CJUE, n° C-319/20, Arrêt de la Cour, Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V, 28 avril 2022

Principes, objectifs et missions des traités·
Politique intérieure de l'Union européenne·
Rapprochement des législations·
Mesures de rapprochement·
Protection des données·
Personne concernée·
Directive·
Etats membres·
Action représentative·
Pratique commerciale déloyale

Chronologie de l’affaire

Commentaires • 10

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. L’enseignement par vidéoconférence doit se plier au RGPDAccès limité

Open Lefebvre Dalloz · 5 mai 2023

2. Actualités et informations juridiquesAccès limité

www.lemag-juridique.com · 12 juillet 2022

3. RGPD : les associations des consommateurs peuvent agir en justice sans mandat

Gérard Haas · Haas avocats · 23 mai 2022

Par Gérard Haas, Anne-Charlotte Andrieux et Sara Bakli Éclaircissements sur les contours de cette action représentative par l'arrêt de la CJUE du 28 avril 2022, dans l'affaire C-319/20, Meta platforms Ireland Limited c/ Union fédérale allemande des centrales et associations de consommateurs. Dans un arrêt du 28 avril 2022, la Cour de justice de l'Union européenne (CJUE) a validé, par une interprétation des dispositions du Règlement (UE) 2016/679 européen sur la protection des données du 27 avril 2017 (ci-après « RGPD »), la légalité et la pleine efficacité d'une action représentative …

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (10)

Sur la décision

Référence :	CJUE, Cour, 28 avr. 2022, C-319/20
Numéro(s) :	C-319/20
Arrêt de la Cour (troisième chambre) du 28 avril 2022.#Meta Platforms Ireland Limited contre Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V.#Demande de décision préjudicielle, introduite par le Bundesgerichtshof.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80 – Représentation des personnes concernées par une association à but non lucratif – Action représentative intentée par une association de défense des intérêts des consommateurs en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles.#Affaire C-319/20.
Date de dépôt :	15 juillet 2020
Précédents jurisprudentiels :	15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483 arrêt du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483 ARRET DU 28. 4. 2022 – AFFAIRE C-319/20 Fashion ID ( C-40/17, EU:C:2019:629

Solution :	Renvoi préjudiciel
Identifiant CELEX :	62020CJ0319
Identifiant européen :	ECLI:EU:C:2022:322
Télécharger le PDF original fourni par la juridiction

Sur les parties

Juge-rapporteur : Rossi
Avocat général : Richard de la Tour

Texte intégral

ARRÊT DE LA COUR (troisième chambre)

28 avril 2022 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 80 – Représentation des personnes concernées par une association à but non lucratif – Action représentative intentée par une association de défense des intérêts des consommateurs en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles »

Dans l’affaire C-319/20,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 28 mai 2020, parvenue à la Cour le 15 juillet 2020, dans la procédure

Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited,

contre

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.,

LA COUR (troisième chambre),

composée de Mme A. Prechal, présidente de la deuxième chambre, faisant fonction de président de la troisième chambre, MM. J. Passer, F. Biltgen, Mme L.S. Rossi (rapporteure) et M. N. Wahl, juges,

avocat général : M. J. Richard de la Tour,

greffier : Mme M. Krausenböck, administratrice,

vu la procédure écrite et à la suite de l’audience du 23 septembre 2021,

considérant les observations présentées :

–	pour Meta Platforms Ireland Limited, par Mes H.-G. Kamann, M. Braun et H. Frey, Rechtsanwälte, ainsi par que Me V. Wettner, Rechtsanwältin,

–	pour Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V., par Me P. Wassermann, Rechtsanwalt,

–	pour le gouvernement allemand, par MM. D. Klebs et J. Möller, en qualité d’agents,

–	pour le gouvernement autrichien, par MM. A. Posch et G. Kunnert ainsi que Mme J. Schmoll, en qualité d’agents,

–	pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que Mmes C. Vieira Guerra, P. Barros da Costa et L. Medeiros, en qualité d’agents,

–	pour la Commission européenne, initialement par MM. F. Erlbacher, H. Kranenborg et D. Nardi, puis par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 2 décembre 2021,

rend le présent

Arrêt

La demande de décision préjudicielle porte sur l’interprétation de l’article 80, paragraphes 1 et 2, et de l’article 84, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

Cette demande a été présentée dans le cadre d’un litige opposant Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited, dont le siège social se trouve en Irlande, au Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Union fédérale des centrales et associations de consommateurs, Allemagne) (ci-après l’« Union fédérale ») au sujet de la violation, par Meta Platforms Ireland, de la législation allemande relative à la protection des données personnelles constituant, en même temps, une pratique commerciale déloyale, une violation d’une loi en matière de protection des consommateurs et une violation de l’interdiction de l’utilisation de conditions générales nulles.

Le cadre juridique

Le droit de l’Union

Le RGPD

Les considérants 9, 10, 13 et 142 du RGPD énoncent :

« (9)

Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive [95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive [95/46].

