Arrêt de la Cour de justice de l’Union euro­péenne du 28 avril 2022 dans l’affaire C‑319/​20

Meta Platforms Ireland met à la dispo­si­tion des utili­sa­teurs de Facebook des jeux gratuits four­nis par des tiers. Afin de pouvoir jouer à ces jeux, l’utilisateur doit accep­ter des condi­tions géné­rales et une poli­tique en matière de confidentialité.

La Bundesverband der Verbraucherzentralen und Verbraucherverbände (l’Union alle­mande des centrales et asso­cia­tions de consom­ma­teurs) consi­dère que cette pratique est illi­cite et dépose une action contre Meta Platforms Ireland pour viola­tion de la légis­la­tion alle­mande rela­tive à la protec­tion des données personnelles.

Cette action est intro­duite indé­pen­dam­ment de la viola­tion concrète du droit à la protec­tion des données d’une personne concer­née et sans mandat d’une telle personne.

Les deux premières instances judi­ciaires alle­mandes condamnent Meta, mais le Bundesgerichtshof doute de la qualité d’agir de l’association en raison de l’entrée en vigueur du RGPD après le dépôt de l’action, et plus spéci­fi­que­ment de l’art. 80 RGPD.

L’art. 80 RGPD (repré­sen­ta­tion des personnes concer­nées) prévoit ce qui suit :

« 1. La personne concer­née a le droit de manda­ter un orga­nisme, une orga­ni­sa­tion ou une asso­cia­tion à but non lucra­tif (…) pour qu’il intro­duise une récla­ma­tion en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’ob­te­nir répa­ra­tion visé à l’ar­ticle 82 lorsque le droit d’un État membre le prévoit.

2. Les États membres peuvent prévoir que tout orga­nisme, orga­ni­sa­tion ou asso­cia­tion visé au para­graphe 1 du présent article, indé­pen­dam­ment de tout mandat confié par une personne concer­née, a, dans l’État membre en ques­tion, le droit d’in­tro­duire une récla­ma­tion (…), et d’exer­cer les droits visés aux articles 78 et 79 s’il consi­dère que les droits d’une personne concer­née prévus dans le présent règle­ment ont été violés du fait du traitement. »

Le Bundesgerichtshof saisit ainsi la Cour de justice de l’Union euro­péenne (CJUE) d’une ques­tion préju­di­cielle. Celle-ci est amenée à déter­mi­ner si une asso­cia­tion, au sens de l’art. 80 par. 1 RGPD, peut agir contre un respon­sable du trai­te­ment en l’absence d’un mandat qui lui a été conféré à cette fin et indé­pen­dam­ment de la viola­tion de droits concrets des personnes concernées.

La CJUE commence par consta­ter que le droit alle­mand permet­tait déjà, avant l’entrée en vigueur du RGPD, aux asso­cia­tions de défense des inté­rêts des consom­ma­teurs d’agir en justice contre l’auteur présumé d’une atteinte à la protec­tion des données. Cette légis­la­tion natio­nale avait été adop­tée en appli­ca­tion de la Directive 2009/​22/​CE rela­tive aux actions en cessa­tion en matière de protec­tion des inté­rêts des consommateurs.

Dans son arrêt Fashion ID (résumé in LawInside​.ch/​805), la CJUE avait consi­déré que la Directive 95/​46 rela­tive à la protec­tion des données, précé­dent le RGPD, ne s’opposait pas à une telle régle­men­ta­tion nationale.

Premièrement, la CJUE souligne à titre limi­naire que la protec­tion des consom­ma­teurs peut être connexe à la protec­tion des données.

Deuxièmement, la CJUE se fonde sur la notion large de « personne concer­née », laquelle comprend les personnes iden­ti­fiables (cf. art. 4 par. 1 RGPD). Ainsi, l’association peut dési­gner unique­ment une caté­go­rie ou un groupe de personnes affec­tées par une viola­tion du RGPD puisqu’il s’agit alors de personnes identifiables.

