Violations RGPD : un changement majeur pour les associations de consommateurs

La CJUE marquerait-elle le début d'une nouvelle ère dans la mise en œuvre du RGPD avec un contrôle d'associations de consommateurs qui n'auraient plus besoin d'être mandatées ? (Case C-319/20, Meta Platforms Ireland Limited)

Le 28 avril 2022, la Cour de Justice de l’Union européenne (la CJUE) a rendu un arrêt qui, bien que passé relativement inaperçu en dehors des milieux spécialisés, pourrait avoir un impact significatif sur l’implémentation concrète du RGPD ainsi que la notification de ses violations aux instances juridictionnelles.

Le contexte de cet arrêt est relativement simple. La société Meta Platforms Ireland Ltd (anciennement Facebook Ireland Ltd) est responsable du traitement des données personnelles des utilisateurs du réseau social Facebook au sein de l’Union européenne. La Fédération des associations allemandes de consommateurs a introduit une action en justice contre la société Meta Platforms Ireland Ltd devant les juridictions allemandes pour manquement du groupe à ses obligations relatives à la protection des données personnelles des consommateurs, définies dans le RGPD.

Plus précisément, était mise en cause la plateforme "App Center" permettant la mise à disposition de jeux gratuits fournis par des tiers aux utilisateurs du réseau social.  Dans le cadre de l’utilisation de cette plateforme et pour certains jeux, était présentée aux joueurs une indication l'informant que l'utilisation de l'application concernée permettait à la société de jeux d'obtenir un certain nombre de données personnelles et, par cette utilisation, l''accord que l’utilisateur accepte la communication de ses données par l’entreprise tierce.

Une telle configuration introduit diverses violations des obligations introduites par le RGPD, et les juridictions allemandes ont reconnu que l’action de la Fédération des associations allemandes de consommateurs était de ce point de vue justifiée.

La question posée à la CJUE et l’enjeu crucial de l’arrêt rendu le 28 avril ne concerne en réalité pas le fond de l’affaire, mais la recevabilité de l’action en justice initiée par la Fédération des associations allemandes de consommateurs. Cette dernière a en effet agi de manière entièrement autonome, sans être mandatée par un individu ou un groupe d'individus dont les droits auraient spécifiquement été mis en cause par les pratiques de la société Meta Platforms Ireland.

Il s’agit d’une possibilité offerte par la législation nationale allemande qui autorise les actions représentatives ; cependant, il est vrai qu’une telle action pourrait sembler dépasser la lettre du texte du RGPD, qui certes donne la possibilité aux groupes de consommateurs d’intenter des actions représentatives en vertue d’une violation du RGPD, mais ne la mentionne que lorsque le groupe de consommateurs est mandaté par un ou plusieurs individus : “La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom [...]” (Article 80 RGPD).

L’argument développé par la société Meta Platforms Ireland Ltd était donc de soulever que l’action intentée par la Fédération des associations allemandes de consommateurs n’était simplement pas recevable, dans la mesure où le RGPD ne permet pas à de telles organisations d’agir de manière autonome, sans s’appuyer sur le mandat de personnes concernées dont les droits seraient mis en cause.

La CJUE, saisie par la Cour Fédérale Allemande sur cette question, a cependant dans cet arrêt du 28 avril rejeté l’argument avancé par la société Meta Platforms Ireland. 

Ainsi, voici ce qu’elle affirme dans le communiqué de presse relatif à cette décision : “By today’s judgment, the Court finds that the GDPR does not preclude national legislation which allows a consumer protection association to bring legal proceedings, in the absence of a mandate conferred on it for that purpose and independently of the infringement of specific rights of the data subjects, against the person allegedly responsible for an infringement of the laws protecting personal data [...]” - Press release N° 68/22.

Le raisonnement de la Cour se base sur la possibilité offerte aux États membres de fixer des règles supplémentaires quant à l'implémentation du RGPD, à condition que les règles nationales adoptées ne portent pas atteinte au contenu et aux objectifs de ce règlement. La possibilité de prévoir un mécanisme d’action représentative indépendant du mandat d’une personne concernée par une association de représentation de consommateurs tombe dans cette marge de manoeuvre offerte aux États membres, et fonde ainsi la recevabilité de l’action engagée par la Fédération des associations allemandes de consommateurs contre la société Meta Platforms Ireland Ltd.

Cette décision est fondamentale sous deux aspects :

  • Premièrement, la possibilité offerte aux associations de consommateurs d’agir indépendamment d’un mandat d’un individu leur donne un pouvoir de contrôle bien plus important sur les comportements des entreprises induisant des violations du RGPD. Il peut en effet s’avérer complexe de trouver des individus prêts à mandater une association afin d’introduire une action en justice au vu de l’engagement nécessaire pour mener à bien cette action et l’exposition publique qu’elle suppose. L’autonomie des associations dans ces démarches pourrait les amener à jouer un rôle central dans le contrôle du respect des règles introduites par le RGPD.
  • Deuxièmement, il est vrai pour le moment que cette possibilité offerte par la CJUE ne concerne que les pays dans lesquels une telle action représentative est autorisée par les législations nationales comme en Allemagne mais ce qui est loin d’être une possibilité offerte dans l’intégralité des pays membres de l’UE. 

Cependant, remarquons que la Directive européenne sur les Actions Représentatives (voir le texte complet ici) doit être transposée dans le droit national des États membres d’ici fin 2022, et devra être appliquée dans l’ensemble de l’UE à partir du mois de juin 2023.  Cette directive permettra aux associations de consommateurs de tous les pays de l'UE, pour autant qu'elles répondent à certains critères, d’initier des demandes de recours collectifs contre des organisations enfreignant le droit d’un pays membre, notamment en matière de protection des données à caractère personnel.

Pour résumer cette décision :

L’arrêt de la CJUE du 28 avril 2022 pourrait tout à fait marquer le début d’une nouvelle ère dans la mise en œuvre du RGPD : celle d’un contrôle de son application par les associations de consommateurs répondant à des critères précis, un contrôle plus fin et orienté vers la défense concrète des droits des citoyens européens.

Pour essayer de voir plus loin :

La saisine des associations de consommateurs non mandatées couplée à des réformes telle que celle mise en place en France par la CNIL le 12 avril dernier instaurant une action répressive simplifiée pour les dossiers peu complexes pourrait substantiellement accroître le nombre de sanctions pour manquement des obligations visées par le RGPD.

Il est légitime de s’interroger sur les répercussions aux éventuels manquements d’obligations visées dans d’autres textes européens comme le Digital Market Act (chronique sur le DMA).

En conclusion :

Le succès de ces différents dispositifs dépendra, en grande partie, du juste équilibre trouvé entre la protection des droits des citoyens et la sécurité juridique des organisations publiques comme privées :  un cadre réglementaire stable et lisible promouvant une innovation responsable et dynamique reste  un objectif majeur pour l'Europe.