ARRÊT DE LA COUR (quatrième chambre)
11 juillet 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 12, paragraphe 1, première phrase – Transparence des informations – Article 13, paragraphe 1, sous c) et e) – Obligation d’information du responsable du traitement – Article 80, paragraphe 2 – Représentation des personnes concernées par une association de défense des intérêts des consommateurs – Action représentative intentée en l’absence d’un mandat
et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur la violation par le responsable du traitement de son obligation d’information – Notion de “violation des droits d’une personne concernée du fait du traitement” »
Dans l’affaire C‑757/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 10 novembre 2022, parvenue à la Cour le 15 décembre 2022, dans la procédure
Meta Platforms Ireland Ltd, anciennement Facebook Ireland Ltd,
contre
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV,
LA COUR (quatrième chambre),
composée de M. C. Lycourgos, président de chambre, Mme O. Spineanu-Matei, MM. J.-C. Bonichot, S. Rodin et Mme L. S. Rossi (rapporteure), juges,
avocat général : M. J. Richard de la Tour,
greffier : M. D. Dittert, chef d’unité,
vu la procédure écrite et à la suite de l’audience du 23 novembre 2023,
considérant les observations présentées :
– pour Meta Platforms Ireland Ltd, par Mes M. Braun, H.‑G. Kamann et V. Wettner, Rechtsanwälte,
– pour Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV, par M. P. Wassermann, Rechtsanwalt,
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour le gouvernement portugais, par Mmes P. Barros da Costa, J. Ramos et C. Vieira Guerra, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 25 janvier 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lu en combinaison avec l’article 12,
paragraphe 1, première phrase, et l’article 13, paragraphe 1, sous c) et e), de ce règlement.
2 Cette demande a été présentée dans le cadre d’un litige opposant Meta Platforms Ireland Ltd, anciennement Facebook Ireland Ltd, dont le siège social se trouve en Irlande, au Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV (Union fédérale des centrales et associations de consommateurs, Allemagne) (ci-après l’« Union fédérale ») au sujet de la violation, par Meta Platforms Ireland, de la législation allemande relative à la protection des données
personnelles constituant, en même temps, une pratique commerciale déloyale, une violation d’une loi en matière de protection des consommateurs et une violation de l’interdiction de l’utilisation de conditions générales nulles.
Le cadre juridique
Le RGPD
3 Les considérants 10, 13, 39, 58, 60 et 142 du RGPD énoncent :
« (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, y compris les micro, petites et moyennes entreprises, pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et
d’obligations et de responsabilités pour les responsables du traitement et les sous‑traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. [...]
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère
personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère
personnel les concernant qui font l’objet d’un traitement. [...]
[...]
(58) Le principe de transparence exige que toute information adressée au public ou à la personne concernée soit concise, aisément accessible et facile à comprendre, et formulée en des termes clairs et simples et, en outre, lorsqu’il y a lieu, illustrée à l’aide d’éléments visuels. Ces informations pourraient être fournies sous forme électronique, par exemple via un site Internet lorsqu’elles s’adressent au public. Ceci vaut tout particulièrement dans des situations où la multiplication des acteurs
et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelle fin, comme dans le cas de la publicité en ligne. [...]
[...]
(60) Le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités. Le responsable du traitement devrait fournir à la personne concernée toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte dans lesquels les données à caractère personnel sont traitées. [...]
[...]
(142) Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle, exerce le
droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d’un État membre, exerce le droit d’obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d’introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s’il a des raisons de considérer que
les droits d’une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée. »
4 L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :
« Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. »
5 Aux termes de l’article 4, points 1, 2, 9 et 11, dudit règlement :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
9) “destinataire”, la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. [...]
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
6 L’article 5 du même règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...]
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
7 L’article 6, paragraphe 1, sous a), du RGPD, intitulé « Licéité du traitement », prévoit :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ».
8 Le chapitre III du RGPD, qui comporte les articles 12 à 23 de celui-ci, est intitulé « Droits de la personne concernée ».
