Le litige oppose Meta Platforms Ireland Limited à Bundesverband der Verbraucherzentralen und Verbraucherverbände, une association allemande de protection des consommateurs: le différend concerne des pratiques présumées de non-conformité au RGPD (Règlement général sur la protection des données) sur la plateforme Facebook, notamment dans un espace spécifique appelé “App-Zentrum” (Espace Applications). Cet espace proposait des jeux tiers, tels que « The Ville », « Diamond Dash », ou « Scrabble », indiquant les types de données personnelles que les applications pouvaient collecter et exploiter (informations générales, adresses e-mail, statuts, photos, etc.).
Lors d’une interaction dans cet espace, les utilisateurs étaient informés succinctement que, en cliquant sur un bouton tel que « Jouer immédiatement », les applications obtiendraient des droits sur leurs données personnelles et pourraient publier des informations en leur nom, notamment leurs scores.
Ces pratiques ont été jugées problématiques par le Bundesverband, qui a contesté :
1. La présentation déloyale des informations sous le bouton “Jouer immédiatement”, insuffisante pour garantir un consentement valable.
2. Les clauses générales introduites dans les conditions d’utilisation, jugées défavorables aux utilisateurs.
Le Landgericht Berlin (tribunal régional) avait donné raison à l’association de consommateurs, en interdisant ces pratiques et cette décision a été confirmée en appel.
Meta Platforms Ireland Limited a alors introduit un pourvoi en révision devant le Bundesgerichtshof (Cour fédérale de justice allemande), qui a décidé de surseoir à statuer et de poser des questions préjudicielles à la CJUE (Cour de justice de l’Union européenne).
Le litige s’inscrit dans le cadre de l’interprétation de l’article 80, paragraphe 2, du RGPD, qui autorise ou non une association à agir pour faire sanctionner des violations de la protection des données, indépendamment de la violation concrète des droits d’une personne concernée et sans mandat explicite d’une telle personne.
La question est de savoir si une association de consommateurs, comme le Bundesverband, peut invoquer une violation du RGPD en cas de non-respect des obligations d’information (articles 12 et 13 du RGPD), même en l’absence d’un traitement concret de données ayant affecté une personne identifiable.
La CJUE a déjà clarifié certains points dans l’affaire Meta Platforms Ireland (C-319/20): elle avait jugé qu’une réglementation nationale pouvait permettre à une association d’agir dans de telles circonstances, sous réserve d’être conforme au RGPD et dans le cadre d’un traitement susceptible d’affecter les droits de personnes identifiables.
Malgré cette jurisprudence de 2022, des ambiguïtés subsistent quant aux notions suivantes, à savoir, quant, au champ d’application du terme « traitement » dans le RGPD, à la notion de violation « du fait du traitement » selon l’article 80(2) et au lien entre les infractions aux obligations d’information et les droits des personnes concernées.
En conséquence, le Bundesgerichtshof a soumis une nouvelle question préjudicielle à la CJUE, pour obtenir des clarifications sur ces points.
QUESTION(S) PREJUDICIELLE(S) │ SYNTHESE
Une association de consommateurs peut-elle invoquer une violation des obligations d’information prévues par les articles 12 et 13 du RGPD sur la finalité et les destinataires des données, en affirmant que cela constitue une violation des droits d’une personne concernée «du fait du traitement», au sens de l’article 80(2) du RGPD, même en l’absence d’un mandat ou d’une violation concrète des droits individuels ?
1. Notion de traitement au sens du RGPD
Le Bundesgerichtshof s’interroge sur la portée du terme « traitement » (article 4(2) du RGPD) en lien avec :
– les obligations d’information préalables aux utilisateurs (articles 12 et 13). Ces obligations, bien qu’étant antérieures à tout traitement effectif des données, pourraient être considérées comme partie intégrante du processus de traitement.
– l’objectif du RGPD, qui est d’assurer un niveau élevé de protection des données. Inclure ces obligations dans la définition du « traitement » permettrait d’appliquer plus largement les garanties du règlement.
2. Lien entre violation des obligations d’information et droits des personnes concernées
La question ici est de savoir si une violation d’une obligation d’information constitue une atteinte aux droits d’une personne concernée, en vertu du RGPD. Le Bundesgerichtshof estime que :
– fournir des informations claires est une condition préalable essentielle à l’exercice des droits des personnes concernées (e.g., consentement éclairé, opposition légitime).
– par conséquent, une association pourrait valablement agir en invoquant une telle violation si elle démontre que des personnes identifiables auraient pu être affectées.
3. Marges discrétionnaires laissées aux États membres par l’article 80(2)
L’article 80(2) permet aux États membres d’introduire des mesures nationales autorisant des associations, comme le Bundesverband, à agir devant les juridictions civiles pour faire respecter le RGPD. Toutefois :
– Ce pouvoir est encadré par des conditions strictes, notamment que l’action de l’association soit liée à une violation des droits de personnes physiques tirés du RGPD.
– La juridiction allemande demande à la CJUE de clarifier les limites de ce cadre discrétionnaire.
4. Protection des droits fondamentaux
Le Bundesgerichtshof souligne que le RGPD vise à protéger les droits fondamentaux des individus, notamment le droit à la vie privée (article 7 de la Charte des droits fondamentaux de l’UE) et la protection des données personnelles (article 8 de la Charte). Dans ce contexte, il semble pertinent d’interpréter largement les notions de « violation du fait du traitement » et de « traitement ».
