Dernières actualités : données personnelles

Les associations de consommateurs peuvent poursuivre une entreprise pour un manque d’information préalable

Dans un arrêt publié ce jour et à l’occasion d’une affaire opposant Meta à une association allemande de consommateur, la Cour de Justice de l’UE a été amenée à préciser les capacités d’action des associations de consommateurs ou de toute autre entité habilitée à introduire des actions représentatives au titre du RGPD. En ce sens, l’article 80 du RGPD prévoit notamment que : « 2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

S’agissant de cet article 80 du RGPD, la CJUE a déjà eu l’occasion de préciser en 2022 qu’une action est possible en l’absence de tout mandat contre le responsable d’un traitement même en invoquant un fondement autre que le RGPD dès lors qu’il existe une violation affectant ou pouvant affecter les droits « RGPD » des personnes concernées (arrêt C-319/20). Cette fois,  la question portait sur le point de savoir si la condition de violation des droits de la personne « du fait de traitement » est remplie lorsqu’une telle action est fondée sur la violation de l’obligation incombant au responsable du traitement d’informer les personnes concernées.

Selon la Cour de Justice, « la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles-ci. »

Disponible sur: curia.europa.eu Le dossier complet est également disponible.

Dans un arrêt C-741/21 du 11 avril 2024, la Cour de Justice de l’UE continue de bâtir le régime de responsabilité lié à la protection des données personnelles.

Dans ce nouvel arrêt, elle a estimé que:
* une violation de dispositions de ce règlement qui confèrent des droits à la personne concernée ne suffit pas, à elle seule, pour constituer un « dommage moral », au sens de cette disposition, indépendamment du degré de gravité du préjudice subi par cette personne (solution déjà dégagée par l’arrêt C-300/21, et notamment confirmée par l’arrêt C-687/21) ;
* il ne saurait suffire au responsable du traitement, pour être exonéré de sa responsabilité en vertu du paragraphe 3 de l’article 82, d’invoquer que le dommage en cause a été provoqué par la défaillance d’une personne agissant sous son autorité;
* pour déterminer le montant des dommages-intérêts dus au titre de la réparation d’un dommage fondée sur cette disposition, il n’y a pas lieu, d’une part, d’appliquer mutatis mutandis les critères de fixation du montant des amendes administratives qui sont prévus à l’article 83 de ce règlement et, d’autre part, de tenir compte du fait que plusieurs violations dudit règlement concernant une même opération de traitement affectent la personne demandant réparation.

Disponible sur: curia.europa.eu.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Selon l’avocat général Pikamäe, l’autorité de contrôle est obligée d’intervenir lorsqu’elle constate une violation dans le cadre de l’examen d’une réclamation.

Dans l’affaire dont il est question, le commissaire à la protection des données a constaté une violation de la protection des données prévue par le règlement général sur la protection des données (RGPD), mais a conclu qu’il n’y avait pas lieu d’intervenir à l’encontre de la Caisse d’épargne, qui avait déjà pris des mesures disciplinaires à l’encontre de l’employée concernée. L’avocat général Priit Pikamäe estime, au contraire, que l’autorité de contrôle a l’obligation d’intervenir lorsqu’elle constate une violation de données à caractère personnel dans le cadre de l’examen d’une réclamation. En particulier, elle serait tenue de définir la ou les mesures correctrices les plus adéquates pour remédier à la violation et faire respecter les droits de la personne concernée.

À cet égard, le RGPD exigerait, tout en laissant un certain pouvoir discrétionnaire à l’autorité de contrôle, que ces mesures soient appropriées, nécessaires et proportionnées. Il en résulterait, d’un côté, que le pouvoir discrétionnaire dans le choix des moyens est limité lorsque la protection requise ne peut être assurée qu’en prenant des mesures précises 2 et, de l’autre côté, que l’autorité de contrôle pourrait, sous certaines conditions, renoncer aux mesures énumérées dans le RGPD lorsque c’est justifié par les circonstances spécifiques du cas particulier. Il pourrait en être ainsi notamment lorsque le responsable du traitement a pris certaines mesures de sa propre initiative. En tout état de cause, la personne concernée n’aurait pas le droit d’exiger qu’une mesure déterminée soit prise. Toujours selon l’avocat général, ces principes s’appliqueraient également au régime des amendes administratives.

Disponible (en anglais) sur: curia.europa.eu Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.