9 L’article 12 de ce règlement, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce, à son paragraphe 1 :
« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par
d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »
10 L’article 13 dudit règlement, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1, sous c) et e) :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent [...] »
11 Le chapitre VIII du même règlement, qui comporte les articles 77 à 84 de celui-ci, est intitulé « Voies de recours, responsabilité et sanctions ».
12 L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
13 L’article 78 de ce règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
14 L’article 79 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
15 L’article 80 du même règlement, intitulé « Représentation des personnes concernées », est ainsi libellé :
« 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits
visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.
2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du
fait du traitement. »
16 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », dispose, à son paragraphe 1 :
« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »
17 L’article 84 du RGPD, intitulé « Sanctions », énonce, à son paragraphe 1 :
« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »
Le droit allemand
La loi relative aux actions en cessation
18 Aux termes de l’article 2 du Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (loi sur les actions en cessation de violations du droit de la consommation et d’autres violations), du 26 novembre 2001 (BGBl. 2001 I, p. 3138), dans sa version applicable au litige au principal (ci-après la « loi relative aux actions en cessation ») :
« (1) Quiconque enfreint, autrement que par l’utilisation ou la recommandation de conditions générales, des règles de protection des consommateurs (lois sur la protection des consommateurs) peut donner lieu à un ordre de cessation pour l’avenir et de cessation immédiate dans l’intérêt de la protection des consommateurs. [...]
(2) Au sens de la présente disposition, on entend par lois sur la protection des consommateurs en particulier :
[...]
11. les règles définissant la licéité
a) de la collecte de données à caractère personnel d’un consommateur par une entreprise ou
b) le traitement ou l’utilisation de données à caractère personnel qui ont été collectées par un entrepreneur à propos d’un consommateur,
lorsque les données sont collectées, traitées ou utilisées à des fins de publicité, d’enquête de marché et d’opinion, d’exploitation d’une agence de renseignements, d’établissement de profils de personnalité et d’utilisation, de tout autre commerce de données ou à des fins commerciales analogues. »
19 Le Bundesgerichtshof (Cour fédérale de justice, Allemagne) indique que, en vertu de l’article 3, paragraphe 1, première phrase, point 1, de la loi relative aux actions en cessation, les organismes ayant qualité pour agir, au sens de l’article 4 de cette loi, peuvent, d’une part, conformément à l’article 1er de ladite loi, demander la cessation de l’utilisation de conditions générales nulles en vertu de l’article 307 du Bürgerliches Gesetzbuch (code civil) et, d’autre part, demander la cessation
des violations des lois sur la protection des consommateurs, au sens de l’article 2, paragraphe 2, de la même loi.
La loi contre la concurrence déloyale
20 L’article 3, paragraphe 1, du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (BGBl. 2004 I, p. 1414), dans sa version applicable au litige au principal (ci-après la « loi contre la concurrence déloyale »), prévoit :
« Les pratiques commerciales déloyales sont illicites. »
21 L’article 3a de la loi contre la concurrence déloyale est ainsi libellé :
« Commet un acte déloyal celui qui enfreint une disposition légale destinée, notamment, à réglementer le comportement sur le marché dans l’intérêt de ses acteurs dès lors que cette infraction est susceptible d’affecter sensiblement les intérêts des consommateurs, des autres acteurs du marché ou des concurrents. »
22 L’article 8 de cette loi énonce :
« (1) Toute pratique commerciale illicite en vertu de l’article 3 ou de l’article 7 peut donner lieu à une injonction de cessation et, en cas de risque de récidive, à un ordre de cessation ou interdiction. [...]
[...]
(3) Les injonctions visées au paragraphe 1 peuvent être demandées :
[...]
