La première chambre civile de la Cour fédérale de justice, compétente entre autres en matière de droit de la concurrence, a précisé que les violations des règles de protection des données Obligations d'information du règlement général sur la protection des données (RGPD) peuvent également constituer une infraction à la concurrence. Cela permet à une entité qualifiée, telle que l'association de consommateurs ou d'autres associations de protection des consommateurs, d'intenter une action civile contre les violations de la protection des données.
Déficits de protection des données dans le "centre d'applications" de Facebook
La défenderesse, Meta Platforms Ireland Ltd, exploite le réseau social "Facebook". Dans une section de la plateforme, appelée "App Centre", la défenderesse met à disposition de ses utilisateurs des jeux tiers. En novembre 2012, plusieurs jeux y étaient proposés, accompagnés d'un bouton "Jouer immédiatement". Directement sous ce bouton se trouvaient des indications telles que : "En cliquant sur 'Jouer au jeu' ci-dessus, cette application obtient : Vos informations générales, Votre adresse e-mail, A propos de vous, Vos messages de statut". Il était également expliqué que l'application était autorisée à "poster en ton nom" - y compris les scores, les messages de statut, Photos et plus encore.
Ces informations ont été critiquées comme étant insuffisantes par la Fédération allemande des consommateurs (vzbv) qui a porté plainte. En particulier, les utilisateurs n'ont pas été informés de manière claire et compréhensible de la nature, de l'étendue et du but de l'utilisation des données. Traitement de leurs données personnelles. En outre, la mention globale de la possibilité de publier des contenus au nom des utilisateurs constitue un désavantage inapproprié et doit donc être qualifiée de condition générale de vente non valable. La vzbv a alors intenté une action en cessation.
Qualité pour agir pour les associations de consommateurs ?
Après que la cour d'appel a fait droit à la demande, la BGH a suspendu la procédure et a posé plusieurs questions à la Cour de justice de l'Union européenne (CJUE) concernant l'interprétation de l'article 80, paragraphe 2, du traité CE. RGPD pour décision préjudicielle. La question de fond était notamment de savoir si les associations de protection des consommateurs étaient habilitées à faire valoir en justice des violations de la protection des données sans devoir être mandatées par les personnes concernées ou être concrétisées au cas par cas. Il a été demandé à la CJCE de clarifier si un tel droit d'agir en justice était compatible avec la RGPD notamment en ce qui concerne les recours collectifs en matière de protection des données.
La CJCE a répondu à ces questions dans deux arrêts : Le 28 avril 2022 dans l'affaire C-319/20 (Meta Platforms Ireland I) et le 11 juillet 2024 dans l'affaire C-757/22 (Meta Platforms Ireland II). Dans les deux décisions, la CJCE a confirmé que les entités qualifiées - telles que les associations de consommateurs - peuvent être considérées comme des prestataires de services en vertu de l'article 80, paragraphe 2, du traité CE. RGPD sont autorisés à poursuivre en justice les violations du RGPD indépendamment d'un mandat individuel des personnes concernées. Il suffit que l'action soit intentée dans l'intérêt de la protection des droits et libertés des personnes physiques et qu'elle se rapporte à un traitement de données suffisamment concret. Il n'est pas nécessaire que des personnes individuelles soient concrètement concernées. La voie d'un recours collectif efficace en matière de droit de la protection des données au niveau européen a ainsi été renforcée.
Conseil de lecture : La Cour fédérale de justice confirme une demande d'injonction en vertu du droit de la concurrence après une infraction au RGPD lors d'une commande de médicaments en ligne
Associations de consommateurs en tant qu'entités qualifiées
La Cour fédérale de justice a rejeté la révision de la défenderesse dans son intégralité et a mis en évidence dans sa décision plusieurs principes centraux pour l'évaluation en matière de protection des données et de droit de la concurrence :
D'une part, la Cour fédérale de justice a expressément confirmé la qualité pour agir de la Verbraucherzentrale Bundesverband en vertu de l'article 80, paragraphe 2, de la loi sur la protection des consommateurs. RGPD en liaison avec l'article 8, paragraphe 3, n° 3 de la loi contre la concurrence déloyale (UWG), l'article 3, paragraphe 1, phrase 1, n° 1 de la loi sur les actions en justice (UKlaG) et l'article 1 de la loi sur les actions en justice (UKlaG). Selon ces dispositions, les entités qualifiées peuvent également agir contre les violations de la protection des données sans mandat individuel des personnes concernées, à condition que ces violations soient suffisamment concrètes et susceptibles de porter atteinte aux intérêts des consommateurs. Le site Action collective est déjà admissible lorsqu'un groupe de personnes - par exemple les utilisateurs d'une plate-forme - peut être déterminé de manière abstraite et qu'il existe un lien systématique entre le groupe et la plate-forme. Violation contre les RGPD est à supposer.