(10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. […]

[…]

(13)

Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. […]

[…]

(142)

Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle, exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d’un État membre, exerce le droit d’obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d’introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s’il a des raisons de considérer que les droits d’une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée. »

L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :

« Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. »

Aux termes de l’article 4, point 1, du RGPD :

« Aux fins du présent règlement, on entend par :

“données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

6	Le chapitre III du RGPD, qui comporte les articles 12 à 23, est intitulé « Droits de la personne concernée ».

L’article 12 de ce règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce, à son paragraphe 1 :

« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1, sous c) et e) :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[…]

c)	les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

[…]

e)	les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent […] »

9	Le chapitre VIII dudit règlement, qui comporte les articles 77 à 84, est intitulé « Voies de recours, responsabilité et sanctions ».

L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

L’article 80 du RGPD, intitulé « Représentation des personnes concernées », est ainsi libellé :

« 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

L’article 82 de ce règlement, intitulé « Droit à réparation et responsabilité », dispose, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

L’article 84 du RGPD, intitulé « Sanctions », énonce, à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

La directive 2005/29/CE

L’objectif de la directive 2005/29/CE du Parlement européen et du Conseil, du 11 mai 2005, relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur et modifiant la directive 84/450/CEE du Conseil et les directives 97/7/CE, 98/27/CE et 2002/65/CE du Parlement européen et du Conseil et le règlement (CE) no 2006/2004 du Parlement européen et du Conseil (« directive sur les pratiques commerciales déloyales ») (JO 2005, L 149, p. 22) est, selon son article 1er, de contribuer au bon fonctionnement du marché intérieur et d’assurer un niveau élevé de protection des consommateurs en rapprochant les dispositions législatives, réglementaires et administratives des États membres relatives aux pratiques commerciales déloyales qui portent atteinte aux intérêts économiques des consommateurs.

Aux termes de l’article 5 de la directive 2005/29, intitulé « Interdiction des pratiques commerciales déloyales » :

« 1. Les pratiques commerciales déloyales sont interdites.

2. Une pratique commerciale est déloyale si :

a)	elle est contraire aux exigences de la diligence professionnelle, et

b)	elle altère ou est susceptible d’altérer de manière substantielle le comportement économique, par rapport au produit, du consommateur moyen qu’elle touche ou auquel elle s’adresse, ou du membre moyen du groupe lorsqu’une pratique commerciale est ciblée vers un groupe particulier de consommateurs.

[…]

5. L’annexe I contient la liste des pratiques commerciales réputées déloyales en toutes circonstances. […] »

L’article 11, paragraphe 1, de cette directive, intitulé « Application de la législation », prévoit :

« 1. Les États membres veillent à ce qu’il existe des moyens adéquats et efficaces pour lutter contre les pratiques commerciales déloyales afin de faire respecter les dispositions de la présente directive dans l’intérêt des consommateurs.

Ces moyens doivent inclure des dispositions juridiques aux termes desquelles les personnes ou organisations ayant, selon la législation nationale, un intérêt légitime à lutter contre les pratiques commerciales déloyales, y compris les concurrents, peuvent :

a)	intenter une action en justice contre ces pratiques commerciales déloyales, et/ou

b)	porter ces pratiques commerciales déloyales devant une autorité administrative compétente soit pour statuer sur les plaintes, soit pour engager les poursuites judiciaires appropriées.

Il appartient à chaque État membre de décider laquelle de ces procédures sera retenue et s’il convient que les tribunaux ou les autorités administratives puissent exiger le recours préalable à d’autres voies établies de règlement des plaintes, y compris celles mentionnées à l’article 10. Les consommateurs doivent avoir accès à ces moyens, qu’ils soient établis sur le territoire du même État membre que le professionnel ou sur celui d’un autre État membre.

[…] »

L’annexe I de la directive 2005/29 qui contient la liste des pratiques commerciales déloyales en toutes circonstances dispose, à son point 26 :

« Se livrer à des sollicitations répétées et non souhaitées par téléphone, télécopieur, courrier électronique ou tout autre outil de communication à distance, sauf si et dans la mesure où la législation nationale l’autorise pour assurer l’exécution d’une obligation contractuelle. Cette disposition s’entend sans préjudice […] des directives 95/46/CE […] »

La directive 2009/22/CE

Aux termes de l’article 1er de la directive 2009/22/CE du Parlement européen et du Conseil, du 23 avril 2009, relative aux actions en cessation en matière de protection des intérêts des consommateurs (JO 2009, L 110, p. 30), intitulé « Champ d’application » :

« 1. La présente directive a pour objet de rapprocher les dispositions législatives, réglementaires et administratives des États membres relatives aux actions en cessation, mentionnées à l’article 2, visant à protéger les intérêts collectifs des consommateurs inclus dans les directives énumérées à l’annexe I, afin de garantir le bon fonctionnement du marché intérieur.

