Protection des données personnelles pas d'action collective contre Facebook Ireland

BLOG / Droit des affaires et des sociétés

Protection des données personnelles : pas d'action collective contre Facebook Ireland

Une personne ne peut pas invoquer sa qualité de consommateur pour engager une action de groupe devant le tribunal du lieu de son domicile.

A propos d’un arrêt : CJUE, 25 janv. 2018, aff. C-498/16, Schrems

M. Schrems, célèbre utilisateur autrichien du réseau social numérique Facebook, intente devant les juridictions de son pays une action contre Facebook Ireland en son nom propre et au nom des sept autres utilisateurs, domiciliés en Autriche, en Allemagne et en Inde, qui lui ont cédé leurs droits. Cette action vise des manquements de Facebook au droit à la protection des données personnelles.

Facebook soutient que les juridictions autrichiennes ne sont pas internationalement compétentes. La société estime que M. Schrems ne peut pas invoquer le for du consommateur dès lors qu’il utilise le réseau social également à des fins professionnelles. De plus, selon Facebook, le for privé du consommateur ne peut être transféré au cessionnaire.

La Cour Suprême d’Autriche saisit la CJUE afin de savoir si cet utilisateur de Facebook est un consommateur et si en se faisant céder des droits d’autres consommateurs afin de les faire valoir collectivement, il peut invoquer le for du consommateur devant la juridiction de son domicile.

Selon la CJUE, la notion de « consommateur » au sens du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000, dit "règlement Bruxelles I", doit être interprétée de manière restrictive, en se référant à la position de cette personne dans un contrat déterminé, en rapport avec la nature et la finalité de celui-ci. Seuls les contrats conclus en dehors et indépendamment de toute activité ou finalité professionnelle dans l’unique but de satisfaire aux propres besoins de consommation privée d’un individu, relèvent du régime prévu par ce règlement en matière de protection du consommateur. Dans le cas d’un contrat conclu pour un usage se rapportant en partie à l’activité professionnelle d’une personne, cette dernière pourrait bénéficier des dispositions du règlement uniquement dans l’hypothèse où le lien de ce contrat avec l’activité professionnelle serait si ténu qu’il deviendrait marginal et n’aurait qu’un rôle négligeable dans le contexte de l’opération considérée dans sa globalité pour laquelle ce contrat a été conclu.

La Cour poursuit en indiquant qu’un utilisateur d’un compte Facebook privé ne perd pas la qualité de "consommateur" lorsqu’il publie des livres, donne des conférences, exploite des sites internet, collecte des dons et se fait céder les droits de nombreux consommateurs afin de faire valoir ces droits en justice.

Elle estime, en outre, qu’une cession de droits ne saurait fonder un nouveau for spécifique au consommateur cessionnaire. Le règlement Bruxelles I ne s’applique donc pas à l’action d’un consommateur visant à faire valoir devant le tribunal du lieu où il est domicilié, non seulement ses propres droits mais également des droits cédés par d’autres consommateurs domiciliés dans le même État membre, dans d’autres États membres ou dans des États tiers. Toutefois, M. Schrems pourra intenter une action individuelle contre Facebook devant la justice autrichienne.

Remarques : notons que le règlement (CE) n° 44/2001 a été abrogé et remplacé par le règlement (UE) n° 1215/2012 du Parlement européen et du Conseil du 12 décembre 2012, qui ne s’applique qu’aux actions judiciaires intentées à compter de 10 janvier 2015. Rappelons également que l’action de groupe relative à la protection des données personnelles a été introduite en France par la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle en vue de la cessation des manquements au droit de la protection des données personnelles. Le RGPD, qui entrera en application le 25 mai 2018, prévoit pour les citoyens européens la possibilité d’intenter sous conditions une action de groupe contre un responsable de traitement ou un sous-traitant aux fins de leur indemnisation du fait de préjudices subis (Règl. (UE) 2016/679 du Parlement européen et du Conseil, 27 avr. 2016, art. 82, § 1 : JOUE n° L 119, 4 mai.) Le projet de loi français de modification de la loi n° 78-17 du 6 janvier 1978, dite « loi Informatique et Libertés », qui sera examiné du 6 au 8 février 2018 à l’Assemblée nationale, prend en compte cette extension de l’action de groupe.

 

Vanessa Younes-Fellous, Avocate en droit de la protection des données personnelles – Dictionnaire Permanent – Veille Permanente 7 février 2018

Formations en droit des affaires et des sociétés

Conférence

RGPD et traitement des données personnelles : 6 mois après

Réforme de la formation 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze