CJUE, n° C-319_RES/20, Arrêt de la Cour, Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V, 28 avril 2022

CJUE, Arrêt 28 avril 2022

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Qualité pour agir d'une association de défense des consommateurs
La Cour a jugé que l'article 80, paragraphe 2, du RGPD permet à une association de défense des intérêts des consommateurs d'agir en justice sans mandat, dès lors que le traitement de données est susceptible d'affecter les droits des personnes concernées.

Résumé par Doctrine IA

Dans l'affaire C-319/20, Meta Platforms Ireland Limited conteste une action en cessation introduite par l'Union fédérale allemande des centrales et associations de consommateurs, qui vise à faire cesser des pratiques jugées déloyales concernant le traitement des données personnelles des utilisateurs de Facebook. La question juridique posée est de savoir si une association de défense des consommateurs peut agir en justice sans mandat et indépendamment de la violation concrète des droits d'une personne concernée. La Cour de justice de l'Union européenne répond que l'article 80, paragraphe 2, du RGPD permet à une telle association d'agir, à condition que le traitement des données puisse affecter les droits des personnes identifiées ou identifiables, renforçant ainsi la protection des consommateurs.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CJUE, Cour, 28 avr. 2022, C-319_RES/20
Numéro(s) :	C-319_RES/20
Arrêt de la Cour (troisième chambre) du 28 avril 2022.#Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80 – Représentation des personnes concernées par une association à but non lucratif – Action représentative intentée par une association de défense des intérêts des consommateurs en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles.#Affaire C-319/20.
Identifiant CELEX :	62020CJ0319_RES
Identifiant européen :	ECLI:EU:C:2022:322
Télécharger le PDF original fourni par la juridiction

Texte intégral

Affaire C-319/20

Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited

contre

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V

(demande de décision préjudicielle, introduite par le Bundesgerichtshof)

Arrêt de la Cour(troisième chambre) du 28 avril 2022

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80 – Représentation des personnes concernées par une association à but non lucratif – Action représentative intentée par une association de défense des intérêts des consommateurs en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles »

Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Représentation des personnes concernées – Qualité pour agir – Association de défense des intérêts des consommateurs – Action représentative intentée par cette association en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur la violation des règles relatives à la protection des consommateurs ou à la lutte contre les pratiques commerciales déloyales – Admissibilité – Condition

(Règlement du Parlement européen et du Conseil 2016/679, art. 80, § 2)

(voir points 57-60, 63-79, 83 et disp.)

Résumé

Meta Platforms Ireland gère l’offre des services du réseau social en ligne Facebook et est le responsable du traitement des données à caractère personnel des utilisateurs de ce réseau dans l’Union. La plate-forme Internet Facebook contient, à l’adresse Internet www.facebook.de, un espace appelé « App-Zentrum » (Espace Applications) sur lequel Meta Platforms Ireland met à la disposition des utilisateurs des jeux gratuits fournis par des tiers. Lorsqu’il consulte certains de ces jeux, l’utilisateur est averti que l’utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données à caractère personnel et l’autorise à procéder à des publications en son nom. Par l’utilisation de cette application, il en accepte les conditions générales et la politique en matière de protection des données. En outre, dans le cas d’un jeu en particulier, l’utilisateur est informé que l’application est autorisée à publier des photos et d’autres informations en son nom.

L’Union fédérale allemande des centrales et associations de consommateurs ( 1 ) estimait que les informations fournies par les jeux concernés dans l’Espace Applications étaient déloyales. Partant, en tant qu’organisme disposant de la qualité pour agir afin de demander la cessation des violations de la législation en matière de protection des consommateurs ( 2 ), l’Union fédérale a introduit une action en cessation contre Meta Platforms Ireland. Cette action était introduite en l’absence d’une violation concrète du droit à la protection des données d’une personne concernée et d’un mandat d’une telle personne. La décision accueillant cette action a fait l’objet d’un appel interjeté par Meta Platforms Ireland qui, ayant vu cet appel rejeté, a ensuite introduit un recours devant le Bundesgerichtshof (Cour fédérale de justice, Allemagne). Éprouvant des doutes quant à la recevabilité de l’action de l’Union fédérale, et notamment quant à sa qualité pour agir contre Meta Platforms Ireland, cette juridiction a saisi la Cour.

Par son arrêt, la Cour juge que l’article 80, paragraphe 2, du règlement général sur la protection des données ( 3 ) ne s’oppose pas à ce qu’une association de défense des intérêts des consommateurs puisse agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles. Une telle action est possible, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent du RGPD.