2. Aux fins de la présente directive, on entend par infraction tout acte qui est contraire aux directives énumérées à l’annexe I telles que transposées dans l’ordre juridique interne des États membres et qui porte atteinte aux intérêts collectifs visés au paragraphe 1. »

L’article 7 de la directive 2009/22, intitulé « Dispositions assurant une faculté d’agir plus étendue », est ainsi libellé :

« La présente directive ne fait pas obstacle au maintien ou à l’adoption par les États membres de dispositions visant à assurer au plan national une faculté d’agir plus étendue aux entités qualifiées ainsi qu’à toute autre personne concernée. »

22	L’annexe I de la directive 2009/22 contient la liste des directives de l’Union visées à l’article 1er de celle-ci. Le point 11 de cette annexe mentionne la directive 2005/29.

La directive (UE) 2020/1828

Les considérants 11, 13 et 15 de la directive (UE) 2020/1828 du Parlement européen et du Conseil, du 25 novembre 2020, relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22 (JO 2020, L 409, p. 1), énoncent :

« (11)

La présente directive ne devrait pas remplacer les mécanismes procéduraux nationaux existants visant à protéger les intérêts collectifs ou individuels des consommateurs. Compte tenu des traditions juridiques des États membres, elle devrait laisser ceux-ci libres de concevoir le mécanisme procédural des actions représentatives requis par la présente directive comme faisant partie d’un mécanisme procédural existant ou nouveau pour obtenir des mesures de cessation ou des mesures de réparation collectives, ou comme un mécanisme procédural distinct, à condition qu’au moins un mécanisme procédural national pour les actions représentatives soit conforme à la présente directive. […] S’il existe des mécanismes procéduraux au niveau national en plus du mécanisme procédural requis par la présente directive, l’entité qualifiée devrait pouvoir choisir quel mécanisme procédural utiliser.

[…]

(13)

Le champ d’application de la présente directive devrait tenir compte des évolutions récentes dans le domaine de la protection des consommateurs. Étant donné que les consommateurs évoluent maintenant dans un marché plus vaste et de plus en plus numérisé, il est nécessaire, pour obtenir un niveau élevé de protection des consommateurs, que la présente directive couvre, outre le droit général de la consommation, des domaines tels que la protection des données, les services financiers, les voyages et le tourisme, l’énergie et les télécommunications. […]

[…]

(15)

La présente directive devrait s’appliquer sans préjudice des actes juridiques énumérés à l’annexe I et ne devrait, par conséquent, ni modifier ni étendre les définitions prévues dans ces actes juridiques ni remplacer les mécanismes d’application que ces actes juridiques pourraient contenir. À titre d’exemple, les mécanismes d’application prévus dans le [RGPD] ou fondés sur celui-ci pourraient, le cas échéant, encore être utilisés aux fins de la protection des intérêts collectifs des consommateurs. »

L’article 2 de cette directive, intitulé « Champ d’application », prévoit, à son paragraphe 1 :

« La présente directive s’applique aux actions représentatives intentées en raison d’infractions commises par des professionnels aux dispositions du droit de l’Union visées à l’annexe I, y compris ces dispositions telles qu’elles ont été transposées en droit national, qui portent atteinte ou risquent de porter atteinte aux intérêts collectifs des consommateurs. La présente directive s’applique sans préjudice des dispositions du droit de l’Union visées à l’annexe I. […] »

L’article 24, paragraphe 1, de ladite directive, intitulé « Transpositions », dispose :

« Les États membres adoptent et publient, au plus tard le 25 décembre 2022, les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission.

Ils appliquent ces dispositions à partir du 25 juin 2023.

[…] »

26	L’annexe I de la directive 2020/1828, qui contient la liste des dispositions du droit de l’Union visées à l’article 2, paragraphe 1, de celle-ci, cite, à son point 56, le RGPD.

Le droit allemand

La loi relative aux actions en cessation

Aux termes de l’article 2 du Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (loi sur les actions en cessation de violations du droit de la consommation et d’autres violations), du 26 novembre 2001 (BGBl. 2001 I, p. 3138), dans sa version applicable au litige au principal (ci-après la « loi relative aux actions en cessation ») :

« (1) Quiconque enfreint, autrement que par l’utilisation ou la recommandation de conditions générales, des règles de protection des consommateurs (lois sur la protection des consommateurs) peut donner lieu à un ordre de cessation pour l’avenir et de cessation immédiate dans l’intérêt de la protection des consommateurs. […]

(2) Au sens de la présente disposition, on entend par lois sur la protection des consommateurs en particulier :

[…]

11. les règles définissant la licéité

a)	de la collecte de données à caractère personnel d’un consommateur par une entreprise ou

le traitement ou l’utilisation de données à caractère personnel qui ont été collectées par un entrepreneur à propos d’un consommateur,

lorsque les données sont collectées, traitées ou utilisées à des fins de publicité, d’enquête de marché et d’opinion, d’exploitation d’une agence de renseignements, d’établissement de profils de personnalité et d’utilisation, de tout autre commerce de données ou à des fins commerciales analogues. »

Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) indique que, en vertu de l’article 3, paragraphe 1, première phrase, point 1, de la loi relative aux actions en cessation, les organismes ayant qualité pour agir, au sens de l’article 4 de cette loi, peuvent, d’une part, conformément à l’article 1er de ladite loi, demander la cessation de l’utilisation de conditions générales nulles en vertu de l’article 307 du Bürgerliches Gesetzbuch (code civil) et, d’autre part, demander la cessation des violations de la législation en matière de protection des consommateurs, au sens de l’article 2, paragraphe 2, de la même loi.

