe 2, du règlement 2016/679, lu conjointement avec les considérants 10, 11 et 13 de ce règlement, ce dernier impose aux institutions, aux organes et aux organismes de l’Union ainsi qu’aux autorités compétentes des États membres la tâche d’assurer un niveau élevé de protection des droits garantis à l’article 16 TFUE et à l’article 8 de la [c]harte [des droits fondamentaux de l’Union européenne] » ( 49 ). Par ailleurs, ledit règlement vise à « assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques, notamment leur droit à la protection de la vie privée et à la protection des données à caractère personnel » ( 50 ). |
|
75. |
Il serait contraire à l’objectif de garantir un niveau élevé de protection des données à caractère personnel d’empêcher les États membres de mettre en place des actions qui, tout en poursuivant un objectif de protection des consommateurs, contribuent également à atteindre l’objectif de protection des données à caractère personnel. À l’instar de ce qui était vrai pour la directive 95/46, il peut encore être affirmé, après l’entrée en vigueur du règlement 2016/679, que l’habilitation d’associations de défense des intérêts des consommateurs en vue de faire cesser des traitements contraires aux dispositions de ce règlement contribue à renforcer les droits des personnes concernées par un mécanisme de recours collectif ( 51 ). |
|
76. |
Ainsi, la défense des intérêts collectifs des consommateurs par des associations est particulièrement adaptée à l’objectif visant à établir un niveau élevé de protection des données à caractère personnel. Dans cette perspective, la fonction préventive des actions menées par ces associations ne pourrait pas être assurée si l’action représentative prévue à l’article 80, paragraphe 2, du règlement 2016/679 ne permettait d’invoquer que la violation des droits d’une personne individuellement et concrètement affectée par cette violation. |
|
77. |
Une action en cessation introduite par une association de défense des intérêts des consommateurs, telle que l’Union fédérale, contribue donc incontestablement à assurer l’application effective des droits protégés par le règlement 2016/679 ( 52 ). |
|
78. |
Par ailleurs, il serait pour le moins paradoxal que le renforcement des moyens de contrôle des règles relatives à la protection des données à caractère personnel souhaité par le législateur de l’Union avec l’adoption du règlement 2016/679 se traduise finalement par une baisse du niveau de cette protection par rapport à celui que les États membres pouvaient assurer sous l’empire de la directive 95/46. |
|
79. |
Il est vrai que, à la différence des États-Unis d’Amérique, en droit de l’Union, les réglementations relatives, d’une part, aux pratiques commerciales déloyales et, d’autre part, à la protection des données à caractère personnel se sont développées séparément. Les deux domaines font ainsi l’objet de cadres normatifs différents. |
|
80. |
Cela étant, il existe des interactions entre ces deux domaines, de sorte que des actions s’inscrivant dans le cadre de la réglementation relative à la protection des données à caractère personnel peuvent, en même temps et de façon indirecte, contribuer à faire cesser une pratique commerciale déloyale. L’inverse est également vrai ( 53 ). Du reste, un lien entre la protection des données à caractère personnel, sous l’angle du consentement au traitement de ces données, et la protection des consommateurs trouve une expression dans le règlement 2016/679 lui-même, notamment à son considérant 42. Par ailleurs, la Commission a mis en exergue les interactions entre la réglementation de l’Union en matière de protection des données à caractère personnel et la directive 2005/29/CE ( 54 ). |
|
81. |
Les interactions entre le droit relatif à la protection des données à caractère personnel, le droit de la consommation et le droit de la concurrence sont fréquentes et nombreuses, dans la mesure où un même comportement peut relever simultanément de règles de droit appartenant à ces différents domaines. De telles interactions contribuent à rendre la protection des données à caractère personnel plus effective ( 55 ). |
|
82. |
