Une règlementation nationale prévoyant un mécanisme d’action représentative permettant à des associations de défense des consommateurs d’agir en justice contre un auteur présumé d’une atteinte à la protection des données à caractère personnel est conforme au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (28 avril)
Arrêt Meta Platforms Ireland, aff. C-319/20
Saisie d’un renvoi préjudiciel par le Bundesgerichtshof (Allemagne), la Cour de justice de l’Union européenne relève qu’une règlementation nationale permettant à une association de défense des intérêts des consommateurs d’intenter une action en justice à l’encontre d’un auteur présumé d’une atteinte à la protection des données à caractère personnel n’est pas contraire au RGPD. Elle précise que la notion d’« organisme ayant la qualité pour agir », telle qu’énoncée par le RGPD, englobe les associations de défense des intérêts des consommateurs dans la mesure où elles poursuivent un objectif d’intérêt public. Ainsi, en dépit de l’absence de mandat conféré à l’association pour agir en justice et indépendamment de la violation de droits concrets des personnes concernées, seul doit être pris en compte le fait que le traitement des données à caractère personnel puisse affecter les droits que le RGPD confère aux personnes physiques identifiées ou identifiables. En outre, la Cour considère que ces actions représentatives contre de telles violations peuvent être exercées par l’intermédiaire de règles visant à protéger les consommateurs ou à lutter contre des pratiques commerciales déloyales, dès lors que la violation de ces dernières peut être connexe à la violation d’une règle relative à la protection des données à caractère personnel. (LT)