3. par les entités qualifiées qui apportent la preuve qu’elles figurent sur la liste des entités qualifiées, conformément à l’article 4 de [la loi relative aux actions en cessation] [...] »
La loi sur les médias électroniques
23 Le Bundesgerichtshof (Cour fédérale de justice) indique que l’article 13, paragraphe 1, du Telemediengesetz (loi sur les médias électroniques), du 26 février 2007 (BGBl. 2007 I, p. 179), était applicable jusqu’à l’entrée en vigueur du RGPD. Depuis cette date, cette disposition a été remplacée par les articles 12 à 14 de ce règlement.
24 Aux termes de l’article 13, paragraphe 1, première phrase, de la loi sur les médias électroniques :
« Dès le début de l’utilisation, il appartient au fournisseur de services d’informer l’utilisateur sous une forme globalement compréhensible du mode, de l’étendue et de la finalité de la collecte et de l’utilisation de données à caractère personnel ainsi que du traitement de ses données dans les États ne relevant pas du champ d’application de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des
données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), dans la mesure où il n’en a pas déjà été informé. »
Le litige au principal et la question préjudicielle
25 Meta Platforms Ireland, qui gère l’offre des services du réseau social en ligne Facebook dans l’Union, est le responsable du traitement de données à caractère personnel des utilisateurs de ce réseau social dans l’Union. Facebook Germany GmbH, qui a son siège en Allemagne, promeut sous l’adresse Internet www.facebook.de la vente d’espaces publicitaires. La plate-forme Internet Facebook contenait, notamment à l’adresse Internet www.facebook.de, un espace appelé « App-Zentrum » (Espace Applications)
sur lequel Meta Platforms Ireland mettait à la disposition des utilisateurs des applications de jeux gratuites fournies par des tiers. Lors de la consultation de cet espace, l’utilisateur était informé qu’en utilisant certaines de ces applications, il permettait à celles-ci de collecter diverses données à caractère personnel et qu’il les autorisait à publier en son nom certaines de ces données, telles que son score ainsi que, pour l’un des jeux en cause, son statut et ses photos. Il était
également informé qu’en utilisant les applications concernées, il acceptait les conditions générales de ces applications et leur politique en matière de protection des données.
26 L’Union fédérale, organisme ayant qualité pour agir au titre de l’article 4 de la loi relative aux actions en cessation, a estimé que les informations fournies par les applications de jeux concernées sur l’Espace Applications étaient déloyales, notamment en ce qu’elles ne respectaient pas les conditions légales d’obtention d’un consentement valable de l’utilisateur en vertu des dispositions régissant la protection des données à caractère personnel. En outre, elle a considéré que les informations
selon lesquelles ces applications étaient autorisées à publier au nom des utilisateurs certaines de leurs données à caractère personnel constituaient une condition générale qui défavorisait indûment ceux-ci.
27 Dans ce contexte, l’Union fédérale a introduit devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne) une action en cessation, fondée sur l’article 3a de la loi contre la concurrence déloyale, l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation ainsi que le code civil, afin notamment d’interdire à Meta Platforms Ireland de présenter dans l’Espace Applications des applications de jeux telles que les applications concernées. Cette action
était introduite indépendamment de la violation concrète du droit à la protection des données d’une personne concernée et sans mandat d’une telle personne.
28 Le Landgericht Berlin (tribunal régional de Berlin) a fait droit aux conclusions de l’Union fédérale. L’appel interjeté par Meta Platforms Ireland devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne) a été rejeté. Meta Platforms Ireland a, alors, introduit devant la juridiction de renvoi un recours en Revision contre la décision de rejet adoptée par la juridiction d’appel.
29 La juridiction de renvoi a considéré que l’action de l’Union fédérale était fondée, dans la mesure où Meta Platforms Ireland avait enfreint l’article 3a de la loi contre la concurrence déloyale ainsi que l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation et où elle avait utilisé une condition générale nulle, au sens de l’article 1er de la loi relative aux actions en cessation.