Certes, les bénéficiaires des droits prévus par le règlement 2016/679 ne se limitent pas à la catégorie des consommateurs, ce règlement n’étant pas fondé sur une conception consumériste de la protection des personnes physiques à l’égard du traitement des données à caractère personnel ( 56 ), mais sur celle selon laquelle cette protection est, conformément à l’article 8 de la charte des droits fondamentaux et comme l’indique notamment le considérant 1 ainsi que l’article 1er, paragraphe 2, dudit règlement, un droit fondamental ( 57 ). |
|
83. |
Il n’en reste pas moins que, à l’ère de l’économie digitale, les personnes concernées ont souvent la qualité de consommateurs. C’est la raison pour laquelle les règles destinées à protéger les consommateurs sont souvent mobilisées pour garantir à ces derniers une protection contre un traitement de leurs données à caractère personnel contraire aux dispositions du règlement 2016/679. |
|
84. |
Au terme de cette analyse, force est de constater qu’il peut exister un chevauchement entre l’action représentative prévue à l’article 80, paragraphe 2, du règlement 2016/679 et celle prévue par la directive 2020/1828 en vue d’obtenir des mesures de cessation lorsque les « personnes concernées », au sens de ce règlement, ont également la qualité de « consommateur », au sens de l’article 3, point 1, de cette directive ( 58 ). J’y vois le signe d’une complémentarité et d’une convergence du droit relatif à la protection des données à caractère personnel avec d’autres domaines du droit, tels que le droit de la consommation et le droit de la concurrence. Avec l’adoption de ladite directive, le législateur de l’Union a poussé ce mouvement encore plus loin en reliant de façon explicite la protection des intérêts collectifs des consommateurs au respect du règlement 2016/679. L’application effective des règles contenues dans ce dernier ne pourra que s’en trouver renforcée. |
V. Conclusion
|
85. |
Eu égard à l’ensemble des considérations qui précèdent, je propose de répondre à la question préjudicielle posée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) de la manière suivante : L’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles, dès lors que l’action représentative en cause vise à faire respecter des droits que les personnes qui font l’objet du traitement contesté tirent directement de ce règlement. |
( 1 ) Langue originale : le français.
( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 3 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 4 ) Voir arrêt du 29 juillet 2019, Fashion ID (C-40/17, ci-après l’ arrêt Fashion ID , EU:C:2019:629).
( 5 ) Voir, également, considérant 142 de ce règlement.
( 6 ) BGBl. 2004 I, p. 1414, ci-après l’« UWG ».
( 7 ) BGBl. 2001 I, p. 3138, 3173, ci-après l’« UKlaG ».
( 8 ) JO 2009, L 110, p. 30.
( 9 ) BGBl. 2007 I, p. 179, ci-après le « TMG ».
( 10 ) La représentation des personnes concernées est également prévue à l’article 67 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39), ainsi qu’à l’article 55 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89). Il s’agit dans ces deux cas d’une représentation avec mandat.
( 11 ) Cette tendance, concrétisée notamment par la directive 2009/22, s’est traduite par l’adoption récente de la directive (UE) 2020/1828 du Parlement européen et du Conseil, du 25 novembre 2020, relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO 2020, L 409, p. 1). Le délai de transposition de cette dernière directive est fixé au 25 décembre 2022. Voir, à ce sujet, Pato, A., « Collective Redress Mechanisms in the EU », Jurisdiction and Cross-Border Collective Redress : A European Private International Law Perspective, Bloomsbury Publishing, Londres, 2019, p. 45 à 117. Voir, également, Gsell, B., « The New European Directive on Representative Actions for the Collective Interests of Consumers – A Huge, but Blurry Step Forward », Common Market Law Review, vol. 58, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2021, p. 1365 à 1400.
( 12 ) Voir arrêt Fashion ID (point 63 et dispositif).
( 13 ) Voir arrêt Fashion ID (point 47).
( 14 ) Voir arrêt Fashion ID (point 48).
( 15 ) Voir arrêt Fashion ID (point 49).
( 16 ) Voir arrêt Fashion ID (point 50).
