Édition provisoire
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. JEAN RICHARD DE LA TOUR
présentées le 25 janvier 2024 (1)
Affaire C‑757/22
Meta Platforms Ireland Limited
contre
Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V.
[demande de décision préjudicielle formée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 12, paragraphe 1, première phrase – Transparence des informations – Article 13, paragraphe 1, sous c) et e) – Obligation d’information du responsable du traitement – Article 80, paragraphe 2 – Représentation des personnes concernées par une association de défense des intérêts des consommateurs – Action représentative intentée en l’absence d’un mandat et indépendamment de la violation de droits concrets d’une personne concernée – Action fondée sur la violation de l’obligation d’information du responsable du traitement – Notion de “violation des droits d’une personne concernée ‘du fait du traitement’” »
I. Antécédents de l’affaire, faits du litige au principal et nouvelle question préjudicielle
1. Dans la présente affaire, le Bundesgerichtshof (Cour fédérale de justice, Allemagne) pose une nouvelle fois une question préjudicielle concernant l’interprétation de l’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (2).
2. Conformément à cette disposition, les États membres peuvent prévoir que tout organisme, organisation ou association, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle, en vertu de l’article 77 de ce règlement, et d’exercer les droits visés aux articles 78 et 79 de celui-ci, s’il considère que les droits d’une personne concernée prévus dans ledit règlement ont été violés du fait du traitement de données à caractère personnel.
3. La demande de décision préjudicielle a été présentée dans le cadre d’un litige opposant Meta Platforms Ireland Limited, anciennement Facebook Ireland Limited, dont le siège social se trouve en Irlande, au Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (Union fédérale des centrales et associations de consommateurs, Allemagne) (ci-après l’« Union fédérale ») au sujet de la violation supposée, par Meta Platforms Ireland, de la législation allemande relative à la protection des données à caractère personnel constituant, en même temps, une pratique commerciale déloyale, une violation d’une loi en matière de protection des consommateurs et une violation de l’interdiction de l’utilisation de conditions générales nulles.
4. Il s’agit du même litige que celui qui est à l’origine de l’affaire ayant donné lieu à l’arrêt du 28 avril 2022, Meta Platforms Ireland (3), dont les faits peuvent être résumés de la manière suivante (4).
5. Meta Platforms Ireland, qui gère l’offre des services du réseau social en ligne Facebook dans l’Union européenne, est le responsable du traitement de données à caractère personnel des utilisateurs de ce réseau social dans l’Union. Facebook Germany GmbH, qui a son siège en Allemagne, promeut sous l’adresse www.facebook.de la vente d’espaces publicitaires. La plate-forme Internet Facebook contient, notamment à l’adresse Internet www.facebook.de, un espace appelé « App-Zentrum » (Espace Applications) sur lequel Meta Platforms Ireland met à la disposition des utilisateurs des jeux gratuits fournis par des tiers. Lors de la consultation de l’Espace Applications de certains de ces jeux, l’utilisateur voit apparaître l’indication selon laquelle l’utilisation de l’application concernée permet à la société de jeux d’obtenir un certain nombre de données à caractère personnel et l’autorise à procéder à des publications au nom de cet utilisateur, telles que son score et d’autres informations. Cette utilisation a comme conséquence que ledit utilisateur accepte les conditions générales de l’application et sa politique en matière de protection des données. En outre, dans le cas d’un jeu donné, il y a l’indication selon laquelle l’application est autorisée à publier le statut, des photos et d’autres informations au nom du même utilisateur.
6. L’Union fédérale, organisme ayant qualité pour agir au titre de l’article 4 du Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Unterlassungsklagengesetz – UKlaG) (loi sur les actions en cessation de violations du droit de la consommation et d’autres violations), du 26 novembre 2001 (5), estime que les indications fournies par les jeux concernés dans l’Espace Applications sont déloyales, notamment du point de vue du non-respect des conditions légales qui s’appliquent à l’obtention d’un consentement valable de l’utilisateur en vertu des dispositions régissant la protection des données. En outre, elle considère que l’indication selon laquelle l’application est autorisée à publier au nom de l’utilisateur certaines informations personnelles de celui-ci constitue une condition générale qui défavorise indûment l’utilisateur.