La loi contre la concurrence déloyale

L’article 3, paragraphe 1, du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (BGBl. 2004 I, p. 1414), dans sa version applicable au litige au principal (ci-après la « loi contre la concurrence déloyale »), prévoit :

« Les pratiques commerciales déloyales sont illicites. »

L’article 3a de la loi contre la concurrence déloyale est ainsi libellé :

« Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l’intérêt de ses acteurs dès lors que cette infraction est susceptible d’affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. »

L’article 8 de la loi contre la concurrence déloyale énonce :

« (1) Toute pratique commerciale illicite en vertu de l’article 3 ou de l’article 7 peut donner lieu à une injonction de cessation et, en cas de risque de récidive, à un ordre de cessation ou interdiction. […]

[…]

(3) Les injonctions visées au paragraphe 1 peuvent être demandées :

[…]

3.	par les entités qualifiées qui apportent la preuve qu’elles figurent sur la liste des entités qualifiées, conformément à l’article 4 de [la loi relative aux actions en cessation] […] »

La loi sur les médias électroniques

Le Bundesgerichtshof (Cour fédérale de justice) indique que l’article 13, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007 I, p. 179), était applicable jusqu’à l’entrée en vigueur du RGPD. Depuis cette date, cette disposition a été remplacée par les articles 12 à 14 du RGPD.

Aux termes de l’article 13, paragraphe 1, première phrase, de la loi sur les médias électroniques :

« Dès l’entame de l’utilisation, il appartient au fournisseur de services d’informer l’utilisateur sous une forme globalement compréhensible du mode, de l’étendue et de la finalité de la collecte et de l’utilisation de données à caractère personnel ainsi que du traitement de ses données dans les États ne relevant pas du champ d’application de la directive 95/46[…] dans la mesure où il n’en a pas déjà été informé. »

Le litige au principal et la question préjudicielle

Meta Platforms Ireland, qui gère l’offre des services du réseau social en ligne Facebook dans l’Union, est le responsable du traitement de données à caractère personnel des utilisateurs de ce réseau social dans l’Union. Facebook Germany GmbH, qui a son siège en Allemagne, promeut sous l’adresse www.facebook.de la vente d’espaces publicitaires. La plate-forme Internet Facebook contient, notamment à l’adresse Internet www.facebook.de, un espace appelé « App-Zentrum » (Espace Applications) sur lequel Meta Platforms Ireland met à la disposition des utilisateurs des jeux gratuits fournis par des tiers. Lors de la consultation de l’Espace Applications de certains de ces jeux, l’utilisateur voit apparaître l’indication selon laquelle l’utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données à caractère personnel et l’autorise à procéder à des publications au nom de cet utilisateur, telles que son score et d’autres informations. Cette utilisation a comme conséquence que ledit utilisateur accepte les conditions générales de l’application et sa politique en matière de protection des données. En outre, dans le cas d’un jeu donné, il y a l’indication selon laquelle l’application est autorisée à publier le statut, des photos et d’autres informations au nom du même utilisateur.

L’Union fédérale, organisme ayant qualité pour agir au titre de l’article 4 de la loi relative aux actions en cessation, estime que les indications fournies par les jeux concernés dans l’Espace Applications sont déloyales, notamment du point de vue du non–respect des conditions légales qui s’appliquent à l’obtention d’un consentement valable de l’utilisateur en vertu des dispositions régissant la protection des données. En outre, elle considère que l’indication selon laquelle l’application est autorisée à publier au nom de l’utilisateur certaines informations personnelles de celui-ci constitue une condition générale qui défavorise indûment l’utilisateur.

Dans ce contexte, l’Union fédérale a introduit devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne) une action en cessation contre Meta Platforms Ireland fondée sur l’article 3a de la loi contre la concurrence déloyale, l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation ainsi que sur le code civil. Cette action était introduite indépendamment de la violation concrète du droit à la protection des données d’une personne concernée et sans mandat d’une telle personne.

Le Landgericht Berlin (tribunal régional de Berlin) a condamné Meta Platforms Ireland conformément aux conclusions de l’Union fédérale. L’appel interjeté par Meta Platforms Ireland devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne) a été rejeté. Meta Platforms Ireland a, alors, introduit devant la juridiction de renvoi un recours en Revision contre la décision de rejet adoptée par la juridiction d’appel.

La juridiction de renvoi considère que l’action de l’Union fédérale est fondée, dans la mesure où Meta Platforms Ireland a enfreint l’article 3a de la loi contre la concurrence déloyale, ainsi que l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation et elle a utilisé une condition générale nulle, au sens de l’article 1er de la loi relative aux actions en cessation.