30 Toutefois, cette juridiction a nourri des doutes quant à la recevabilité de l’action de l’Union fédérale. En effet, elle a considéré qu’il n’était pas exclu que l’Union fédérale, qui avait bien qualité pour agir à la date de l’introduction de son recours – sur le fondement de l’article 8, paragraphe 3, de la loi contre la concurrence déloyale et de l’article 3, paragraphe 1, première phrase, point 1, de la loi relative aux actions en cessation – avait perdu cette qualité en cours d’instance, à la
suite de l’entrée en vigueur du RGPD et, notamment, de l’article 80, paragraphes 1 et 2, ainsi que de l’article 84, paragraphe 1, de celui-ci. Si tel était le cas, la juridiction de renvoi aurait dû accueillir le recours en Revision introduit par Meta Platforms Ireland et rejeter l’action en cessation de l’Union fédérale, étant donné que, selon les dispositions procédurales pertinentes du droit allemand, la qualité pour agir doit persister jusqu’à la fin de la dernière instance.
31 Ainsi, par décision du 28 mai 2020, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer et de poser à la Cour une question préjudicielle relative à l’interprétation de l’article 80, paragraphes 1 et 2, et de l’article 84, paragraphe 1, du RGPD.
32 Par son arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322), la Cour a répondu à cette question que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une
atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.
33 Au vu de cet arrêt, la juridiction de renvoi considère que la qualité pour agir d’une entité au sens de l’article 80, paragraphe 2, du RGPD n’est pas soumise à la condition qu’une telle entité procède à l’identification individuelle préalable de la personne concernée par un traitement de données présumé contraire aux dispositions du RGPD. La notion de « personne concernée », au sens de l’article 4, point 1, de ce règlement, couvrirait ainsi non seulement une « personne physique identifiée », mais
également une « personne physique identifiable », à savoir une personne physique « qui peut être identifiée », directement ou indirectement, par référence à un identifiant, tel que, notamment, un nom, un numéro d’identification, des données de localisation ou un identifiant en ligne. Dans ces conditions, la désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement pourrait être suffisante aux fins de l’introduction d’une action représentative. En l’occurrence,
l’Union fédérale aurait procédé à l’identification d’un tel groupe ou d’une telle catégorie.
34 Toutefois, selon la juridiction de renvoi, l’arrêt précité de la Cour n’a pas examiné la condition énoncée à l’article 80, paragraphe 2, du RGPD, selon laquelle, afin d’exercer les voies de recours prévues par ce règlement, une association de défense des intérêts des consommateurs doit considérer que les droits d’une personne concernée prévus dans ledit règlement ont été violés « du fait du traitement ».
35 D’une part, cette juridiction considère qu’il ne ressort pas clairement de cet arrêt si une violation de l’obligation découlant de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD, de communiquer à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité d’un traitement des données à caractère personnel ainsi qu’aux destinataires de
ces données, constitue une violation « du fait du traitement », et si la notion de « traitement », au sens de l’article 4, point 2, de ce règlement, englobe des situations qui précèdent la collecte de telles données.
36 D’autre part, ladite juridiction considère qu’il n’est pas clairement établi si, dans un cas tel que celui de l’espèce, la violation de l’obligation d’information est survenue « du fait » d’un traitement de données à caractère personnel, au sens de l’article 80, paragraphe 2, du RGPD. À cet égard, elle souligne que si une telle formulation pourrait laisser entendre que l’entité qui introduit une action représentative doit, pour que cette action soit recevable, invoquer la violation des droits
d’une personne concernée qui résulte d’une opération de traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, et qui est donc postérieure à une telle opération, l’objectif dudit règlement d’assurer notamment un niveau élevé de protection des données à caractère personnel pourrait plaider en faveur de l’extension de la qualité à agir de cette entité dans le cas d’une violation de l’obligation d’information, alors même que cette obligation doit être
satisfaite avant toute opération de traitement de données à caractère personnel.