7. Dans ce contexte, l’Union fédérale a introduit devant le Landgericht Berlin (tribunal régional de Berlin, Allemagne) une action en cessation contre Meta Platforms Ireland fondée sur l’article 3a du Gesetz gegen den unlauteren Wettbewerb (loi contre la concurrence déloyale), du 3 juillet 2004 (6), l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation ainsi que sur le Bürgerliches Gesetzbuch (code civil). Cette action était introduite indépendamment de la violation concrète du droit à la protection des données d’une personne concernée et sans mandat d’une telle personne.
8. Le Landgericht Berlin (tribunal régional de Berlin) a condamné Meta Platforms Ireland conformément aux conclusions de l’Union fédérale. L’appel interjeté par Meta Platforms Ireland devant le Kammergericht Berlin (tribunal régional supérieur de Berlin, Allemagne) a été rejeté. Meta Platforms Ireland a, alors, introduit devant la juridiction de renvoi un recours en Revision contre la décision de rejet adoptée par la juridiction d’appel.
9. Dans le cadre de ce recours, la juridiction de renvoi a considéré que l’action de l’Union fédérale était fondée, dans la mesure où Meta Platforms Ireland avait enfreint l’article 3a de la loi contre la concurrence déloyale, ainsi que l’article 2, paragraphe 2, première phrase, point 11, de la loi relative aux actions en cessation et elle avait utilisé une condition générale nulle, au sens de l’article 1er de la loi relative aux actions en cessation.
10. Toutefois, cette juridiction a nourri des doutes quant à la recevabilité de l’action de l’Union fédérale. Elle se demandait, en particulier, si la qualité pour agir de l’Union fédérale pouvait résulter de l’article 80, paragraphe 2, du RGPD. C’est pourquoi elle a adressé à la Cour une question préjudicielle afin d’obtenir une interprétation de cette disposition.
11. En réponse à cette question, la Cour a jugé, dans son arrêt Meta Platforms Ireland, que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement (7).
12. La Cour a ainsi précisé le champ d’application matériel du mécanisme d’action représentative contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, prévu à l’article 80, paragraphe 2, du RGPD.
13. En particulier, la Cour a jugé que, aux fins de l’introduction d’une telle action représentative, il ne saurait être exigé d’une entité répondant aux conditions mentionnées à l’article 80, paragraphe 1, du RGPD qu’elle procède à l’identification individuelle préalable de la personne spécifiquement concernée par un traitement de données prétendument contraire aux dispositions de ce règlement (8). Dès lors, la désignation d’une catégorie ou d’un groupe de personnes affectées par un tel traitement peut être également suffisante aux fins de l’introduction de cette action représentative (9).
14. La Cour a également jugé que, en vertu de l’article 80, paragraphe 2, du RGPD, l’exercice d’une action représentative n’est pas soumis non plus à l’existence d’une violation concrète des droits qu’une personne tire des règles en matière de protection des données (10). En effet, selon la Cour, l’introduction d’une action représentative présuppose seulement que l’entité visée dans cette disposition « considère » que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait du traitement de ses données à caractère personnel et donc allègue l’existence d’un traitement de données contraire à des dispositions dudit règlement (11). Il s’ensuit que, afin de reconnaître la qualité pour agir à une telle entité, en vertu de l’article 80, paragraphe 2, du RGPD, il suffit de faire valoir que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement, sans qu’il soit nécessaire de prouver un préjudice réel subi par la personne concernée, dans une situation déterminée, par l’atteinte à ses droits (12).
15. Si la juridiction de renvoi a ainsi déjà obtenu de la part de la Cour des indications afin de pouvoir déterminer si l’action en cessation qui a été introduite par l’Union fédérale peut être considérée comme étant recevable au regard des conditions prévues à l’article 80, paragraphe 2, du RGPD, elle estime qu’un doute doit encore être levé sur l’interprétation à retenir de cette disposition. En effet, cette juridiction souligne que la qualité pour agir de l’Union fédérale dépend de la question de savoir si, au sens de ladite disposition, cette entité fait valoir dans son recours que les droits d’une personne concernée en vertu de ce règlement ont été violés « du fait du traitement ».
16. Selon la juridiction de renvoi, il n’est pas évident que cette exigence relative au champ d’application matériel de l’article 80, paragraphe 2, du RGPD soit remplie dans les circonstances de l’espèce.
17. En effet, cette juridiction indique que l’Union fédérale invoque, à l’appui de son action, la violation de l’obligation d’information prévue à l’article 12, paragraphe 1, première phrase, du RGPD, en combinaison avec l’article 13, paragraphe 1, sous c) et e), de ce règlement, en ce qui concerne la finalité du traitement des données et le destinataire des données à caractère personnel. Il convient, selon ladite juridiction, de déterminer si l’Union fédérale peut, dès lors, être considérée comme se prévalant de la violation de droits « du fait du traitement », au sens de l’article 80, paragraphe 2, dudit règlement.