Toutefois, cette juridiction nourrit des doutes quant à la recevabilité de l’action de l’Union fédérale. En effet, elle considère qu’il n’est pas exclu que l’Union fédérale, qui avait bien qualité pour agir à la date de l’introduction de son recours – sur le fondement de l’article 8, paragraphe 3, de la loi contre la concurrence déloyale et de l’article 3, paragraphe 1, première phrase, point 1, de la loi relative aux actions en cessation – ait perdu cette qualité en cours d’instance, à la suite de l’entrée en vigueur du RGPD et, notamment, de l’article 80, paragraphes 1 et 2, ainsi que de l’article 84, paragraphe 1, de celui-ci. Si tel était le cas, la juridiction de renvoi devrait accueillir le recours en Revision introduit par Meta Platforms Ireland et rejeter l’action de l’Union fédérale, étant donné que, selon les dispositions procédurales pertinentes du droit allemand, la qualité pour agir doit persister jusqu’à la fin de la dernière instance.

40	Selon la juridiction de renvoi, la réponse à cet égard ne ressort pas clairement de l’appréciation du libellé, de l’économie ainsi que de l’objectif des dispositions du RGPD.

Concernant le libellé des dispositions du RGPD, la juridiction de renvoi relève que l’existence de la qualité pour agir des organismes, des organisations ou des associations à but non lucratif qui ont été valablement constitués conformément au droit d’un État membre, en vertu de l’article 80, paragraphe 1, du RGPD, présuppose que la personne concernée ait mandaté un organisme, une organisation ou une association pour qu’il exerce en son nom les droits visés aux articles 77 à 79 du RGPD et le droit d’obtenir réparation visé à l’article 82 du RGPD lorsque le droit d’un État membre le prévoit.

Or, la juridiction de renvoi souligne que la qualité pour agir au titre de l’article 8, paragraphe 3, point 3, de la loi contre la concurrence déloyale n’envisage pas un tel recours sur mandat et au nom d’une personne concernée pour faire valoir ses droits personnels. Elle conférerait, au contraire, à une association, au titre d’un droit qui lui serait propre et découlerait de l’article 3, paragraphe 1, ainsi que de l’article 3a de la loi contre la concurrence déloyale, une qualité pour agir à titre objectif contre des violations des dispositions du RGPD, indépendamment de la violation de droits concrets de personnes concernées et d’un mandat conféré par ces dernières.

En outre, la juridiction de renvoi observe que l’article 80, paragraphe 2, du RGPD ne prévoit pas la qualité pour agir d’une association afin de faire appliquer, à titre objectif, le droit de la protection des données à caractère personnel, dans la mesure où cette disposition présuppose que les droits d’une personne concernée prévus dans le RGPD aient été effectivement violés du fait d’un traitement de données spécifique.

Par ailleurs, la qualité pour agir d’une association, telle que celle prévue à l’article 8, paragraphe 3, de la loi contre la concurrence déloyale, ne saurait résulter de l’article 84, paragraphe 1, du RGPD, aux termes duquel les États membres déterminent le régime des autres sanctions applicables en cas de violations du règlement et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. En effet, la qualité pour agir d’une association, telle que celle visée à l’article 8, paragraphe 3, de la loi contre la concurrence déloyale, ne saurait être considérée comme constituant une « sanction », au sens de cette disposition du RGPD.

En ce qui concerne l’économie des dispositions du RGPD, la juridiction de renvoi considère qu’il peut être déduit du fait que celui–ci a harmonisé notamment les pouvoirs des autorités de contrôle qu’il incombe principalement à ces autorités de vérifier l’application des dispositions de ce règlement. Toutefois, l’incise « sans préjudice de tout autre recours », qui figure à l’article 77, paragraphe 1, à l’article 78, paragraphes 1 et 2, ainsi qu’à l’article 79, paragraphe 1, du RGPD, pourrait infirmer la thèse d’une réglementation exhaustive du contrôle de l’application du droit par ce règlement.

En ce qui concerne l’objectif des dispositions du RGPD, la juridiction de renvoi relève que l’effet utile de celui-ci pourrait plaider en faveur de l’existence d’une qualité pour agir des associations au titre du droit de la concurrence, conformément à l’article 8, paragraphe 3, point 3, de la loi contre la concurrence déloyale, indépendamment de la violation de droits concrets des personnes concernées, dans la mesure où cela ferait subsister une possibilité supplémentaire de contrôler l’application du droit, afin d’assurer un niveau aussi élevé que possible de protection de données à caractère personnel, conformément au considérant 10 du RGPD. Néanmoins, admettre la qualité pour agir des associations au titre du droit de la concurrence pourrait être considéré comme allant contre l’objectif d’harmonisation poursuivi par le RGPD.

