Dans un arrêt du 28 avril 2022, la Cour de justice de l’Union européenne s’est livrée à une interprétation de l’article 80 paragraphe 2 du RGPD et a ainsi considéré qu’une association de défense des consommateurs pouvait intenter une action représentative, indépendamment de tout mandat, et de la violation concrète de droits de personnes concernées individuelles.
La société Meta Platforms Ireland (anciennement Facebook Ireland) mettait à la disposition des utilisateurs un espace d’applications (« App Zentrum ») sur lequel des jeux gratuits fournis par des sociétés tierces étaient proposés.
L’Union fédérale des centrales et associations des consommateurs basée en Allemagne reprochait notamment à la société Meta Platforms de publier, dans le cadre de l’utilisation de ces jeux, des informations personnelles des utilisateurs (telles que des photographies, des scores, etc.). L’Union fédérale a donc introduit une action en cessation contre la société Meta Platforms Ireland, en invoquant notamment la violation des règles relatives à la protection des données personnelles.
Dans le cadre de cette procédure, la Cour fédérale de justice allemande s’est interrogée sur la recevabilité de cette action, et plus précisément, sur le point de savoir si une association de défense des consommateurs, telle que l’Union fédérale, disposait encore, depuis l’entrée en vigueur du RGPD, du pouvoir d’agir en introduisant une action devant les juridictions civiles concernant des violations de ce règlement, et ce, indépendamment de la violation concrète de droits de personnes concernées individuelles et sans mandat de ces dernières.
La Cour fédérale a saisi la Cour de justice de l’Union européenne d’une question préjudicielle, à laquelle cette dernière a répondu dans un arrêt du 28 avril 2022.
La Cour de justice considère qu’une association de défense des consommateurs a bien qualité à agir au sens du RGPD, en ce qu’elle poursuit un objectif d’intérêt public consistant à protéger les droits des consommateurs. La Cour souligne, à cet égard, que la violation de règles relatives à la protection des consommateurs peut être connexe à la violation d’une règle relative à la protection des données personnelles.
La Cour de justice indique également que la recevabilité de cette action représentative présuppose que l’association, indépendamment de tout mandat confié, « considère » que les droits de personnes concernées prévus dans le RGPD ont été violés, sans qu’il ne soit nécessaire d’identifier individuellement et préalablement la personne spécifiquement concernée par la violation, ni d’établir la violation concrète de ses droits.
Selon la Cour, une telle interprétation est conforme à l’objectif poursuivi par le RGPD qui est d’assurer une protection efficace des libertés et droits fondamentaux des personnes physiques ainsi qu’un niveau élevé de protection du droit de toute personne à la protection de ses données personnelles.
Carole COUSON-WARLOP, avocate associée, spécialiste en droit de la propriété intellectuelle
Juliette BACHELARD, avocate collaboratrice
#Propriétéintellectuelle #donnéespersonnelles #RGPD #atteinte #actionreprésentative #décisiondejustice #CJUE #Artlexvousinforme
Comments