Données personnelles : RGPD et action en justice (Questions préjudicielles à la Cour de Justice de l’Union Européenne)

Données sensibles ● Préjudice moral ● Responsabilité civile ● Indemnisation ● Droit de recours collectif ● Protection des consommateurs et des données personnelles ● Représentation des personnes concernées ● Organisme, organisation, association à but non lucratif

La Cour de Justice de l’Union Européenne (CJUE) a été saisie par la Cour Suprême autrichienne (Oberster Gerichtshof, OGH) dans le cadre de deux renvois préjudiciels concernant l’interprétation du Règlement général sur la protection des données (RGPD)[1].

Il reviendra à la CJUE de se prononcer :

— d’une part, sur les conditions de réparation (par le responsable du traitement ou le sous-traitant) du préjudice subi par la personne concernée du fait d’une violation du RGPD (article 82 RGPD),

— et d’autre part, sur le droit de recours collectif pour violation du RGPD, indépendamment de la violation spécifique des droits des personnes concernées et sans mandat confié par une personne concernée (article 80 RGPD).

Bien que la Principauté de Monaco ne soit pas membre de l’Union Européenne, ces questions revêtent un intérêt pour les professionnels de la place qui sont soumis au RGPD lorsqu’ils traitent des données personnelles des personnes physiques dans l’UE pour leur offre de biens ou de services à ces personnes, ou pour le suivi du comportement de ces personnes au sein de l’UE.

De plus, le RGPD sera un modèle de référence pour le futur projet de loi de réforme de la Loi n°1.165 du 23 décembre 1993 relative à la protection des informations nominatives, consolidée, en vue d’obtenir une décision d’adéquation de la Commission Européenne et de faciliter ainsi les transferts transfrontaliers de données personnelles avec l’Union Européenne.

♦ Conditions de réparation (par le responsable du traitement ou le sous-traitant) du préjudice subi par la personne concernée du fait d’une violation du RGPD (article 82 RGPD)

La question soulevée par la Cour Suprême autrichienne est de savoir si tout dommage, soit-il de minime importance, est ou non éligible à indemnisation sur le fondement de l’article 82 du RGPD.

-> Ce que prévoit le RGPD :

L’article 82^[2] (combiné avec l’article 79 paragraphe 2[3]) du RGPD confère à la personne concernée par un traitement ayant subi un dommage matériel ou moral du fait d’une violation du RGPD le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. Une telle action peut être intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement, ou dans lequel la personne concernée a sa résidence habituelle.

Le Considérant 85 du RGPD fournit des exemples de dommages physiques, matériels ou de préjudice moral pouvant être causés aux personnes physiques concernées par une violation de données à caractère personnel, et réparés, « tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important ».

Le Considérant 146 du RGPD précise que « La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement » (à savoir la protection les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel, ainsi que la libre circulation des données à caractère personnel au sein de l’Union Européenne^[4]), et que « Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi » (réparation intégrale du préjudice).

Le RGPD ne définit donc pas la notion de « dommage », pas plus qu’il n’établit un seuil de gravité à partir duquel la personne concernée pourrait prétendre à réparation (ou en-dessous duquel elle ne le pourrait pas) sur le fondement de l’article 82.

-> Le litige porté devant les juridictions autrichiennes :

La Poste autrichienne (Österreichische Post AG), défenderesse, a collecté les données personnelles de la population autrichienne et créé à partir de 2017 des profils relatifs à « l’affinité pour un parti politique », en croisant grâce à un algorithme les données provenant de sondages anonymisés et de statistiques sur les résultats des élections. Les individus ont été affectés à un ou plusieurs groupes de marketing et classifications concernant les affinités politiques en fonction de leur lieu de résidence, de leur âge, de leur sexe, etc.[5]

A la suite de l’exercice de son droit d’accès à ses données personnelles (article 15 du RGPD), le demandeur a appris que la Poste autrichienne l’avait catégorisé sympathisant du Parti autrichien d’extrême droite (FPÖ).

Les données du demandeur n’avaient pas été divulguées à des tiers, et le 4 juin 2019, la Poste autrichienne avait effacé toutes les données relatives à « l’affinité pour un parti politique », y compris celles du demandeur.

