La Cour a rendu un arrêt le 11 juillet dernier, dans lequel elle était invitée à préciser sa jurisprudence « Meta Platforms Ireland » (CJUE, 28 avr. 2024, aff. C-319/20, Meta Platforms Ireland, v. notre article). Dans son précédent arrêt d'avril, elle avait jugé qu’il était possible pour une réglementation nationale de permettre « à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement » (point 32). Ce faisant, elle validait la possibilité pour une entité représentative d’agir sans avoir été préalablement saisie, ni missionnée par une personne concernée dès lors que les droits prévus par le RGPD pouvaient être affectés par un traitement de données personnelles.
La juridiction de renvoi, rencontrant des difficultés dans l’application du RGPD à la lumière de cette jurisprudence, a, de nouveau, saisi la CJUE. Elle lui demande de préciser si la qualité à agir de l’association pouvait être retenue dans le cas de non-respect de l’obligation d’information prévue aux articles 12 et 13 du RGPD « du fait du traitement » conformément à la lettre de l’article 80, § 2 du RGPD. L’enjeu est important puisqu’une réponse négative emporterait une absence de qualité à agir des associations représentatives.
La CJUE répond positivement à la question posée. Selon elle, une violation de l’obligation d’information emporte violation du droit à l’information dans le cadre du traitement de données personnelles mis en œuvre. Trois arguments fondent cette décision.
Premièrement, « l’obligation d’information qui incombe au responsable du traitement à l’égard des personnes concernées par un traitement de données à caractère personnel constitue le corollaire du droit d’information qui est reconnu à ces personnes par les articles 12 et 13 du RGPD et qui fait ainsi partie des droits que l’action représentative prévue à l’article 80, paragraphe 2, de ce règlement vise à protéger » (point 58).
Deuxièmement, le respect de l’obligation d’information « garantit, de manière plus générale, le respect des principes de transparence et de loyauté du traitement » (point 58).
Troisièmement, la violation à l’obligation d’information « est susceptible de faire obstacle à l’expression d’un consentement « éclair[é] » (…) du RGPD, ce qui peut rendre ce traitement illicite » (point 59).
Ainsi, le droit à l’information de la personne concernée prévu aux articles 12, § 1 et 13, § 1 du RGPD constitue un droit dont la violation permet de recourir au mécanisme d’action représentative établi à l’article 80, § 2 du RGPD. Cette solution est bienvenue dès lors que l’action des associations représentatives a une fonction préventive (point 64) et constitue un levier important de protection des droits et libertés fondamentaux des personnes concernées (point 63).