Dans ces conditions, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Les dispositions du chapitre VIII du [RGPD], et en particulier l’article 80, paragraphes 1 et 2, ainsi que l’article 84, paragraphe 1, de celui–ci, font-elles obstacle à des dispositions nationales qui – parallèlement aux pouvoirs d’intervention des autorités de contrôle chargées de surveiller et de faire appliquer le règlement et aux possibilités de recours des personnes concernées – confèrent, d’une part, aux concurrents et, d’autre part, aux associations, aux organismes et aux chambres habilités en vertu du droit national le pouvoir, en cas de violation du [RGPD], d’agir contre l’auteur de celle–ci en introduisant un recours devant les juridictions civiles, indépendamment de la violation de droits concrets de personnes concernées individuelles et sans mandat d’une personne concernée, en invoquant l’interdiction des pratiques commerciales déloyales, la violation d’une loi en matière de protection des consommateurs ou l’interdiction de l’utilisation de conditions générales nulles ? »

Sur la question préjudicielle

À titre liminaire, il importe de relever que, ainsi qu’il résulte, notamment, du point 36 ainsi que des points 41 à 44 du présent arrêt, le litige au principal oppose une association de défense des intérêts des consommateurs, telle que l’Union fédérale, à Meta Platforms Ireland et porte sur la question de savoir si une telle association peut agir contre cette société en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées.

Dans ces conditions, ainsi que l’a relevé à bon droit la Commission, dans ses observations écrites, la réponse à la question préjudicielle dépend seulement de l’interprétation de l’article 80, paragraphe 2, du RGPD, les dispositions de l’article 80, paragraphe 1, du RGPD et de l’article 84 du RGPD n’étant pas pertinentes en l’occurrence. En effet, d’une part, l’application de l’article 80, paragraphe 1, du RGPD présuppose que la personne concernée ait mandaté l’organisme, l’organisation ou l’association à but non lucratif, visés à cette disposition, pour qu’il prenne en son nom les mesures juridiques prévues aux articles 77 à 79 du RGPD. Or, il est constant que tel n’est pas le cas dans le cadre de l’affaire au principal, dans la mesure où l’Union fédérale agit indépendamment de tout mandat de la personne concernée. D’autre part, il est constant que l’article 84 du RGPD vise les sanctions administratives et pénales applicables au titre des violations de ce règlement, ce dont il n’est pas non plus question dans la procédure au principal.

En outre, il importe de relever que l’affaire au principal ne soulève pas la question de la qualité pour agir d’un concurrent. Par conséquent, il y a lieu de répondre à la seule partie de la question qui porte sur la qualité pour agir des associations, des organismes et des chambres habilités en vertu du droit national, visés à l’article 80, paragraphe 2, du RGPD.

Il s’ensuit que la question posée par la juridiction de renvoi doit être comprise comme visant à savoir, en substance, si l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets d’une personne concernée, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en alléguant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles.

Afin de répondre à cette question, il importe de rappeler que, ainsi qu’il ressort du considérant 10 du RGPD, ce dernier vise, notamment, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union et à lever les obstacles aux flux de données à caractère personnel au sein de celle-ci.

Dans ce contexte, le chapitre VIII de ce règlement régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions dudit règlement. La protection de ces droits peut ainsi être réclamée soit directement par la personne concernée, soit par une entité habilitée, en présence ou en l’absence d’un mandat à cette fin, au titre de l’article 80 du RGPD.

Ainsi, tout d’abord, la personne concernée a le droit d’introduire elle-même une réclamation auprès d’une autorité de contrôle d’un État membre ou un recours devant les juridictions civiles nationales. Plus précisément, cette personne dispose, respectivement, du droit d’introduire une réclamation auprès d’une autorité de contrôle, conformément à l’article 77 du RGPD, du droit à un recours juridictionnel effectif contre une autorité de contrôle, en vertu de l’article 78 du RGPD, du droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, prévu à l’article 79 du RGPD, et du droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi, aux termes de l’article 82 du RGPD.

Ensuite, conformément à l’article 80, paragraphe 1, du RGPD, la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, sous certaines conditions, pour que ceux-ci introduisent une réclamation ou exercent, en son nom, les droits visés aux articles précités.

Enfin, conformément à l’article 80, paragraphe 2, du RGPD, les États membres peuvent prévoir que tout organisme, organisation ou association, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle, en vertu de l’article 77 de ce règlement, et d’exercer les droits visés aux articles 78 et 79 de celui–ci, s’il considère que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait du traitement des données à caractère personnel la concernant.

À cet égard, il convient de relever que, ainsi qu’il ressort de l’article 1er, paragraphe 1, du RGPD, lu à la lumière, notamment, de ses considérants 9, 10 et 13, ce règlement vise à assurer une harmonisation des législations nationales relatives à la protection des données à caractère personnel qui est, en principe, complète. Cependant, des dispositions dudit règlement ouvrent la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, qui laissent à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (« clauses d’ouverture »).

Il convient, en effet, de rappeler que, selon une jurisprudence bien établie de la Cour, en vertu de l’article 288 TFUE et en raison même de la nature des règlements et de leur fonction dans le système des sources du droit de l’Union, les dispositions des règlements ont, en général, un effet immédiat dans les ordres juridiques nationaux, sans que les autorités nationales aient besoin de prendre des mesures d’application. Néanmoins, certaines de ces dispositions peuvent nécessiter, pour leur mise en œuvre, l’adoption de mesures d’application par les États membres (arrêt du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, point 110 ainsi que jurisprudence citée).