Le demandeur a intenté une action en justice, requérant (i) une injonction d’enjoindre à la Poste autrichienne de s’abstenir de traiter des données sur ses opinions politiques présumées et (ii) 1.000 € de dommages et intérêts pour préjudice moral, aux moyens qu’il considérait la prétendue affinité avec le FPÖ comme une insulte, honteuse et hautement dommageable à son crédit, et que le comportement de la défenderesse lui avait causé une grande contrariété et une perte de confiance mais aussi un sentiment d’exposition.

Par jugement du 14 juillet 2020, le Tribunal de première instance pour les affaires civiles de Vienne (Landesgerichts für Zivilrechtssachen Wien) a fait droit à la demande d’injonction mais a rejeté la demande de dommages et intérêts, considérant que le seuil du dommage moral indemnisable n’avait pas été atteint[6].

Ce jugement a été confirmé par la Cour d’appel de Vienne (Oberlandesgericht Wien) le 9 décembre 2020[7], aux motifs que :

— Le Considérant 85 du RGPD, qui fournit des exemples de dommages non pécuniaires dus à une violation de la protection des données personnelles (voir supra, « Ce que prévoit le RGPD »), se réfère apparemment à des données publiées. Or en l’espèce, les données du demandeur n’ont été ni transmises à des tiers, ni publiées ;

— La réglementation nationale en matière d’indemnisation du préjudice complète la responsabilité prévue par le RGPD. Selon le RGPD, seuls les dommages moraux qui se sont effectivement produits peuvent faire l’objet d’une indemnisation. Même si chaque violation de la protection des données personnelles provoque des pensées négatives chez la personne concernée, il n’en résulte pas automatiquement un préjudice moral. Le principe qui sous-tend le droit autrichien est qu’il doit y avoir une certaine « pertinence » du dommage, les dommages émotionnels comme en l’espèce (simple inconfort, gêne, sentiment de mécontentement) n’étant pas éligibles à indemnisation.

Le demandeur (s’opposant au rejet de sa demande de dommages et intérêts) et le défendeur (s’opposant à l’injonction de s’abstenir de traiter les données du demandeur sur « l’affinité pour un parti politique ») se sont pourvus en révision devant la Cour suprême autrichienne (Oberster Gerichtshof, OGH).

Par jugement partiel du 15 avril 2021, la Cour Suprême a confirmé l’injonction des juridictions inférieures, aux motifs que :

— L’article 79 du RGPD prévoit un recours judiciaire effectif lorsque la personne concernée considère que ses droits en vertu du RGPD ont été violés, lequel inclut les actions en injonction suivant l’opinion dominante parmi les juristes autrichiens et allemands ;

— Le traitement des données du demandeur sur « l’affinité pour un parti politique » était illégal en raison de son absence de consentement en vertu de l’article 9(2)(a) du RGPD[8]. Le fait que la défenderesse ait supprimé les données du demandeur sur son « affinité pour un parti politique » n’exclut pas le risque qu’elle crée à nouveau de telles données à l’avenir, ce d’autant qu’elle n’a jamais renoncé à son point de vue selon lequel le traitement des données du demandeur étaient licites, faisant valoir que celles-ci ne sont pas considérées comme des données personnelles et encore moins des catégories particulières de données personnelles. Il existe donc un risque de répétition.

Concernant l’allocation de dommages et intérêts pour les sensations négatives éprouvées par le demandeur, la Cour Suprême, hésitante après analyse de la jurisprudence de la CJUE, a sursis à statuer et opéré un renvoi préjudiciel[9].

Celle-ci s’est référée à une décision du 14 janvier 2021 de la Cour constitutionnelle fédérale allemande (Bundesverfassungsgericht, BVerfG)[10] qui a estimé incompatible avec le droit au juge (Article 101, paragraphe 1, phrase 2) de la Loi fondamentale[11]) qu’un tribunal rejette une action fondée sur l’article 82 du GDPR visant à obtenir le paiement de dommages-intérêts pour préjudice moral, en raison de l’absence de dommage significatif (envoi unique d’un e-mail publicitaire sans consentement), sans avoir obtenu au préalable une décision de la CJUE sur l’interprétation de la notion de dommage à l’article 82, paragraphe 1 du GDPR.

In fine, la Cour Suprême autrichienne a jugé opportun d’obtenir une décision préjudicielle de la CJUE, « dans l’intérêt d’une application uniforme du droit de l’Union ».