Appréciation de la Cour

Tout d’abord, la Cour rappelle que si le RGPD ( 4 ) vise à assurer une harmonisation, en principe complète, des législations nationales relatives à la protection des données à caractère personnel, l’article 80, paragraphe 2, de ce règlement fait partie des dispositions laissant aux États membres une marge d’appréciation concernant sa mise en œuvre ( 5 ). Partant, afin que l’action représentative sans mandat en matière de protection des données à caractère personnel prévue à cette disposition puisse être exercée, les États membres doivent faire usage de la faculté qui leur est offerte par celle-ci de prévoir dans leur droit national cette modalité de représentation des personnes concernées. Toutefois, en faisant usage de cette faculté, les États membres doivent utiliser leur marge d’appréciation dans les conditions et les limites prévues par le RGPD et légiférer de manière à ne pas porter atteinte au contenu et aux objectifs de ce règlement.

Ensuite, la Cour souligne que, en ouvrant la possibilité aux États membres de prévoir un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, l’article 80, paragraphe 2, du RGPD prévoit un certain nombre d’exigences à respecter. Ainsi, premièrement, la qualité pour agir est reconnue à un organisme, à une organisation ou à une association qui remplit les critères énumérés par le RGPD ( 6 ). Peut relever de cette notion, une association de défense des intérêts des consommateurs, telle que l’Union fédérale, qui poursuit un objectif d’intérêt public consistant à assurer les droits et les libertés des personnes concernées en leur qualité de consommateurs, dès lors que la réalisation d’un tel objectif est susceptible d’être connexe à la protection des données à caractère personnel de ces dernières. Deuxièmement, l’exercice de ladite action représentative présuppose que l’entité en cause, indépendamment de tout mandat qui lui a été confié, considère que les droits qu’une personne concernée tire du RGPD ont été violés du fait du traitement de ses données à caractère personnel.

Ainsi, d’une part, l’exercice d’une action représentative ( 7 ) n’exige pas l’identification individuelle préalable par l’entité en cause de la personne spécifiquement concernée par un traitement de données prétendument contraire aux dispositions du RGPD. À cette fin, la désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement peut être également suffisante ( 8 ).

D’autre part, l’exercice d’une telle action n’exige pas l’existence d’une violation concrète des droits qu’une personne tire du RGPD. En effet, afin de reconnaître la qualité pour agir d’une entité, il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits. Ainsi, au vu de l’objectif poursuivi par le RGPD, le fait d’habiliter des associations de défense des intérêts des consommateurs, telle que l’Union fédérale, à introduire, par un mécanisme de recours représentatif, des actions visant à faire cesser des traitements contraires aux dispositions du RGPD, indépendamment de la violation des droits d’une personne individuellement et concrètement affectée par cette violation, contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection.

Enfin, la Cour précise que la violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales. En effet, le RGPD ( 9 ) permet aux États membres d’exercer leur faculté de prévoir que les associations de défense des intérêts des consommateurs sont habilitées à agir contre des violations des droits prévus par le RGPD par l’intermédiaire de règles ayant pour objet de protéger les consommateurs ou de lutter contre des pratiques commerciales déloyales.

( 1 ) Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (ci-après l’« Union fédérale »).

( 2 ) En vertu du droit allemand, les lois sur la protection des consommateurs comprennent également les règles définissant la licéité de la collecte ou du traitement ou de l’utilisation des données à caractère personnel d’un consommateur par une entreprise ou un entrepreneur.

( 3 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »). Au titre de l’article 80, paragraphe 2, « [l]es États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 [de cet ] article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle, en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement [des données à caractère personnel la concernant] ».

( 4 ) Tel que cela ressort de l’article 1er, paragraphe 1, lu à la lumière des considérants 9, 10 et 13, de ce règlement.

( 5 ) En application des « clauses d’ouverture ».

( 6 ) Notamment à l’article 80, paragraphe 1, du RGPD. Cette disposition fait référence à « un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant ».

( 7 ) Au titre de l’article 80, paragraphe 2, du RGPD.

( 8 ) Notamment au vu de la portée de la notion de « personne concernée » prévue à l’article 4, point 1, du RGPD, qui couvre tant une « personne physique identifiée » qu’une « personne physique identifiable ».

( 9 ) Notamment l’article 80, paragraphe 2, du RGPD.