( 17 ) Voir arrêt Fashion ID (point 51).
( 18 ) Voir arrêt Fashion ID (point 56 et jurisprudence citée).
( 19 ) Voir arrêt Fashion ID (point 57 et jurisprudence citée).
( 20 ) Voir arrêt Fashion ID (point 59).
( 21 ) Italique ajouté par mes soins.
( 22 ) Comme la Cour l’a souligné dans son arrêt du 15 juin 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, point 44).
( 23 ) Il ressort du préambule du règlement 2016/679 que celui-ci a été adopté sur le fondement de l’article 16 TFUE, dont le paragraphe 2 prévoit notamment que le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives, d’une part, à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les États membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et, d’autre part, à la libre circulation des données.
( 24 ) Déterminer l’étendue de l’harmonisation opérée par une norme telle que le règlement 2016/679 implique dès lors de procéder à « une micro-analyse, consistant à examiner une règle spécifique ou, au mieux, un aspect spécifique et bien défini du droit de l’Union » : voir conclusions de l’avocat général Bobek dans l’affaire Dzivev e.a. (C-310/16, EU:C:2018:623, point 74). Voir, également, Mišćenić, E., et Hoffmann, A.-L., « The Role of Opening Clauses in Harmonization of EU Law : Example of the EU’s General Data Protection Regulation (GDPR) », EU and Comparative Law Issues and Challenges Series (ECLIC), Josip Juraj Strossmayer University of Osijek, Faculty of Law Osijek, Osijek, 2020, Issue 4, p. 44 à 61, qui relèvent que « [i]t is […] possible for a harmonization measure, either EU directive or regulation, to have a full harmonization effect with respect to certain provisions, but not all of them » (p. 49).
( 25 ) Voir arrêt du 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, point 96).
( 26 ) Voir, à propos de la directive 95/46, arrêt du 6 novembre 2003, Lindqvist (C-101/01, EU:C:2003:596, point 97). Contrairement à certaines idées reçues, le choix du législateur de l’Union de recourir à un règlement plutôt qu’à une directive ne se traduit pas nécessairement par une harmonisation complète du domaine considéré. Voir Mišćenić, E., et Hoffmann, A.-L., op. cit., qui indiquent que « an EU directive can lead to a more intensive harmonization if it has a fully harmonizing effect, […] while an EU regulation can result in a weak degree of harmonization, if it contains many options or derogation rules » (p. 48).
( 27 ) Voir, notamment, arrêt du 15 juin 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, point 110 et jurisprudence citée). Voir, également, s’agissant d’un domaine ayant fait précédemment l’objet d’une directive, arrêt du 21 décembre 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, point 42), dans lequel la Cour précise que « la circonstance que la réglementation de l’Union en matière de protection des animaux en cours de transport figure désormais dans un règlement ne signifie pas nécessairement que toute mesure nationale d’application de cette réglementation serait actuellement proscrite ».
( 28 ) Voir arrêt du 27 octobre 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).
( 29 ) C’est ainsi que la Cour a admis qu’un État membre ayant choisi de ne pas exercer une faculté offerte par un règlement ne méconnaît pas l’article 288 TFUE : voir arrêt du 17 décembre 2015, Imtech Marine Belgium (C-300/14, EU:C:2015:825, points 27 à 31). Voir, également, pour un règlement mettant en place des restitutions à l’exportation que les États membres peuvent octroyer ou refuser d’octroyer, arrêt du 27 octobre 1971, Rheinmühlen Düsseldorf (6/71, EU:C:1971:100).
( 30 ) Voir, sur ces clauses d’ouverture, Wagner, J., et Benecke, A., « National Legislation within the Framework of the GDPR, Limits and Opportunities of Member State Data Protection Law », European Data Protection Law Review, Lexxion, Berlin, vol. 2, Issue 3, 2016, p. 353 à 361.
( 31 ) Voir, notamment, articles 51 et 84 du règlement 2016/679.