Il en est ainsi, notamment, de l’article 80, paragraphe 2, du RGPD, qui laisse aux États membres une marge d’appréciation concernant sa mise en œuvre. Ainsi, pour que l’action représentative sans mandat en matière de protection des données à caractère personnel prévue à cette disposition puisse être exercée, les États membres doivent faire usage de la faculté qui leur est offerte par celle-ci de prévoir dans leur droit national cette modalité de représentation des personnes concernées.

Toutefois, ainsi que l’a observé M. l’avocat général, aux points 51 et 52 de ses conclusions, lorsque les États membres exercent la faculté qui leur est accordée par une telle clause d’ouverture, ils doivent utiliser leur marge d’appréciation dans les conditions et les limites prévues par les dispositions du RGPD et doivent ainsi légiférer de manière à ne pas porter atteinte au contenu et aux objectifs de ce règlement.

En l’occurrence, ainsi qu’il a été confirmé par le gouvernement allemand lors de l’audience de plaidoiries dans la présente affaire, le législateur allemand n’a pas adopté, à la suite de l’entrée en vigueur du RGPD, de dispositions particulières visant spécifiquement à mettre en œuvre, dans son droit national, l’article 80, paragraphe 2, de ce règlement. En effet, la réglementation nationale en cause au principal, adoptée afin d’assurer la transposition de la directive 2009/22, permet déjà aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel. Ce gouvernement souligne, par ailleurs, que, dans son arrêt du 29 juillet 2019, Fashion ID (C-40/17, EU:C:2019:629), portant sur l’interprétation des dispositions de la directive 95/46, la Cour a jugé que celles-ci ne s’opposent pas à cette réglementation nationale.

Dans ces conditions, ainsi que l’a relevé M. l’avocat général, au point 60 de ses conclusions, il convient, en substance, de vérifier si les règles nationales en cause au principal s’inscrivent dans le cadre de la marge d’appréciation reconnue à chaque État membre à l’article 80, paragraphe 2, du RGPD et d’interpréter ainsi cette disposition en tenant compte de son libellé ainsi que de l’économie et des objectifs de ce règlement.

À cet égard, il y a lieu de relever que l’article 80, paragraphe 2, du RGPD ouvre la possibilité aux États membres de prévoir un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, tout en énonçant un certain nombre d’exigences au niveau du champ d’application personnel et matériel qui doivent être respectées à cette fin.

S’agissant, en premier lieu, du champ d’application personnel d’un tel mécanisme, la qualité pour agir est reconnue à un organisme, à une organisation ou à une association qui remplit les critères énumérés à l’article 80, paragraphe 1, du RGPD. En particulier, cette disposition fait référence à « un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant ».

Or, il y a lieu de constater qu’une association de défense des intérêts des consommateurs, telle que l’Union fédérale, est susceptible de relever de cette notion en ce qu’elle poursuit un objectif d’intérêt public consistant à assurer les droits et les libertés des personnes concernées en leur qualité de consommateurs, dès lors que la réalisation d’un tel objectif est susceptible d’être connexe à la protection des données à caractère personnel de ces dernières.

En effet, la violation des règles ayant pour objet de protéger les consommateurs ou de lutter contre les pratiques commerciales déloyales – violation qu’une association de défense des intérêts des consommateurs, telle que l’Union fédérale, vise à prévenir et à sanctionner notamment par le recours aux actions en cessation prévu par la réglementation nationale applicable – peut être connexe, comme en l’occurrence, à la violation des règles en matière de protection des données à caractère personnel de ces consommateurs.

S’agissant, en second lieu, du champ d’application matériel dudit mécanisme, l’exercice de l’action représentative prévue à l’article 80, paragraphe 2, du RGPD par une entité répondant aux conditions mentionnées au paragraphe 1 de ce même article, présuppose que cette entité, indépendamment de tout mandat qui lui a été confié, « considère que les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement » de ses données à caractère personnel.

À cet égard, il y a lieu de préciser, premièrement, que, aux fins de l’introduction d’une action représentative, au sens de l’article 80, paragraphe 2, du RGPD, il ne saurait être exigé d’une telle entité qu’elle procède à l’identification individuelle préalable de la personne spécifiquement concernée par un traitement de données prétendument contraire aux dispositions du RGPD.

En effet, il suffit de relever que la notion de « personne concernée », au sens de l’article 4, point 1, de ce règlement, couvre non seulement une « personne physique identifiée », mais également une « personne physique identifiable », à savoir une personne physique « qui peut être identifiée », directement ou indirectement, par référence à un identifiant, tel que, notamment, un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne. Dans ces conditions, la désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement peut être également suffisante aux fins de l’introduction d’une telle action représentative.

