Le droit international privé à l’épreuve des actions collectives en matière de protection des données, par Alexia Pato et Elena Rodríguez Pineau

Two pieces of legislation foster collective redress actions in the data protection field in the EU: the Directive on Representative Actions and the General Regulation on Data Protection (Art. 80). As these laws partially overlap, their application might generate conflicting legal responses. Moreover, identifying the private international law rules on jurisdiction applicable to those actions is a tricky exercise, as the present post highlights.

1. Introduction

Deux textes de loi composent actuellement le corpus normatif européen régissant les actions collectives transfrontières en matière de protection des données : pour commencer, l’art. 80 du Règlement 2016/679 relatif à la protection des données personnelles (ci-après : RGPD ou le Règlement), applicable depuis le 25 mai 2018, autorise certaines entités à agir au nom des personnes concernées lorsque les droits que leur confère le Règlement ont été violés. Le type de réparation dépend de la modalité : lorsque la victime octroie un mandat à une entité (art. 80-1 RGPD), les droits des art. 77 à 79 RGPD peuvent être exercés ainsi que le droit à la réparation (art. 82 RGPD) si le droit de l’État membre le permet. L’entité ne peut agir sans l’obtention d’un mandat que si le droit de l’État membre le prévoit (art. 80-2 RGPD). L’indemnisation est exclue dans ce cas.

Vient ensuite la Directive 2020/1828 relative aux actions représentatives (ci-après : la Directive), grâce à laquelle des entités préalablement habilitées par les États membres sur la base de critères harmonisés se voient reconnaître leur qualité pour agir lorsqu’elles portent leur action représentative devant les tribunaux d’un autre État membre. Bien que la Directive soit entrée en vigueur, ses dispositions devront d’abord être transposées dans les différents ordres juridiques et seront appliquées à partir du 23 juin 2023 (art. 24-1).

2. Le conflit des normes

Les entités habilitées par la Directive pourront intenter des actions représentatives et des actions protégeant un intérêt général. Alors que les premières sont des actions par lesquelles les entités défendent les droits des particuliers, les secondes visent à protéger des intérêts qui ne sont pas susceptibles d’individualisation, tels que la protection du marché ou de l’environnement. Les conditions d’habilitation imposées par la Directive (art. 4-3) sont nombreuses, cumulatives et strictes, si bien que l’on est en droit de douter qu’un nombre considérable d’entités les remplissent.

Quant à l’art. 80 RGPD, il n’est pas certain que celui-ci autorise les actions protégeant un intérêt général. On notera à cet égard que l’art. 80-1 RGPD requiert l’obtention d’un mandat de la part d’un particulier et que l’art. 80-2 RGPD ne peut être invoqué que si les droits d’une personne concernée ont été violés. Comme ces actions tombent sous le coup de la Directive, l’on doit alors se demander si l’art. 80 RGPD s’oppose à ce que celles-ci soient intentées.

Cette question est au cœur de l’affaire C-319/20, qui oppose une association de consommateurs allemande (VZBV) à Facebook. Selon la demanderesse, les clauses qui ont permis à l’entreprise Californienne de transférer les données des utilisateurs d’une plateforme offrant des jeux gratuits n’étaient pas assez claires pour qu’un consentement éclairé soit obtenu. Dès lors, l’association intente une action visant à protéger l’intérêt général des consommateurs sous l’égide de la loi allemande, qui était applicable via l’art. 4-1(a) de la Directive 95/46 relative à la protection des données personnelles.

Entre temps, l’art. 80 RGPD est entré en vigueur et la Cour Suprême allemande demande à la CJUE de se prononcer sur la compatibilité de l’action intentée par VZBV avec le RGPD (la version originale de la demande en allemand est accessible ici). Cette question est particulièrement pertinente en l’espèce puisque le législateur allemand n’a pas choisi de « transposer » l’art. 80 RGPD (pour plus de détails, voir A. Pato, « The National Adaptation of Article 80 GDPR – Towards the Effective Private Enforcement of Collective Data Protection Rights », in K. Mc Cullagh, O. Tambou, S. Bourton (éd.), National Adaptations of the GDPR, Collection Open Access Book, Blogdroiteuropeen, Luxembourg, février 2019). En tout cas, il nous semble que l’interprétation selon laquelle l’art. 80 RGPD empêcherait que toute action protégeant un intérêt général soit intentée ne serait pas raisonnable puisque de telles actions sont autorisées par la Directive et que ceci aurait pour effet de sévèrement restreindre l’accès à la justice.

Lorsque l’action intentée sera de type représentatif, la Directive et le Règlement seront potentiellement applicables et l’utilisation d’une voie procédurale plutôt que l’autre dépendra d’autres facteurs, comme les conditions d’obtention de la qualité pour agir.

3. La compétence internationale (fors disponibles)

Le Règlement prévoit des règles de compétence spécifiques à l’art. 79-2 RGPD : la personne concernée peut choisir d’intenter son action devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant celles de l’État membre dans lequel elle a sa résidence habituelle. Comme nous le verrons plus bas, le Règlement ne semble pas s’opposer à l’application des règles ordinaires régissant la compétence internationale des tribunaux dans l’UE contenues dans le Règlement 1215/2012 (Règlement de Bruxelles 1 bis, ci-après : RB 1 bis) (cons. 147 RGPD).