Deuxièmement, le tribunal a précisé que les lois sur la protection des données Obligations d'information de l'article 12, paragraphe 1, première phrase, et de l'article 13, paragraphe 1, lettres c et e RGPD pas seulement pour l'efficacité d'une Consentement mais constituent également une règle de conduite sur le marché relevant du droit de la concurrence. Un Violation à ces obligations peut constituer en même temps un comportement déloyal au sens de l'article 3a de la LCD ou un Violation constituent une violation de l'article 5a de la loi sur la concurrence déloyale (rétention d'informations essentielles).
Troisièmement, la BGH a souligné l'importance particulière de ces Obligations d'information dans les modèles commerciaux axés sur les données. Étant donné que les utilisateurs ne "paient" souvent pas avec de l'argent, mais avec leurs données à caractère personnel, le Transparence du traitement des données jouent un rôle décisif dans la liberté de choix des consommateurs. Si ces informations faisaient défaut, la Consentement dans le traitement des données est non seulement inefficace, mais aussi attaquable au regard du droit de la concurrence.
Quatrièmement, la Cour a confirmé que le fait d'autoriser globalement une application à diffuser des "messages de statut, Photos et plus", constitue un désavantage inapproprié au sens de l'article 307 du BGB. La clause est non transparente et surprenante en raison de son contenu informatif insuffisant. Son utilisation pourrait donc également être interdite en vertu de l'article 1 de la UKlaG.
Conséquences pratiques de l'arrêt de la BGH
L'un des principaux effets de l'arrêt est la confirmation de la qualité pour agir des associations de consommateurs en vertu de l'article 80, paragraphe 2, du traité CE. RGPDCes derniers peuvent désormais agir sans cas concret et sans mandat individuel : Dans la mesure où un problème structurel Violation contre les RGPD qui concerne potentiellement un grand groupe d'utilisateurs. Cela permet aux associations d'agir contre les comportements contraires à la protection des données. Notamment dans les cas où les personnes concernées ne reconnaissent pas elles-mêmes la violation du droit ou ne peuvent pas la faire valoir en raison de rapports d'information asymétriques. L'application collective du droit en matière de protection des données est ainsi renforcée.
Pour les entreprises - en particulier celles qui ont des modèles d'affaires basés sur les données - il est nécessaire d'agir suite à cet arrêt. Les exigences en matière de TransparenceLa lisibilité et l'exhaustivité des informations relatives à la protection des données continuent d'augmenter. Les entreprises doivent s'assurer que les utilisateurs sont informés de la collecte, Traitement, Transmission et de la finalité de leurs données à caractère personnel dans un langage clair, le plus tôt possible et de manière exhaustive. A cet égard, tant les Bases juridiques que les destinataires et la durée du stockage.
Les violations de ces obligations n'ont pas seulement des conséquences sur le plan de la protection des données, par exemple par le biais de mesures prises par les autorités de contrôle conformément à l'article 58 de la loi sur la protection des données. RGPD et des amendes selon l'art. 83 RGPD. Ils peuvent désormais également être sanctionnés au titre du droit de la concurrence. Le risque d'actions civiles en cessation intentées par des associations augmente considérablement. Parallèlement, les clauses inefficaces des conditions d'utilisation ou des conditions générales sont également plus facilement attaquables si elles présentent des lacunes en matière de protection des données ou si elles désavantagent les consommateurs de manière inappropriée.
Enfin, le jugement met davantage l'accent sur l'efficacité des consentements. Une Consentement n'est efficace que si elle repose sur une information préalable, complète et transparente. Dans le cas contraire, elle n'est pas seulement inefficace du point de vue de la protection des données, mais peut également être considérée comme une infraction au droit de la concurrence. Violation être sanctionné.
Protection des données n'est pas seulement un impératif de conformité réglementaire, mais aussi, de plus en plus, un impératif de conformité civile et de marché. Les entreprises devraient examiner de manière critique et adapter leurs processus d'information et de consentement à la lumière de cette décision.
Source : Communiqué de presse sur l'arrêt de la BGH I ZR 186/17 du 27 mars 2025
German 
English 
Italian 
French