La première chambre civile de la Cour fédérale de justice, compétente entre autres pour le droit de la concurrence, a précisé que les violations des obligations d'information en matière de protection des données prévues par le règlement général sur la protection des données (RGPD) peuvent constituer en même temps une infraction à la concurrence. Ainsi, un organisme qualifié tel que l'association de consommateurs ou d'autres associations de protection des consommateurs peut engager une action civile contre les violations de la protection des données.
Déficits de protection des données dans le "centre d'applications" de Facebook
La défenderesse, Meta Platforms Ireland Ltd, exploite le réseau social "Facebook". Dans une section de la plateforme, appelée "App Centre", la défenderesse met à disposition de ses utilisateurs des jeux tiers. En novembre 2012, plusieurs jeux y étaient proposés, accompagnés d'un bouton "Jouer immédiatement". Directement sous ce bouton se trouvaient des indications telles que : "En cliquant sur 'Jouer au jeu' ci-dessus, cette application obtient : Vos informations générales, Votre adresse e-mail, A propos de vous, Vos messages de statut". Il était également expliqué que l'application pouvait "poster en votre nom" - y compris les scores, les statuts, les photos et plus encore.
Ces informations ont été critiquées par la Fédération allemande des consommateurs (vzbv), qui a porté plainte, comme étant insuffisantes. En particulier, les utilisateurs n'auraient pas été informés de manière claire et compréhensible sur la nature, l'étendue et la finalité du traitement de leurs données personnelles. En outre, la mention globale de la possibilité de publier des contenus au nom des utilisateurs constituait un désavantage inapproprié et devait donc être qualifiée de condition générale inefficace. La vzbv a alors intenté une action en cessation.
Qualité pour agir pour les associations de consommateurs ?
Après que la cour d'appel a fait droit à la demande, la Cour fédérale de justice a suspendu la procédure et a posé plusieurs questions préjudicielles à la Cour de justice de l'Union européenne (CJUE) concernant l'interprétation de l'article 80, paragraphe 2 du RGPD. La question de fond était notamment de savoir si les associations de protection des consommateurs étaient habilitées à faire valoir en justice des violations de la protection des données sans devoir être mandatées par les personnes concernées ou concrétisées au cas par cas. Il a été demandé à la CJUE de clarifier si un tel droit d'agir en justice était compatible avec le RGPD, notamment en ce qui concerne la protection juridique collective dans le droit de la protection des données.
La CJCE a répondu à ces questions dans deux arrêts : Le 28 avril 2022 dans l'affaire C-319/20 (Meta Platforms Ireland I) et le 11 juillet 2024 dans l'affaire C-757/22 (Meta Platforms Ireland II). Dans ces deux décisions, la CJUE a confirmé que les entités qualifiées - telles que les associations de consommateurs - sont habilitées, en vertu de l'article 80, paragraphe 2, du RGPD, à poursuivre en justice les violations du RGPD, indépendamment d'un mandat individuel des personnes concernées. Il suffit que l'action soit intentée dans l'intérêt de la protection des droits et libertés des personnes physiques et qu'elle se rapporte à un traitement de données suffisamment concrétisé. Il n'est pas nécessaire que des personnes individuelles soient concrètement concernées. La voie d'un recours collectif efficace en matière de droit de la protection des données au niveau européen a ainsi été renforcée.
Conseil de lecture : La Cour fédérale de justice confirme une demande d'injonction relevant du droit de la concurrence après une infraction au RGPD lors d'une commande de médicaments en ligne
Associations de consommateurs en tant qu'entités qualifiées
La Cour fédérale de justice a rejeté la révision de la défenderesse dans son intégralité et a mis en évidence dans sa décision plusieurs principes centraux pour l'évaluation en matière de protection des données et de droit de la concurrence :
D'une part, la Cour fédérale de justice a expressément confirmé la qualité pour agir de la Verbraucherzentrale Bundesverband en vertu de l'article 80, paragraphe 2, du RGPD, en liaison avec l'article 8, paragraphe 3, point 3, de la loi sur la concurrence déloyale (UWG), l'article 3, paragraphe 1, phrase 1, point 1, de la loi sur les actions en cessation (UKlaG) et l'article 1 de la loi sur les actions en cessation (UKlaG). Selon ces dispositions, les entités qualifiées peuvent agir contre les violations de la protection des données même sans mandat individuel des personnes concernées, à condition que ces violations soient suffisamment concrètes et susceptibles de porter atteinte aux intérêts des consommateurs. L'action collective est déjà autorisée lorsqu'un groupe de personnes - par exemple les utilisateurs d'une plateforme - peut être déterminé de manière abstraite et qu'une violation systématique du RGPD est présumée.