37 Dans ces conditions, le Bundesgerichtshof (Cour fédérale de justice) a décidé de surseoir à statuer de nouveau et de poser à la Cour la question préjudicielle suivante :
« Une violation [des droits d’une personne concernée] “du fait du traitement”, au sens de l’article 80, paragraphe 2, du RGPD, est-elle invoquée lorsqu’une association de défense des intérêts des consommateurs fonde son action sur le fait que les droits d’une personne concernée ont été violés parce que les obligations d’information prévues à l’article 12, paragraphe 1, première phrase, du RGPD, en combinaison avec l’article 13, paragraphe 1, sous c) et e), du RGPD, et concernant la finalité du
traitement des données et le destinataire des données à caractère personnel n’ont pas été respectées ? »
Sur la question préjudicielle
38 Par sa question, la juridiction de renvoi demande, en substance, si l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens que la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée par un traitement de données à caractère personnel prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est
remplie lorsqu’une telle action est fondée sur la violation de l’obligation incombant au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité de ce traitement de données ainsi qu’aux destinataires de telles données,
au plus tard lors de la collecte de celles-ci.
39 Afin de répondre à cette question, il importe, à titre liminaire, de rappeler que le RGPD régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions de ce règlement. La protection de ces droits peut ainsi être réclamée soit directement par la personne concernée, qui a le droit d’introduire elle-même une réclamation auprès d’une
autorité de contrôle d’un État membre, conformément à l’article 77 du RGPD, ou un recours devant les juridictions nationales, en vertu des articles 78 et 79 de ce règlement, soit par une entité habilitée, en présence ou en l’absence d’un mandat à cette fin, au titre de l’article 80 dudit règlement.
40 En particulier, l’article 80, paragraphe 2, du RGPD ouvre la possibilité aux États membres de prévoir un mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en l’absence d’un mandat de la personne concernée, tout en énonçant un certain nombre d’exigences au niveau du champ d’application personnel et matériel qui doivent être respectées à cette fin (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322,
point 63).
41 À cet égard, s’agissant, en premier lieu, du champ d’application personnel de ce mécanisme, la qualité pour agir est reconnue à un organisme, à une organisation ou à une association qui remplit les critères énumérés à l’article 80, paragraphe 1, du RGPD. En particulier, ainsi que la Cour l’a déjà constaté, une association de défense des intérêts des consommateurs, telle que l’Union fédérale, est susceptible de relever de cette notion en ce qu’elle poursuit un objectif d’intérêt public consistant
à assurer les droits et les libertés des personnes concernées en leur qualité de consommateurs, dès lors que la réalisation d’un tel objectif est susceptible d’être connexe à la protection des données à caractère personnel de ces dernières (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, points 64 et 65).
42 S’agissant, en second lieu, du champ d’application matériel dudit mécanisme, l’exercice de l’action représentative prévue à l’article 80, paragraphe 2, du RGPD par une entité répondant aux conditions mentionnées au paragraphe 1 de cet article, présuppose que cette entité, indépendamment de tout mandat qui lui a été confié, « considère que les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement » de ses données à caractère personnel (arrêt du 28 avril
2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 67).
43 À cet égard, la Cour a clarifié que l’exercice d’une action représentative n’est notamment pas soumis à l’existence d’une « violation concrète » des droits qu’une personne tire des règles en matière de protection des données à caractère personnel, de sorte que, afin de reconnaître la qualité pour agir à une telle entité, il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit
règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, points 70 et 72).
44 Cependant, ainsi que la Cour l’a déjà jugé, l’introduction d’une action représentative présuppose que l’entité visée « considère » que les droits d’une personne concernée prévus dans le RGPD ont été violés du fait du traitement de ses données à caractère personnel et donc allègue « l’existence d’un traitement de données » qu’elle estime être contraire à des dispositions de ce règlement (voir, en ce sens, arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 71), un tel
traitement ne pouvant avoir un caractère purement hypothétique, ainsi que l’a relevé M. l’avocat général au point 48 de ses conclusions.
45 Concrètement, ainsi qu’il ressort des termes de l’article 80, paragraphe 2, du RGPD, l’introduction d’une action représentative sur le fondement de cette disposition implique que la violation des droits que la personne concernée tire de ce règlement intervienne à l’occasion d’un traitement de données à caractère personnel.