( 32 ) Voir, notamment, article 6, paragraphes 2 et 3, article 8, paragraphe 1, second alinéa, ainsi qu’articles 85 à 89 du règlement 2016/679.
( 33 ) Voir, à ce sujet, Mišćenić, E., et Hoffmann, A.-L., op. cit., qui observent que « [d]espite the initial idea of achieving a high level of harmonization by introducing uniform rules for all Member States by means of an EU regulation, […] the GDPR allows diverging solutions in many of its aspects. In doing so, it creates further inconsistencies between the legal solutions at the level of Member States, thereby contributing to legal uncertainty for those affected by its rules. More than 69 opening clauses […] open up space for different legal solutions, interpretations, and, eventually, application in practice. Opening clauses also affect the legal nature and level of harmonization of the GDPR, which is very often described by legal scholars as a directive wearing the suit of a regulation » (p. 50 et 51).
( 34 ) La directive 95/46 prévoyait seulement, à son article 28, paragraphe 4, la possibilité qu’une association se charge d’introduire une réclamation auprès d’une autorité de contrôle pour le compte d’une personne se plaignant d’une atteinte à ses droits dans le cadre d’un traitement de données à caractère personnel.
( 35 ) À l’exception toutefois de l’action représentative avec mandat en vue d’obtenir réparation au nom des personnes concernées qui reste facultative pour les États membres.
( 36 ) Voir, par analogie, arrêt du 21 décembre 2011, Danske Svineproducenter (C-316/10, EU:C:2011:863, point 43).
( 37 ) Voir Pato, A., The National Adaptation of Article 80 GDPR : Towards the Effective Private Enforcement of Collective Data Protection Rights, National Adaptations of the GDPR, Blogdroiteuropen, Collection Open Access Book, Luxembourg, 2019, p. 98 à 106. Selon cette auteure, « [t]he number of actors who potentially have standing to sue is broad » et « [c]onsumer associations will usually meet those requirements easily » (p. 99).
( 38 ) Italique ajouté par mes soins. Selon cette même disposition, « est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Comme le relève Martial-Braz, N., « Le champ d’application du RGPD », dans Bensamoun, A., et Bertrand, B., Le règlement général sur la protection des données, Aspects institutionnels et matériels, Mare et Martin, Paris, 2020, p. 19 à 33, « le caractère identifiable s’entend très largement puisque le critère d’identification de la personne s’entend de l’ensemble des moyens raisonnablement susceptibles d’être mis en œuvre pour identifier la personne » (p. 24). Voir, notamment, sur la notion de « personne identifiable », au sens de l’article 2, sous a), de la directive 95/46, arrêt du 19 octobre 2016, Breyer (C-582/14, EU:C:2016:779).
( 39 ) Voir Boehm, F., « Artikel 80 Vertretung von betroffenen Personen », dans Simitis, S., Hornung, G., et Spiecker Döhmann, I., Datenschutzrecht, DSGVO mit BDSG, Nomos, Baden-Baden, 2019, en particulier point 13.
( 40 ) Voir Frenzel, E. M., « Art. 80 Vertretung von betroffenen Personen », dans Paal, B. P., et Pauly, D. A., Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, 3e éd, C.H. Beck, Munich, 2021, en particulier point 11, ainsi que Kreße, B., « Artikel 80 Vertretung von betroffenen Personen », dans Sydow, G., Europäische Datenschutzverordnung, 2e éd., Nomos, Baden-Baden, 2018, en particulier point 13.
( 41 ) Voir Moos, F., et Schefzig, J., « Art. 80 Vertretung von betroffenen Personen », dans Taeger, J., et Gabel, D., Kommentar DSGVO – BDSG, 3e éd., Deutscher Fachverlag, Francfort-sur-le-Main, 2019, en particulier point 22.
( 42 ) Voir, notamment, à propos de clauses abusives dans des contrats conclus entre professionnels et consommateurs, arrêt du 14 avril 2016, Sales Sinués et Drame Ba (C-381/14 et C-385/14, EU:C:2016:252, point 29).
