Le 28 avril 2022 la Cour de justice de l’Union européenne (« CJUE ») a rendu une décision précisant que les associations de consommateurs peuvent introduire des actions contre des atteintes à la protection des données à caractère personnel au même titre que les personnes concernées.
Dans un litige qui opposait Meta Platforms Ireland Limited (Facebook) à une association allemande de consommateurs (la Bundesverband der Verbraucherzentralen und Verbraucherverbände), la CJUE indique que :
« l’article 80, paragraphe 2 du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défenses des intérêts des consommateurs d’agir en justice, en l’absence d’un mandant qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concernée est susceptible d’affecter les droits que des personnes physique identifiées ou identifiables tirent de ce règlement » (point 83 de l’arrêt).
Une telle action peut par conséquent être introduite indépendamment d’une violation concrète du droit à la protection des données d’une personne concernée et en l’absence de mandat à cette fin.
La CJUE renvoie aux États Membres de l’Union européenne le choix d’introduire une telle faculté procédurale dans le droit national.
En France, la possibilité d’exercer ce type d’actions est prévue par l’article 37 de la loi Informatique et Libertés.
Sous réserve des conditions procédurales propres aux législations nationales, les associations de consommateurs disposent désormais d’une voie privilégiée pour la défense des personnes concernées au titre de la protection des données personnelles.