46 Cette interprétation est corroborée par la comparaison des différentes versions linguistiques de l’article 80, paragraphe 2, du RGPD ainsi que par son considérant 142 qui énonce que les entités répondant aux conditions mentionnées à l’article 80, paragraphe 1, de ce règlement doivent avoir des raisons de considérer que les droits d’une personne concernée prévus dans ledit règlement ont été violés parce que « le traitement des données à caractère personnel a eu lieu en violation du [même]
règlement ».
47 Cela étant clarifié, afin de répondre à la question préjudicielle, il convient encore de vérifier si la violation de l’obligation incombant au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD, de communiquer à la personne concernée, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité d’un traitement des données
à caractère personnel ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de ces données, constitue une violation des droits de cette personne « du fait du traitement », au sens de l’article 80, paragraphe 2, du RGPD.
48 À titre liminaire, il importe de rappeler que l’objectif poursuivi par le RGPD, tel qu’il ressort de son article 1er ainsi que de son considérant 10, consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel (voir, en ce sens, arrêt du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, point 53).
49 À cette fin, les chapitres II et III de ce règlement énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que doit respecter tout traitement de données à caractère personnel. En particulier, sous réserve des dérogations prévues à l’article 23 dudit règlement, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement de telles données énoncés à
l’article 5 du même règlement et satisfaire aux conditions de licéité énumérées à son article 6 et, d’autre part, respecter les droits de la personne concernée figurant aux articles 12 à 22 du RGPD [voir, en ce sens, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208, ainsi que du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, points 50 et 61 ainsi que
jurisprudence citée].
50 À cet égard, il convient de souligner que, en vertu de l’article 5, paragraphe 1, sous a), du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée. En outre, conformément au point b) de cet article 5, paragraphe 1, ces données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
51 S’agissant de l’interprétation de l’article 5, paragraphe 1, sous b), du RGPD, la Cour a jugé que cette disposition impose notamment que les finalités du traitement soient énoncées clairement et identifiées, au plus tard, lors de la collecte des données à caractère personnel [arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, points 64 et 65].
52 En outre, conformément à l’article 5, paragraphe 2, du RGPD, c’est sur le responsable du traitement que repose la charge de prouver que ces données sont notamment collectées pour des finalités déterminées, explicites et légitimes et qu’elles sont traitées de manière licite, loyale et transparente au regard de la personne concernée.
53 Il résulte donc de l’article 5 du RGPD qu’un traitement de données à caractère personnel doit notamment satisfaire à des exigences concrètes en matière de transparence à l’égard de la personne concernée par un tel traitement. À cette fin, dans son chapitre III, le RGPD, d’une part, prévoit des obligations précises pour le responsable du traitement et, d’autre part, reconnaît toute une série de droits à la personne concernée par un traitement de données à caractère personnel, parmi lesquels
figure, notamment, le droit d’obtenir du responsable du traitement des informations sur les finalités de ce traitement et sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées (arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 48).
54 En particulier, l’article 13, paragraphe 1, sous c) et e), du RGPD prévoit l’obligation pour le responsable du traitement, lorsque des données à caractère personnel sont collectées auprès de la personne concernée, d’informer celle-ci, respectivement, des finalités du traitement auxquelles sont destinées ces données et de la base juridique de ce traitement ainsi que des destinataires ou des catégories de destinataires desdites données.
55 En outre, l’article 12, paragraphe 1, de ce règlement exige que le responsable du traitement prenne des mesures appropriées afin, notamment, que les informations mentionnées au point précédent et qui sont fournies à la personne concernée soient concises, transparentes, compréhensibles, aisément accessibles et formulées en des termes clairs et simples.
56 Ainsi que la Cour l’a jugé, l’article 12, paragraphe 1, du RGPD, qui est l’expression du principe de transparence, a pour objectif de garantir que la personne concernée soit mise en mesure de pleinement comprendre les informations qui lui sont adressées (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 38).