18. Plus précisément, la juridiction de renvoi considère, d’une part, qu’une incertitude demeure sur la question de savoir si, en l’occurrence, la violation de l’obligation d’information découlant de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD relève de la notion de « traitement », au sens de l’article 4, point 2, de celui-ci et si cette notion englobe également des situations qui précèdent le début de la collecte des données à caractère personnel (13).
19. D’autre part, cette juridiction estime qu’il n’est pas clairement établi si, dans un cas tel que celui en cause au principal, la violation de l’obligation d’information est survenue « du fait » d’un traitement de données à caractère personnel, au sens de l’article 80, paragraphe 2, du RGPD. Ladite juridiction souligne, à cet égard, que la formulation « du fait » pourrait laisser entendre que l’entité qui introduit une action représentative doit, pour que cette action soit recevable, invoquer la violation des droits d’une personne concernée au titre de ce règlement qui résulte d’une opération de traitement de données, au sens de l’article 4, point 2, dudit règlement, et qui est donc postérieure à une telle opération (14).
20. Dans ces conditions, le Bundesgerichtshof (Cour fédérale de justice) a décidé de nouveau de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« Une violation [des droits d’une personne concernée] “du fait du traitement”, au sens de l’article 80, paragraphe 2, du RGPD, est-elle invoquée lorsqu’une association de défense des intérêts des consommateurs fonde son action sur le fait que les droits d’une personne concernée ont été violés parce que les obligations d’information prévues à l’article 12, paragraphe 1, première phrase, du RGPD, en combinaison avec l’article 13, paragraphe 1, sous c) et e), du RGPD, et concernant la finalité du traitement des données et le destinataire des données à caractère personnel n’ont pas été respectées ? »
21. Des observations écrites ont été déposées par Meta Platforms Ireland, l’Union fédérale, les gouvernements allemand et portugais ainsi que la Commission européenne.
22. Une audience de plaidoiries s’est tenue le 23 novembre 2023, en présence de Meta Platforms Ireland, du gouvernement allemand et de la Commission.
II. Analyse
23. Comme je l’ai indiqué précédemment, la juridiction de renvoi éprouve des doutes quant au point de savoir si, dans les circonstances de l’espèce, l’action représentative qui a été introduite par l’Union fédérale remplit la condition énoncée à l’article 80, paragraphe 2, du RGPD, selon laquelle l’entité à l’origine d’une telle action considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement » de données à caractère personnel.
24. Afin de bien comprendre le contexte dans lequel cette juridiction demande à la Cour des précisions complémentaires sur le champ d’application matériel de cette disposition, il convient de rappeler que, à l’appui de son action, l’Union fédérale invoque la violation d’une obligation d’information incombant à Meta Platforms Ireland sur la finalité et la portée du consentement de l’utilisateur au traitement de ses données à caractère personnel. Plus précisément, l’objet du litige est la présentation de jeux dans l’Espace Applications qui se trouve sur la plate-forme Internet de Meta Platforms Ireland et la mention selon laquelle chaque application est autorisée à publier certaines informations personnelles de l’utilisateur en son nom. L’Union fédérale a introduit cette action indépendamment de la violation des droits concrets d’une personne concernée et sans être mandatée par une telle personne, ce qui est conforme à ladite disposition, ainsi que la Cour l’a admis dans son arrêt Meta Platforms Ireland (15).
25. Les divergences d’opinions sur la question visant à déterminer si l’Union fédérale dispose de la qualité pour agir au titre de l’article 80, paragraphe 2, du RGPD se focalisent désormais sur le constat effectué par la juridiction de renvoi selon lequel l’action représentative introduite par cette entité ne porte pas sur le point de savoir si Meta Platforms Ireland viole les droits à la protection des données d’un utilisateur au moment où celui-ci appuie sur le bouton « Jouer immédiatement » ou « Jouer à des jeux » dans l’Espace Applications et déclenche ainsi éventuellement un traitement de ses données à caractère personnel. Par ailleurs, il est constant que la question de savoir si les opérations automatisées relatives aux données à caractère personnel d’un utilisateur qui ont lieu après l’activation d’un tel bouton violent les droits à la protection des données de ce dernier ne fait pas non plus l’objet de l’action introduite par l’Union fédérale.