Deuxièmement, le tribunal a précisé que les obligations d'information en matière de protection des données de l'article 12, paragraphe 1, première phrase, et de l'article 13, paragraphe 1, points c et e, du RGPD ne sont pas seulement déterminantes pour la validité d'un consentement, mais constituent également une réglementation de comportement sur le marché pertinente en matière de droit de la concurrence. Une violation de ces obligations peut constituer en même temps un comportement déloyal au sens de l'article 3a de la loi sur la concurrence déloyale ou une violation de l'article 5a de la loi sur la concurrence déloyale (rétention d'informations essentielles).
Troisièmement, la Cour fédérale de justice a souligné l'importance particulière de ces obligations d'information dans les modèles commerciaux axés sur les données. Étant donné que les utilisateurs ne "paient" souvent pas avec de l'argent, mais avec leurs données personnelles, la transparence du traitement des données joue un rôle décisif dans la liberté de choix des consommateurs. Si ces informations font défaut, le consentement au traitement des données est non seulement inefficace, mais également contestable au regard du droit de la concurrence.
Quatrièmement, le tribunal a confirmé que le fait d'autoriser globalement une application à publier des "statuts, des photos et plus" au nom de l'utilisateur constituait un désavantage inapproprié au sens de l'article 307 du BGB. La clause est non transparente et surprenante en raison de son contenu informatif insuffisant. Son utilisation pourrait donc également être interdite en vertu de l'article 1 de la UKlaG.
Conséquences pratiques de l'arrêt de la BGH
L'une des conséquences centrales de l'arrêt réside dans la confirmation de la qualité pour agir activement des associations de consommateurs conformément à l'article 80, paragraphe 2 du RGPD : Celles-ci peuvent désormais agir sans cas concret et sans mandat individuel : Dans la mesure où il y a une violation structurelle du RGPD qui concerne potentiellement un grand groupe d'utilisateurs. Cela permet aux associations d'agir contre les comportements contraires à la protection des données. Notamment dans les cas où les personnes concernées ne reconnaissent pas elles-mêmes la violation du droit ou ne peuvent pas la faire valoir en raison de rapports d'information asymétriques. L'application collective du droit en matière de protection des données est ainsi renforcée.
Pour les entreprises - en particulier celles qui ont des modèles d'affaires basés sur les données - il est nécessaire d'agir suite à cet arrêt. Les exigences en matière de transparence, d'intelligibilité et d'exhaustivité des informations relatives à la protection des données continuent d'augmenter. Les entreprises doivent s'assurer que les utilisateurs sont informés de la collecte, du traitement, de la transmission et de la finalité de leurs données personnelles dans un langage compréhensible, le plus tôt possible et de manière exhaustive. Les bases juridiques ainsi que les destinataires et la durée de conservation doivent être présentés de manière transparente.
Les infractions à ces obligations n'ont pas seulement des conséquences en matière de protection des données, par exemple par des mesures prises par les autorités de contrôle en vertu de l'article 58 du RGPD et des amendes en vertu de l'article 83 du RGPD. Elles peuvent désormais également être sanctionnées au titre du droit de la concurrence. Le risque d'actions en cessation de droit civil par des associations augmente considérablement. Parallèlement, les clauses inefficaces des conditions d'utilisation ou des conditions générales sont également plus facilement attaquables si elles présentent des lacunes en matière de protection des données ou si elles désavantagent les consommateurs de manière inappropriée.
Enfin, l'arrêt met également davantage l'accent sur l'efficacité du consentement. Un consentement n'est valable que s'il repose sur une information préalable, complète et transparente. Dans le cas contraire, il n'est pas seulement inefficace du point de vue de la protection des données, mais peut également être sanctionné en tant qu'infraction au droit de la concurrence.
La protection des données n'est pas seulement un impératif réglementaire, mais aussi, et de plus en plus, un impératif de conformité au droit civil et à l'économie de marché. Les entreprises devraient examiner de manière critique et adapter leurs processus d'information et de consentement à la lumière de cette décision.
Source : Communiqué de presse sur l'arrêt de la BGH I ZR 186/17 du 27 mars 2025
French 
German 
English 
Italian