CJUE / Les associations des consommateurs peuvent agir en cessation de la violation des données personnelles

Pour mémoire, le RGPD dispose que toute personne physique dispose d’un droit fondamental d’agir contre un opérateur économique afin d’assurer la protection de ses données personnelles. Ce droit n’est pourtant pas limité à l’action individuelle mais s’étend également aux actions collectives, notamment celles intentées par des associations de consommateurs en cessation de violation des données personnelles. Ce qui a été récemment confirmé par un arrêt de la Cour de justice de l’Union Européenne du 28 avril dernier (C-319-20).

Dans cette affaire, une association allemande de défense des consommateurs engage une action en cessation à l’encontre d’une société gérant la plate-forme Internet Facebook. Celle-ci a mis à la disposition des utilisateurs des jeux gratuits fournis par des tiers. En revanche, la société en cause indique que la seule utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données personnelles et de publier les informations ainsi collectées.  

Ces faits ont incité l’association à agir en justice reprochant à la société exploitant la plateforme Facebook de procéder à la collecte et au traitement des données personnelles sans obtenir de consentement des personnes concernées. C’est ainsi qu’une question préjudicielle a été posée à la Cour de Justice sur la recevabilité d’une telle action lorsque l’association demanderesse n’a reçu aucun mandat des consommateurs.

En réponse à cette question, la CJUE confirme que les États membres peuvent prévoir un mécanisme d’action représentative contre l’auteur présumé d’une violation des droits aux données personnelles, à condition de respecter un certain nombre d’exigences.

Si cet arrêt ne met pas en cause des organismes d’assurance, il porte cependant une interprétation des règles générales du RGPD applicables à tout opérateur économique, quelle que soit sa qualification. La haute juridiction européenne confirme en effet que : 

• une association à but non lucratif peut agir dans le cadre de la protection des données personnelles, à condition que son objectif statutaire soit d’intérêt public et qu’elle soit active dans le domaine de la protection des droits des personnes concernées (art. 80.1 RGPD) ;
• cette action est valable lorsque l’association considère que les droits d’une personne concernée ont été violés du fait du traitement de ces données (art. 80.2 RGPD) ;
• une identification individuelle et préalable de cette personne n’est en effet pas nécessaire, la simple désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement étant suffisante (art. 80.2 RGPD) ;
• l’action représentative n’est pas soumise à l’existence d’une violation concrète. Il suffit en effet de faire valoir que le traitement de données concerné est susceptible d’affecter les droits à la protection des données personnelles des personnes physiques, identifiées ou identifiables, sans qu’il soit nécessaire de prouver un préjudice réel.

Consultez ici l’arrêt de la CJUE : ARRET DU 28. 4. 2022 – AFFAIRE C-319/20