70	Deuxièmement, en vertu de l’article 80, paragraphe 2, du RGPD, l’exercice d’une action représentative n’est pas soumis non plus à l’existence d’une violation concrète des droits qu’une personne tire des règles en matière de protection des données.

En effet, ainsi qu’il ressort du libellé même de cette disposition, rappelé au point 67 du présent arrêt, l’introduction d’une action représentative présuppose seulement que l’entité visée « considère » que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait du traitement de ses données à caractère personnel et donc allègue l’existence d’un traitement de données contraire à des dispositions de ce règlement.

Il s’ensuit que, afin de reconnaître la qualité pour agir à une telle entité, en vertu de ladite disposition, il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits.

Une telle interprétation est conforme aux exigences découlant de l’article 16 TFUE et de l’article 8 de la charte des droits fondamentaux de l’Union européenne et, ainsi, à l’objectif poursuivi par le RGPD consistant à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, à assurer un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens, arrêt du 15 juin 2021, Facebook Ireland e.a., C-645/19, EU:C:2021:483, points 44, 45 ainsi que 91).

Or, le fait d’habiliter des associations de défense des intérêts des consommateurs, telles que l’Union fédérale, à introduire, par un mécanisme de recours représentatif, des actions visant à faire cesser des traitements contraires aux dispositions de ce règlement, indépendamment de la violation des droits d’une personne individuellement et concrètement affectée par cette violation, contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection.

En outre, il convient de relever que l’exercice d’une telle action représentative, dans la mesure où elle permet de prévenir un grand nombre de violations des droits des personnes concernées par le traitement de leurs données à caractère personnel, pourrait s’avérer plus efficace que le recours qu’une seule personne individuellement et concrètement affectée par une violation de son droit à la protection de ses données à caractère personnel peut exercer contre l’auteur de cette violation.

En effet, ainsi que l’a observé M. l’avocat général au point 76 de ses conclusions, la fonction préventive des actions menées par des associations de défense des intérêts des consommateurs, telles que l’Union fédérale, ne pourrait pas être assurée si l’action représentative prévue à l’article 80, paragraphe 2, du RGPD ne permettait d’invoquer que la violation des droits d’une personne individuellement et concrètement affectée par cette violation.

En troisième lieu, il convient encore de vérifier, ainsi que le demande la juridiction de renvoi, si l’article 80, paragraphe 2, du RGPD fait obstacle à l’exercice d’une action représentative indépendamment d’une violation concrète d’un droit d’une personne concernée et d’un mandat conféré par cette dernière, lorsque la violation des règles en matière de protection des données a été alléguée dans le cadre d’une action tendant à contrôler l’application d’autres règles juridiques visant à assurer la protection des consommateurs.

À cet égard, il importe de relever d’emblée que, ainsi qu’il a été observé, en substance, au point 66 du présent arrêt, la violation d’une règle relative à la protection des données à caractère personnel peut simultanément entraîner la violation de règles relatives à la protection des consommateurs ou aux pratiques commerciales déloyales.

Dès lors, comme l’a relevé M. l’avocat général au point 72 de ses conclusions, cette disposition ne s’oppose pas à ce que les États membres exercent la faculté qu’elle leur offre en ce sens que les associations de défense des intérêts des consommateurs sont habilitées à agir contre des violations des droits prévus par le RGPD par l’intermédiaire, le cas échéant, de règles ayant pour objet de protéger les consommateurs ou de lutter contre des pratiques commerciales déloyales, telles que celles prévues par la directive 2005/29 et la directive 2009/22.

Cette interprétation de l’article 80, paragraphe 2, du RGPD est d’ailleurs corroborée par la directive 2020/1828, laquelle vient abroger et remplacer, à partir du 25 juin 2023, la directive 2009/22. Dans ce contexte, il y a lieu d’observer que, conformément à l’article 2, paragraphe 1, de la directive 2020/1828, celle-ci s’applique aux actions représentatives intentées en raison d’infractions commises par des professionnels aux dispositions du droit de l’Union visées à l’annexe I de cette directive, laquelle mentionne, à son point 56, le RGPD.

Certes, la directive 2020/1828 n’est pas applicable dans le cadre du litige au principal et son délai de transposition n’a pas encore expiré. Toutefois, elle contient plusieurs éléments qui confirment que l’article 80 du RGPD ne fait pas obstacle à l’exercice d’actions représentatives complémentaires dans le domaine de la protection des consommateurs.

En effet, si, ainsi qu’il ressort du considérant 11 de cette directive, il demeure quand même possible de prévoir un mécanisme procédural des actions représentatives complémentaire dans le domaine de la protection des consommateurs, les mécanismes d’application prévus dans le RGPD ou fondés sur celui-ci, tels que celui prévu à l’article 80 de ce règlement, ne peuvent pas être remplacés ou modifiés, ainsi que le précise le considérant 15 de ladite directive, et ils peuvent ainsi être utilisés aux fins de la protection des intérêts collectifs des consommateurs.

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

Sur les dépens

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :

L’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

Signatures

( *1 ) Langue de procédure : l’allemand.

Textes cités dans la décision