26. En somme, le litige se cristallise autour de la question de savoir s’il est suffisant, pour qu’une telle association dispose de la qualité pour agir au titre de l’article 80, paragraphe 2, du RGPD, qu’elle invoque la violation d’une obligation d’information sans critiquer, en tant que tel, le traitement des données qui résulte de l’opération consistant à appuyer sur le bouton « Jouer immédiatement » ou « Jouer à des jeux », alors que cette disposition requiert la violation des droits d’une personne concernée « du fait du traitement ».
27. C’est pourquoi les interrogations de la juridiction de renvoi se concentrent sur deux éléments, à savoir, d’une part, l’étendue de la notion de « traitement » et, d’autre part, la signification du membre de phrase « du fait du traitement » figurant dans ladite disposition.
28. Ainsi, cette juridiction se demande si l’obligation de communiquer à la personne concernée, sous une forme précise, transparente, intelligible et aisément accessible, dans un langage clair et simple, les informations relatives à la finalité du traitement des données à caractère personnel et au destinataire de celles-ci, qui découle de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD, relève de la notion de « traitement », au sens de l’article 4, point 2, de ce règlement.
29. Aux termes de l’article 4, point 2, dudit règlement, le « traitement » est défini comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
30. Il ressort du libellé de cette disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large. Cette interprétation est corroborée par le caractère non exhaustif, exprimé par la locution « telles que », des opérations mentionnées à ladite disposition (16). Selon la Cour, cela est conforme à l’objectif de garantir l’effectivité du droit fondamental à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, mentionné au considérant 1 du RGPD, qui préside à l’application de ce règlement (17).
31. Au soutien de la thèse selon laquelle l’obligation d’information qui découle de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD pourrait relever de la notion de « traitement », au sens de l’article 4, point 2, de ce règlement, la juridiction de renvoi mentionne ce que la Cour a jugé dans son arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (18).
32. Dans l’affaire ayant donné lieu à cet arrêt, le Valsts ieņēmumu dienests (administration fiscale, Lettonie) demandait à l’opérateur économique concerné qu’il rétablisse l’accès des services de cette administration aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur son portail Internet ainsi qu’aux numéros de téléphone des vendeurs et qu’il lui fournisse des informations sur les annonces publiées sur ce portail.
33. C’est dans ce contexte que la Cour a considéré qu’une telle demande, par laquelle l’administration fiscale d’un État membre sollicite de la part d’un opérateur économique la communication et la mise à disposition de données à caractère personnel que ce dernier est tenu de fournir et de mettre à la disposition de celle-ci en vertu de la réglementation nationale de cet État membre, entame un processus de « collecte » de ces données, au sens de l’article 4, point 2, du RGPD (19). La juridiction de renvoi en déduit que la notion de « traitement », au sens de cette disposition, couvre les opérations qui ne font qu’« entamer » une collecte de données à caractère personnel et donc des opérations qui se trouvent en amont d’une opération que le législateur de l’Union a expressément considérée comme un exemple de traitement, en faisant un rapprochement avec la situation en cause au principal.
34. J’estime, cependant, que cette situation se distingue nettement de celle ayant donné lieu à l’arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (20). En effet, il ne s’agit pas en l’occurrence de rattacher à un processus de traitement une opération qui permet de déclencher celui-ci, mais plutôt d’identifier le lien entre une obligation d’information, telle que celle qui découle de l’article 12, paragraphe 1, première phrase, et de l’article 13, paragraphe 1, sous c) et e), du RGPD, et un traitement donné.
35. À cet égard, je considère que, aussi large soit-elle, la portée de la notion de « traitement », au sens de l’article 4, point 2, du RGPD ne saurait s’étendre à une telle obligation d’information. En effet, cette obligation n’implique aucune action directe ou indirecte sur des données à caractère personnel. Ladite obligation constitue plutôt une condition de licéité du traitement de ces données.
36. Il y a lieu de souligner que l’article 12 de ce règlement énonce des obligations générales incombant au responsable du traitement en ce qui concerne la transparence des informations et des communications, ainsi que les modalités de l’exercice des droits de la personne concernée.
37. En particulier, l’article 12, paragraphe 1, première phrase, dudit règlement prévoit que « [l]e responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant ».
38. L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », dispose, à son paragraphe 1, sous c) et e) :
« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
[...]
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
[...]
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent [...] »
39. Il convient de rappeler que l’article 6, paragraphe 1, premier alinéa, du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition (21).