( 43 ) Voir considérant 33 ainsi qu’article 8, paragraphe 3, sous a), de la directive 2020/1828, aux termes duquel « [l]’entité qualifiée n’est pas tenue de prouver […] une perte ou un préjudice réels subis par les consommateurs individuels lésés par l’infraction visée à l’article 2, paragraphe 1 ». Par ailleurs, si l’article 7, paragraphe 2, de cette directive impose à l’entité qualifiée de fournir à la juridiction ou à l’autorité administrative « des informations suffisantes sur les consommateurs concernés par l’action représentative », il découle du considérant 34 de ladite directive que ces informations, dont le degré de détail peut varier en fonction de la mesure demandée par l’entité qualifiée, ne visent pas la désignation de consommateurs individuels affectés par la violation en cause, mais plutôt des informations telles que le lieu du fait dommageable ou bien l’indication du groupe de consommateurs concernés par l’action représentative (voir, également, considérant 65 de la directive 2020/1828). Je relève d’ailleurs que, même lorsque l’action représentative vise à obtenir des mesures de réparation, le considérant 49 de la directive 2020/1828 indique que « [l]’entité qualifiée ne devrait pas être tenue d’identifier individuellement chaque consommateur concerné par l’action représentative pour pouvoir intenter celle-ci ». Voir, à ce sujet, Gsell, B., op. cit., en particulier p. 1370.
( 44 ) Voir article 2, paragraphe 1, de la directive 2020/1828.
( 45 ) Voir considérant 3 de la directive 2009/22, qui précise que les actions en cessation relevant du champ d’application de celle-ci visent à protéger les « intérêts collectifs des consommateurs », ceux-ci étant définis comme « des intérêts qui ne sont pas une simple accumulation d’intérêts de particuliers auxquels il a été porté atteinte par une infraction ». À l’article 3, point 3, de la directive 2020/1828, la notion d’« intérêts collectifs des consommateurs » est définie comme « l’intérêt général des consommateurs et, en particulier aux fins des mesures de réparation, les intérêts d’un groupe de consommateurs ».
( 46 ) Italique ajouté par mes soins.
( 47 ) Voir Helberger, N., Zuiderveen Borgesius, F., et Reyna, A., « The Perfect Match ? A Closer Look at the Relationship Between EU Consumer Law and Data Protection Law », Common Market Law Review, vol. 54, Issue 5, Kluwer Law International, Alphen-sur-le-Rhin, 2017, p. 1427 à 1465, qui relèvent que « [o]ne feature that unites consumer law and data protection law is the pivotal role of information as a means to mitigate information asymmetries and to empower the individual » (p. 1437).
( 48 ) Voir Neun, A., et Lubitzsch, K., « Die neue EU-Datenschutz-Grundverordnung – Rechtsschutz und Schadensersatz », Betriebs-Berater, Deutscher Fachverlag, Francfort-sur-le-Main, 2017, p. 2563 à 2569, en particulier p. 2567.
( 49 ) Voir arrêt du 15 juin 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, point 45).
( 50 ) Voir arrêt du 15 juin 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, point 91).
( 51 ) Voir conclusions de l’avocat général Bobek dans l’affaire Fashion ID (C-40/17, EU:C:2018:1039, point 33).
( 52 ) Pour des exemples d’actions initiées par des associations de défense des intérêts des consommateurs, voir Helberger, N., Zuiderveen Borgesius, F., et Reyna, A., op. cit., en particulier p. 1452 et 1453.
( 53 ) Voir, sur la complémentarité entre les actions relatives à la protection des données à caractère personnel et celles ayant pour objet de faire cesser des pratiques commerciales déloyales, van Eijk, N., Hoofnagle, C. J., et Kannekens, E., « Unfair Commercial Practices : A Complementary Approach to Privacy Protection », European Data Protection Law Review, Lexxion, Berlin, vol. 3, Issue 3, 2017, p. 325 à 337, qui relèvent que « [t]hrough applying rules on unfair commercial practices, the enforcement of privacy issues could become more effective » (p. 336).