MOTIVATION DE LA COUR
La question principale posée à la CJUE portait sur l’interprétation de l’article 80, paragraphe 2, du RGPD, en lien avec la possibilité pour une association de défense des consommateurs (sans mandat direct d’une personne concernée) d’intenter une action représentative en invoquant une violation des droits prévus par le RGPD. Il s’agissait de savoir si cette action pouvait être fondée sur une violation de l’obligation d’information du responsable de traitement (articles 12 et 13 du RGPD). Plus précisément : une telle violation constitue-t-elle une “violation des droits d’une personne concernée du fait du traitement,” au sens de l’article 80, paragraphe 2, RGPD ?
La Cour a suivi les conclusions de l’Avocat Général qui a considéré que l’article 80, paragraphe 2, RGPD devait être interprété comme suit, à savoir, d’une part, qu’une entité habilitée (comme une association de consommateurs) peut introduire une action représentative en alléguant la violation d’une obligation d’information, même si cette violation a lieu avant le traitement effectif des données personnelles et d’autre part, qu’il suffisait que cette obligation d’information soit liée à un traitement et qu’au cas de non-respect, le traitement devienne potentiellement illicite.
1. La notion de traitement au sens de l’article 4, point 2, RGPD
– L’Avocat Général souligne que la notion de « traitement » dans le RGPD est définie très largement et englobe toute opération touchant aux données personnelles, y compris leur collecte, consultation, ou disponibilité.
– Cependant, il explique que les obligations d’information prévues aux articles 12 et 13 du RGPD ne constituent pas elles-mêmes un traitement, mais sont des conditions préalables de licéité d’un traitement.
2. La violation des droits « du fait du traitement » (article 80, paragraphe 2, RGPD)
– L’Avocat Général interprète l’expression « du fait du traitement » comme n’imposant pas de preuve d’un préjudice réel. Ce qui importe est l’existence d’un lien entre la violation alléguée (obligation d’information) et le traitement des données personnelles.
– L’absence d’informations claires sur la finalité du traitement ou les destinataires des données pourrait directement affecter le caractère licite d’un traitement, car elle empêche l’utilisateur de donner un consentement éclairé.
3. Recevabilité des actions représentatives
En s’appuyant sur l’arrêt C-319/20 (Meta Platforms Ireland) de 2022, l’Avocat Général considère qu’une action représentative au titre de l’article 80, paragraphe 2, RGPD peut être intentée sans mandat individuel et sans qu’une violation concrète des droits d’une personne concernée soit établie; ce mécanisme visant à renforcer la protection des droits des consommateurs et à prévenir les risques liés à des pratiques susceptibles d’affecter des groupes de personnes.
La Cour le suit dans son analyse en considérant que la notion de personne concernée (article 80, paragraphe 2) inclut les personnes identifiées ou identifiables, même si elles ne sont pas nommées directement dans l’action intentée.
Par ailleurs, la CJUE rappelle que la violation des obligations d’information constitue un manquement potentiel aux droits des personnes, car elle empêche une transparence essentielle pour une collecte et un traitement licites. Par suite, une association peut agir sans démontrer un préjudice concret pour une personne spécifique: il lui suffit de prouver que le traitement en question est susceptible d’affecter les droits des personnes concernées.
4. Lien entre manquement à l’obligation de transparence et “violation du fait du traitement”
La CJUE relève que l’absence ou l’insuffisance des informations au moment de la collecte :
– compromet directement le droit à une information transparente, corollaire essentiel du droit à la protection des données.
– est susceptible de rendre le traitement illicite, notamment si la personne concernée n’a pu consentir valablement faute d’une information suffisante.
Par conséquent, une violation des articles 12 et 13 peut être qualifiée de violation des droits de la personne “du fait du traitement”, dès lors que ces manquements affectent la transparence et, potentiellement, la licéité du traitement.
5. Rôle des associations et dimension préventive
– L’action représentative prévue à l’article 80, paragraphe 2, vise à renforcer la protection des droits des personnes concernées par un mécanisme préventif, sans nécessiter la preuve d’un dommage concret pour une personne identifiée.
– Une violation de l’obligation d’information est donc suffisante pour légitimer une action représentative d’une association comme l’Union fédérale, même si une personne concernée spécifique n’a pas été identifiée.
Au regard de ce qui précède, il sera permis de considérer que la CJUE renforce la capacité des associations à agir de manière proactive, sans mandat individuel, contre des atteintes potentielles au droit à la protection des données, leur permettant ainsi de devenir des acteurs clés pour garantir le respect du RGPD, notamment en cas de pratiques massives impliquant des violations systématiques des obligations d’information.
Les responsables de traitement devront donc bien veiller à s’assurer que les informations fournies dès le moment de la collecte de données respectent strictement les exigences de transparence et de clarté imposées par les articles 12 et 13, dès lors qu’une information lacunaire ou confuse peut exposer à des actions en cessation, même en l’absence d’un dommage concret prouvé.
Dans cette affaire, la CJUE réaffirme l’importance du principe de transparence comme pilier du RGPD. Toute défaillance dans l’information donnée aux personnes concernées peut remettre en cause la licéité d’un traitement.
PRECEDENTS JURISPRUDENTIELS D’INTERET
Meta Platforms Ireland (C-319/20, 2022) : l’article 80, paragraphe 2, RGPD permet une action en justice d’une association de consommateurs sans mandat, dès lors qu’un traitement est “susceptible d’affecter” les droits des personnes concernées, même en l’absence de violation concrète.
Valsts ieņēmumu dienests (C-175/20, 2022) : une opération qui “entame” un processus de collecte de données peut constituer un traitement. Ce raisonnement a été utilisé dans le litige C-757/22 pour inclure les informations préalables au traitement dans la notion de “traitement”.