40. Aux termes de l’article 6, paragraphe 1, premier alinéa, sous a), de ce règlement, le traitement de données à caractère personnel est licite si, et dans la mesure où, la personne concernée y a consenti pour une ou plusieurs finalités spécifiques (22).
41. En l’absence d’un tel consentement, ou lorsque ce consentement n’a pas été donné de manière libre, spécifique, éclairée et univoque, au sens de l’article 4, point 11, du RGPD, et lorsque le traitement en cause ne répond pas à l’une des exigences de nécessité mentionnées à l’article 6, paragraphe 1, premier alinéa, sous b) à f), de ce règlement, ce traitement revêt un caractère illicite (23).
42. S’agissant de l’exigence résultant de l’article 4, point 11, du RGPD selon laquelle le consentement doit être « éclairé », celle-ci implique, conformément à l’article 13 de ce règlement, lu à la lumière de son considérant 42, que le responsable du traitement fournisse à la personne concernée une information au regard de toutes les circonstances entourant le traitement des données, sous une forme compréhensible et aisément accessible ainsi que formulée en des termes clairs et simples, cette personne devant notamment connaître le type de données à traiter, l’identité du responsable du traitement, la durée et les modalités de ce traitement ainsi que les finalités que celui-ci poursuit. Une telle information doit permettre à ladite personne de déterminer facilement les conséquences du consentement qu’elle pourrait donner et garantir que ce consentement soit donné en pleine connaissance de cause (24).
43. Or, j’observe que, comme l’indique la juridiction de renvoi (25), l’Union fédérale conteste la présentation des indications fournies sous le bouton « Jouer immédiatement » de l’Espace Applications au motif qu’elles seraient déloyales, notamment du point de vue du non-respect des conditions légales qui s’appliquent à l’obtention d’un consentement valable de l’utilisateur en vertu des dispositions qui régissent la protection des données à caractère personnel.
44. Autrement dit, ce qui sous-tend l’action introduite par l’Union fédérale est que, compte tenu de la présentation défaillante de l’Espace Applications invoquée par cette entité, une personne serait susceptible d’appuyer sur le bouton « Jouer immédiatement » sans avoir disposé des informations nécessaires pour lui permettre de déterminer facilement les conséquences du consentement qu’elle pourrait donner au traitement de ses données à caractère personnel à la suite du déclenchement de ce bouton et sans garantir que ce consentement soit donné en pleine connaissance de cause.
45. Dans ces conditions, je suis d’avis que l’Union fédérale fait valoir dans le cadre de son action, conformément à ce que prévoit l’article 80, paragraphe 2, du RGPD, que « les droits d’une personne concernée prévus dans [ce] règlement ont été violés du fait du traitement ».
46. En effet, d’une part, tant l’article 12 que l’article 13 du RGPD font partie du chapitre III de ce règlement, intitulé « Droits de la personne concernée ». Compte tenu de l’obligation d’information qui pèse sur le responsable du traitement en vertu de ces articles, les droits qui en découlent pour les personnes concernées font partie de ceux que l’action représentative prévue à l’article 80, paragraphe 2, dudit règlement vise à protéger.
47. D’autre part, la violation alléguée du droit pour les personnes concernées d’être suffisamment informées de toutes les circonstances entourant un traitement de données à caractère personnel, notamment la finalité de celui-ci et le destinataire de ces données, est susceptible de faire obstacle à l’expression d’un consentement « éclair[é] », au sens de l’article 4, point 11, du RGPD, ce qui peut rendre ce traitement illicite.
48. Dès lors, il est suffisant, aux fins de l’exercice d’une action représentative au titre de l’article 80, paragraphe 2, de ce règlement, qu’une entité invoque la violation de l’obligation d’information qui pèse sur le responsable du traitement, en précisant le traitement concerné, qui est, en l’occurrence, celui qui se produit lorsqu’une personne appuie sur le bouton « Jouer immédiatement ». Il doit s’agir d’un traitement de données qui est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent dudit règlement (26), ce qui implique que ce traitement doit exister et ne doit donc pas avoir un caractère purement hypothétique.
49. De plus, il est, selon moi, indifférent que cette entité invoque la violation d’une obligation qui précède un traitement de données à caractère personnel. Tel est le cas de l’obligation d’information qui doit être mise en œuvre au plus tard au moment de la collecte de données, conformément à ce que prévoit l’article 13, paragraphe 1, du RGPD.