( 54 ) Directive du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil (« directive sur les pratiques commerciales déloyales ») (JO 2005, L 149, p. 22). Voir document de travail des services de la Commission – Orientations concernant la mise en œuvre/l’application de la directive 2005/29/CE relative aux pratiques commerciales déloyales accompagnant le document : communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions. Une approche globale visant à stimuler le commerce électronique transfrontalière pour les citoyens et les entreprises d’Europe [SWD(2016) 163 final], en particulier point 1.4.10, p. 26 à 31. La Commission y met l’accent sur la nécessité d’un traitement loyal des données, qui implique que la personne concernée se voie fournir un certain nombre d’informations pertinentes, notamment sur les finalités du traitement des données à caractère personnel en cause (p. 28). La Commission indique également que « [l]a violation, par un professionnel, de la directive [95/46] ou de la directive [2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)] n’impliquera pas toujours en soi que la pratique elle-même viole également la [directive 2005/29] ». Toutefois, selon la Commission, « de telles violations de la protection des données devraient être prises en considération dans l’appréciation du caractère déloyal général des pratiques commerciales au regard de la [directive 2005/29], notamment lorsque le professionnel traite des données des consommateurs en violation des exigences de protection des données, par exemple à des fins de prospection directe ou à toutes autres fins commerciales telles qu’établissement de profils, prix personnalisés ou applications de mégadonnées » (p. 30).
( 55 ) Voir, notamment, à ce sujet, Helberger, N., Zuiderveen Borgesius, F., et Reyna, A., op. cit., qui relèvent que « data protection law and consumer law could apply in parallel, and could ideally complement each other and offer a sufficiently diverse toolbox of rights and remedies to provide a high level of protection of consumers in digital markets » (p. 1429). Voir, également, van Eijk, N., Hoofnagle, C. J., et Kannekens, E., op. cit., en particulier p. 336. Pour une illustration de la complémentarité entre les règles relatives à la protection des données à caractère personnel dans le secteur des communications électroniques et les règles prohibant les pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs, voir mes conclusions dans l’affaire StWL Städtische Werke Lauf a.d. Pegnitz (C-102/20, EU:C:2021:518).
( 56 ) Voir Martial-Braz, N., op. cit., en particulier p. 23.
( 57 ) Voir arrêt du 15 juin 2021, Facebook Ireland e.a. (C-645/19, EU:C:2021:483, point 44).
( 58 ) Voir considérant 14 de la directive 2020/1828, aux termes duquel celle-ci « ne devrait protéger les intérêts des personnes physiques qui ont été lésées par [les infractions aux dispositions du droit de l’Union visées à l’annexe I] ou qui risquent de l’être que si ces personnes sont des consommateurs au sens de [cette] directive ».
Textes cités dans la décision
- Règlement (UE) 2018/1725 du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données
- Directive Police-Justice - Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
- Directive ePrivacy - Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
- Directive 2009/22/CE du 23 avril 2009 relative aux actions en cessation en matière de protection des intérêts des consommateurs (version codifiée)
- Directive (UE) 2020/1828 du 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs
- RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Directive 2005/29/CE du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Code civil
COMMUNIQUE DE PRESSE n° 158/22 Luxembourg, le 20 septembre 2022 Conclusions de l'avocat général dans l'affaire C-252/21 | Meta Platforms e.a. (Conditions générales d'utilisation d'un réseau social) Selon l'avocat général Rantos, une autorité de la concurrence peut, dans l'exercice de ses compétences, tenir compte de la compatibilité d'une pratique commerciale avec le règlement général sur la protection des données Toutefois, elle doit prendre en considération toute décision ou enquête de l'autorité de contrôle compétente en vertu de ce règlement Meta Platforms est le propriétaire du …