les associations de consommateurs attaquent en justice
Nous vous avons déjà parlé à plusieurs reprises du RGPD, et de l’importance d’être en conformité avec cette réglementation. Dernièrement, c’est Google Analytics qui en a fait les frais. Aujourd’hui, un nouveau cap a été passé.
La Cour de Justice de l’Union Européenne a statué via un arrêt, que même en dehors d’une action collective, les associations de consommateurs pouvaient attaquer au titre du RGPD. Ce nouvel arrêt pourrait avoir un impact concret sur l’implémentation du RGPD.
Les faits
La société Meta Platforms Ireland Ltd (Facebook), est responsable du traitement des données personnelles des utilisateurs de Facebook au sein de l’Union Européenne. C’est l’autorité chef de file.
La Fédération des associations allemandes de consommateurs a lancé une action en justice contre la société devant les juridictions allemandes en raison de manquements du respect du RGPD. Ils estiment que le groupe n’a pas respecté ses obligations quant à la protection des données personnelles des utilisateurs.
C’est plus spécifiquement la plateforme de jeux « App center », qui permet de jouer à des jeux gratuits directement sur les réseaux sociaux, qui est mise en cause. L’utilisation de cette application permettait à la société d’obtenir un certain nombre de données personnelles des utilisateurs, violant les règles imposées par le RGPD.
La problématique soulevée par cette affaire ne concerne pas tant la violation du RGPD par le groupe Meta, mais plus la recevabilité de l’action en justice initiée par la Fédération allemande de consommateurs. Cette dernière a agi de manière totalement autonome, sans être mandatée par un individu dont les droits auraient spécifiquement été bafoués.
Une telle action est en effet possible par la législation allemande, mais elle sort cependant du cadre imposé par la réglementation du RGPD, qui elle est européenne.
Le RGPD offre bien la possibilité pour les groupes de consommateurs d’intenter des actions en justice, mais en théorie seulement si elle a été mandatée par des individus. C’est en tout cas ce que dit l’article 80 de la réglementation RGPD.
C’est cet argument qu’a développé le groupe Meta, estimant que cette action en justice sortait du cadre du RGPD, et n’était donc pas recevable.
La Cour de justice de l’union européenne a alors été saisie par la Cour Fédérale Allemande, et dans un arrêt publié le 28 avril, a rejeté l’argument avancé par le groupe Meta. Elle estime ainsi que les états membres sont libres de fixer des règles supplémentaires, tant que celles-ci n’entrent pas en contradiction avec les objectifs du RGPD.
Une décision qui pourrait changer la donne pour les associations de consommateurs
Cette décision pourrait mener à un changement profond : la possibilité pour les associations de mener des actions en justice sans avoir été mandatées pourrait leur offrir un pouvoir d’action bien plus important, trouver un individu prêt à mandater l’association pour mener une action en justice n’est pas toujours simple. Ce changement pourrait offrir aux associations une autonomie accrue. Cependant, ce constat est à tempérer, car une telle démarche ne sera possible que dans les pays dont la réglementation offre la possibilité aux associations de consommateurs de mener une telle action, comme c’est le cas en Allemagne.
L’avis de Pérenne ‘IT
Cette décision, si elle était amenée à se généraliser, pourrait marquer un tournant dans l’application de la réglementation RGPD, et permettre un meilleur contrôle de son application. Il est de plus en plus indispensable pour les entreprises de respecter le RGPD. Pérenne ’IT peut vous accompagner dans cette démarche.