Quant à la Directive, elle « est sans préjudice des règles de l’Union en matière de droit international privé, en particulier des règles relatives à la compétence ainsi qu’à la reconnaissance et à l’exécution des décisions en matière civile et commerciale » (cons. 21). Les entités habilitées à agir en justice devront donc se fonder essentiellement sur le RB 1 bis afin de déterminer quelles juridictions sont compétentes. Le terme « en particulier » suggère toutefois que d’autres dispositions du droit international privé, comme celles du RGPD, pourraient, elles aussi, s’appliquer.

3.1 Entités qualifiées par la Directive

On le sait : les fors du régime de Bruxelles ne sont pas adaptés aux actions collectives. Il est vrai que le for (quasi) délictuel (art. 7-2 RB 1 bis) permet aux entités de protéger le marché d’un État membre des clauses abusives (C-167/00). Toutefois, lorsqu’il s’agit pour ces entités de représenter une pluralité de victimes, agir en justice ailleurs qu’au domicile du défendeur (art. 4 RB 1 bis) s’avère difficile : comme la CJUE l’avait annoncé dans l’affaire Schrems (C-498/16), un consommateur ne peut se servir de sa résidence habituelle (art. 18 RB 1 bis) afin d’y accumuler les demandes d’autres victimes. L’art. 7-2 RB 1 bis ne semble pas non plus le permettre, dans la mesure où cette disposition octroie la compétence internationale et territoriale, et que le lieu du dommage (loci damni) pour chaque victime ne se trouvera que rarement en un lieu similaire.

Étant donné que la Directive ne désigne pas exhaustivement les dispositions de droit international privé applicables, on peut se demander si les entités qu’elle habilite ne pourraient pas bénéficier des règles de compétence spécifiques du RGPD. Comme la section suivante l’indique, ceci présenterait un avantage significatif, car l’art. 79-2 RGPD, qui ne désigne pas le tribunal territorialement compétent, n’empêche pas la centralisation des demandes au niveau national. À notre avis, il faut cependant rejeter cette solution : autoriser une entité habilitée par la Directive à utiliser les fors du RGPD requiert le respect de l’art. 80 RGPD. Donc, une telle entité ne pourrait par exemple pas intenter une action protégeant un intérêt général en utilisant l’un des fors prévus par l’art. 79-2 RGPD. Si cela était le cas, la Directive permettrait de faire ce que l’art. 80 RGPD interdit et une telle incohérence serait difficilement soutenable. Si l’on faisait des intérêts couverts par l’art. 80 RGPD une interprétation extensive, l’accès des entités habilitées par la Directive aux fors spécifiques en matière de protection des données pourrait toutefois être envisageable.

3.2 Entités qualifiées par l’article 80 RGPD

Comme l’art. 80 RGPD ne désigne pas quelles sont les juridictions compétentes pour connaître d’une action représentative, certains font valoir que seul le régime général de Bruxelles s’applique. Néanmoins, il nous semble qu’une entité habilitée par l’art. 80 RGPD devrait pouvoir agir devant les juridictions désignées par l’art. 79-2 RGPD pour deux raisons : premièrement, l’art. 80-1 RGPD mentionne effectivement qu’une entité peut faire valoir les droits de l’art. 79 RGPD, et il faut entendre ce renvoi aux deux paragraphes de la disposition. De plus, dans la mesure où l’entité représente les intérêts d’un particulier, il semblerait logique qu’elle puisse bénéficier des fors qui lui sont ouverts.

À première vue, on peut douter de la valeur ajoutée de l’art. 79-2 RGPD : alors que le for de l’établissement se confondra relativement aisément avec celui du domicile du défendeur (art. 4-1 RB 1 bis), celui de la résidence habituelle pourrait se chevaucher avec le for du lieu du dommage (art. 7-2 RB 1 bis) ou celui de la résidence habituelle du consommateur (art. 18 RB 1 bis). Toutefois, comme nous l’avons mentionné plus haut, le for de la résidence habituelle, tel qu’énoncé à l’art. 79-2 RGPD, est avantageux en ce qu’il ne localise pas territorialement les tribunaux compétents. Une centralisation des demandes au sein d’un même État membre serait alors possible pour autant que le droit procédural soutienne cette possibilité (en attribuant par exemple une compétence exclusive à un tribunal donné ou en édictant des règles flexibles sur l’accumulation des demandes).

4. Conclusion

Ce post conclut que la Directive et le Règlement sont deux régimes normatifs parallèles (en ce sens que le Règlement devrait permettre que les actions protégeant un intérêt général soient intentées sous le régime de la Directive) et parfois exclusifs (afin d’empêcher que les entités qui ne respectent pas les conditions de l’art. 80 RGPD bénéficient des fors de l’art. 79-2 RGPD).

La disponibilité des fors ne dépendra pas uniquement du respect des règles concernant la légitimation ; d’autres éléments, comme le type d’action, seront également à prendre en compte. D’une part, les actions représentatives sont autorisées tant par la Directive que par le RGPD et les fors disponibles de ces deux textes sont en principe ouverts. D’autre part, les actions protégeant un intérêt général ne sont permises que par la Directive et devront donc être portées devant les juridictions désignées par le RB 1 bis.