50. Ainsi, le membre de phrase « du fait du traitement » mentionné à l’article 80, paragraphe 2, de ce règlement ne signifie nullement que le droit dont l’action prévue à cet article vise à faire constater la violation devrait nécessairement concerner une étape postérieure à une opération constitutive d’un « traitement », au sens de l’article 4, point 2, dudit règlement. Autrement dit, il ne faut lire dans ce membre de phrase aucune exigence d’une séquence temporelle qui impliquerait que la violation des droits d’une personne concernée prévus dans le RGPD devrait intervenir lors d’une phase qui fait suite à un tel traitement.
51. Ce qui importe est plutôt qu’il existe un lien entre le respect des droits en cause et le traitement concerné. Tel est le cas lorsque la violation de ces droits a pour conséquence de rendre ce traitement illicite. L’illicéité du traitement découle de la violation de l’obligation d’information. Les deux sont indissociables.
52. Il s’ensuit que l’exigence selon laquelle une entité peut introduire une action représentative au titre de l’article 80, paragraphe 2, du RGPD si elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés « du fait du traitement » ne requiert pas, selon moi, que cette entité invoque la violation de tels droit qui résulte d’une opération de traitement de données, au sens de l’article 4, point 2, de ce règlement, et qui est donc postérieure à une telle opération. Il suffit qu’elle fasse état de l’existence d’un lien entre un traitement de données à caractère personnel et la violation de droits protégés par le RGPD.
53. En l’occurrence, peu importe donc que l’Union fédérale invoque la violation d’une obligation d’information indépendamment du fait qu’une personne concernée appuie ou non sur le bouton « Jouer immédiatement » dans l’Espace Applications, puisqu’une telle obligation, dans la mesure où elle est susceptible d’affecter les conditions de licéité du traitement résultant de l’activation de ce bouton, présente incontestablement un lien avec ce traitement.
54. Cette interprétation est conforme non seulement à la fonction préventive de l’action représentative prévue à l’article 80, paragraphe 2, du RGPD (27), mais également, dans la mesure où elle contribue à renforcer les droits des personnes concernées (28), à l’objectif de ce règlement, qui ressort de son considérant 10, consistant à assurer au sein de l’Union un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel (29).
55. J’ajoute qu’il serait, à mon avis, incohérent de retenir une interprétation restrictive du champ d’application matériel de l’article 80, paragraphe 2, dudit règlement, alors que l’article 79, paragraphe 1, du RGPD prévoit, dans des termes similaires, le droit de chaque personne concernée à un recours juridictionnel effectif et qu’il n’existe aucune raison d’exclure du champ d’application matériel d’un tel recours les droits qui découlent de l’obligation d’information prévue à l’article 12, paragraphe 1, première phrase, de ce règlement, lu en combinaison avec l’article 13, paragraphe 1, sous c) et e), dudit règlement.
56. Par conséquent, je considère que l’article 80, paragraphe 2, du RGPD doit être interprété en ce sens que la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait du traitement, suppose que cette entité allègue l’existence d’un traitement de données à caractère personnel ainsi que d’un lien entre la violation de ces droits et ce traitement. Une telle condition est remplie lorsque cette action est fondée, en lien avec un traitement de données à caractère personnel, sur la violation par le responsable du traitement de l’obligation d’information prévue à l’article 12, paragraphe 1, première phrase, dudit règlement, lu en combinaison avec l’article 13, paragraphe 1, sous c) et e), du même règlement, dans la mesure où cette violation est susceptible de rendre ce traitement illicite.
III. Conclusion
57. Eu égard à l’ensemble des considérations qui précèdent, je propose de répondre à la question préjudicielle posée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) de la manière suivante :
L’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la condition selon laquelle une entité habilitée, pour pouvoir introduire une action représentative au titre de cette disposition, doit faire valoir qu’elle considère que les droits d’une personne concernée prévus dans ce règlement ont été violés du fait du traitement, suppose que cette entité allègue l’existence d’un traitement de données à caractère personnel ainsi que d’un lien entre la violation de ces droits et ce traitement. Une telle condition est remplie lorsque cette action est fondée, en lien avec un traitement de données à caractère personnel, sur la violation par le responsable du traitement de l’obligation d’information prévue à l’article 12, paragraphe 1, première phrase, dudit règlement, lu en combinaison avec l’article 13, paragraphe 1, sous c) et e), du même règlement, dans la mesure où cette violation est susceptible de rendre ce traitement illicite.