La Cour souligne ensuite qu’il suffit que l’association « consi­dère » (selon les termes de l’art. 80 par. 2 RGPD) que les droits d’une personne concer­née sont violés. Ainsi, l’association n’a pas besoin de prou­ver le préju­dice réel subi par la personne concer­née. Il suffit de faire valoir que le trai­te­ment de données est suscep­tible d’affecter les droits de ces personnes.

Troisièmement, la CJUE en vient au raison­ne­ment téléo­lo­gique. En effet, elle retient que le fait d’habiliter des asso­cia­tions de défense des inté­rêts des consom­ma­teurs à intro­duire des actions visant à faire cesser des trai­te­ments contraires au RGPD, indé­pen­dam­ment de la viola­tion des droits d’une personne indi­vi­duel­le­ment et concrè­te­ment affec­tée par cette viola­tion, contri­bue incon­tes­ta­ble­ment à renfor­cer les droits des personnes concer­nées et à leur assu­rer un niveau élevé de protection.

L’exercice d’une action repré­sen­ta­tive serait d’ailleurs plus effi­cace que l’action d’une personne indi­vi­duel­le­ment et concrè­te­ment affec­tée par la viola­tion du RGPD.

Dans un dernier temps, la CJUE se fonde sur la Directive 2020/​1828 rela­tive aux actions repré­sen­ta­tives visant à proté­ger les inté­rêts collec­tifs des consom­ma­teurs. Cette direc­tive, qui abroge la Directive 2009/​22/​CE susmen­tion­née, n’est pas encore appli­cable en raison du délai de trans­po­si­tion qui court jusqu’au 25 juin 2023. Elle prévoit cepen­dant et de manière expresse que les actions repré­sen­ta­tives sont possibles pour toute viola­tion du RGPD (Annexe I, ch. 56).

Partant, l’art. 80 par. 2 RGPD ne s’oppose pas à une régle­men­ta­tion natio­nale qui permet à une asso­cia­tion de défense des inté­rêts des consom­ma­teurs d’agir en justice contre l’auteur présumé d’une atteinte à la protec­tion des données, et cela en l’absence d’un mandat qui lui a été conféré à cette fin et indé­pen­dam­ment de la viola­tion de droits concrets des personnes concernées.

Alors que tous les États membres de l’Union euro­péenne connaî­tront dès le 25 juin 2023 les actions repré­sen­ta­tives, qu’en est-il en Suisse ?

Le 10 décembre 2022, le Conseil fédé­ral a proposé au Parlement de modi­fier le Code de procé­dure civil afin de permettre les actions collectives.

Ce projet prétend d’abord vouloir étendre la possi­bi­lité d’action des orga­ni­sa­tions, comme prévu actuel­le­ment à l’art. 89 CPC. Néanmoins, et le Conseil fédé­ral l’admet (FF 2021 p. 15), cette action n’est prati­que­ment pas utili­sée. La modi­fi­ca­tion propo­sée (étendre le droit d’action à toute atteinte illi­cite, et non seule­ment aux atteintes à la person­na­lité) n’aurait ainsi à notre avis aucun impact.

Deuxièmement, le projet helvé­tique prévoit la créa­tion d’une action « visant à faire valoir un droit à répa­ra­tion » (art. 307b P‑CPC). Cela étant, cette action ne pour­rait s’exercer que lorsque dix personnes l’ont habi­li­tée (art. 307b P‑CPC, option d’adhésion). Ce n’est qu’à titre excep­tion­nel et unique­ment pour les tran­sac­tions qu’il sera possible que l’association repré­sente les personnes concer­nées qui n’auraient pas expres­sé­ment adhéré à l’action (art. 307h al. 2 P‑CPC, option de retrait).

De manière prévi­sible, ce projet va ainsi moins loin que le droit euro­péen, lequel n’exige pas une telle option d’adhésion (cf. art. 8 par. 3 et 9 par. 2 Directive 2020/​1828).

Les consom­ma­teurs suisses pour­ront ainsi regar­der, de loin, les class actions RGPD proli­fé­rer, en atten­dant que le droit suisse évolue à la vitesse qui est la sienne.