57 L’importance du respect d’une telle obligation d’information est également confirmée par le considérant 60 du RGPD, qui énonce que le principe du traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités, étant souligné que le responsable du traitement devrait fournir toute autre information nécessaire pour garantir un traitement équitable et transparent, compte tenu des circonstances particulières et du contexte
dans lesquels les données à caractère personnel sont traitées (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 36).
58 Il ressort de ce qui précède, en premier lieu, que l’obligation d’information qui incombe au responsable du traitement à l’égard des personnes concernées par un traitement de données à caractère personnel constitue le corollaire du droit d’information qui est reconnu à ces personnes par les articles 12 et 13 du RGPD et qui fait ainsi partie des droits que l’action représentative prévue à l’article 80, paragraphe 2, de ce règlement vise à protéger. En outre, ainsi que cela ressort des points 56
et 57 du présent arrêt, le respect de cette obligation garantit, de manière plus générale, le respect des principes de transparence et de loyauté du traitement, prévus à l’article 5, paragraphe 1, dudit règlement.
59 En second lieu, ainsi que l’a relevé M. l’avocat général au point 47 de ses conclusions, la violation alléguée du droit des personnes concernées d’être suffisamment informées de toutes les circonstances entourant un traitement de données à caractère personnel, notamment de la finalité de celui-ci et du destinataire de ces données, est susceptible de faire obstacle à l’expression d’un consentement « éclair[é] », au sens de l’article 4, point 11, du RGPD, ce qui peut rendre ce traitement illicite,
au sens de l’article 5, paragraphe 1, de ce règlement.
60 En effet, la validité du consentement donné par la personne concernée dépend, entre autres, du point de savoir si cette personne a, au préalable, obtenu les informations au regard de toutes les circonstances entourant le traitement des données en question auxquelles elle avait droit, en vertu de l’article 12 et 13 du RGPD, et qui lui permettent de donner un consentement en pleine connaissance de cause.
61 Dans la mesure où un traitement de données à caractère personnel réalisé en violation du droit d’information que la personne concernée tire des articles 12 et 13 du RGPD méconnaît les exigences fixées à l’article 5 de ce règlement, il y a lieu de considérer la violation de ce droit d’information comme une violation des droits de la personne concernée « du fait du traitement », au sens de l’article 80, paragraphe 2, dudit règlement.
62 Il s’ensuit que le droit de la personne concernée par un traitement de données à caractère personnel, découlant de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD, d’obtenir de la part du responsable du traitement, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité d’un tel traitement ainsi qu’aux destinataires de telles données, constitue un droit
dont la violation permet de recourir au mécanisme d’action représentative prévu à l’article 80, paragraphe 2, de ce règlement.
63 Cette interprétation est confirmée, d’une part, par l’objectif du RGPD, rappelé au point 48 du présent arrêt, d’assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques et, en particulier, un niveau élevé de protection du droit de toute personne à la vie privée à l’égard du traitement des données à caractère personnel la concernant.
64 D’autre part, une telle interprétation est également conforme à la fonction préventive de l’action représentative prévue à l’article 80, paragraphe 2, du RGPD menée par des associations de défense des intérêts des consommateurs, telles qu’en l’occurrence l’Union fédérale (arrêt du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 76).
65 Compte tenu de ce qui précède, il convient de répondre à la question préjudicielle que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens que la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait
valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des
termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard lors de la collecte de celles‑ci.
Sur les dépens
66 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (quatrième chambre) dit pour droit :
L’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement », au sens de ladite disposition, est remplie lorsque cette entité fait valoir que la violation des droits de cette personne intervient à l’occasion d’un traitement de données à caractère personnel et qu’elle résulte de la
méconnaissance de l’obligation qui incombe au responsable du traitement, en vertu de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), dudit règlement, de communiquer à la personne concernée par ce traitement de données, d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, les informations relatives à la finalité dudit traitement de données ainsi qu’aux destinataires de telles données, au plus tard
lors de la collecte de celles-ci.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.