-> Questions soumises à la CJUE à titre préjudiciel (article 267 TFUE) :

La Cour Suprême autrichienne a soumis à la CJUE les questions préjudicielles suivantes :

« 1. L’octroi de dommages-intérêts au titre de l’article 82 du RGPD exige-t-il, outre une violation des dispositions du RGPD, que le demandeur ait subi un préjudice, ou la violation des dispositions du RGPD est-elle en soi suffisante pour l’octroi de dommages et intérêts ?

2. Outre les principes d’effectivité et d’équivalence, le droit de l’Union prévoit-il d’autres exigences pour l’évaluation des dommages-intérêts ?

3. Le point de vue selon lequel la condition préalable à l’octroi de dommages-intérêts moraux est qu’il y ait une conséquence ou suite de l’infraction d’au moins un certain poids qui va au-delà de la colère suscitée par l’infraction, est-il compatible avec le droit de l’Union ? »

Autrement dit, il revient à la CJUE de définir le dommage indemnisable en vertu de l’article 82 du RGPD, et partant, de trancher entre les deux conceptions suivantes :

— Selon la première, l’allocation de dommages-intérêts a une fonction réparatrice, et la personne concernée ne pourrait prétendre à réparation qu’à partir d’un certain seuil de gravité, suivant l’adage de minimis non curat praetor (le préteur – magistrat de la Rome antique chargé d’organiser la tenue des procès – ne s’occupe pas des causes insignifiantes) ;

— Selon la seconde, l’allocation de dommage-intérêts a une fonction à la fois réparatrice et dissuasive, et la personne concernée pourrait prétendre à réparation de tout dommage, soit-il de minimis.

Si l’indemnisation sur le fondement de l’article 82 RGPD était ouverte aux préjudices mineurs, il pourrait en pratique en résulter une explosion des contentieux, accompagnée du risque pour les responsables du traitement ou les sous-traitants que leur responsabilité puisse être mise en cause pour toute erreur ou négligence.

♦ Droit de recours collectif pour violation du RGPD, indépendamment de la violation spécifique des droits des personnes concernées et sans mandat confié par une personne concernée (article 80 RGPD)

La question soulevée par la Cour Suprême autrichienne est de savoir si l’article 80 du RGPD[12] empêche ou non les organisations habilitées à intenter des recours collectifs en vertu du droit national de la protection des consommateurs, à intenter de tels recours en matière de protection des données personnelles pour violation du RGPD.

-> Ce que prévoit le RGPD :

Il a été tenu compte du fait qu’il soit rare que la personne concernée recoure aux procédures judiciaires disponibles, en raison des frais à engager, en introduisant l’action collective à l’article 80 du RGPD.

D’une part, selon le paragraphe 1 de l’article 80, les organismes, organisations ou associations à but non lucratif valablement constitués conformément à leur droit, dont les objectifs statutaires sont d’intérêt public et qui sont actifs dans le domaine de la protection des droits et libertés des personnes en matière de données personnelles, ont le droit d’engager une action au nom des personnes concernées, sous condition d’avoir été mandaté(e)s par les personnes concernées, à savoir :

• Droit de déposer une plainte auprès d’une autorité de contrôle (article 77 RGPD) ;
• Droit à un recours juridictionnel effectif contre une autorité de contrôle (article 78 RGPD), un responsable du traitement ou un sous-traitant (article 79 RGPD) ;
• Droit à indemnisation (article 82 RGPD, voir supra) lorsque le droit national le prévoit.

D’autre part, le paragraphe 2 de l’article 80 ouvre aux Etats-membres la faculté de permettre auxdits organismes, organisations ou associations à but non lucratif d’exercer les droits prévus aux articles 77 à 79 du RGPD indépendamment de tout mandat confié par une personne concernée. Le Considérant 142 du RGPD précise que, dans ce cas, le droit à indemnisation est exclu : « Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée ».

Il est à noter que si en principe, l’application des règlements de l’UE ne dépend d’aucune transposition, le RGPD contient néanmoins des clauses dites « ouvertes » qui requièrent l’intervention du législateur national.

Le litige porté devant les juridictions autrichiennes :

L’Association autrichienne pour l’information des consommateurs (Verein für Konsumenten Information – VKI) habilitée à engager des recours collectifs dans l’intérêt des consommateurs, conformément aux 28[13] et 29[14] de la Loi autrichienne sur la protection des consommateurs du 8 mars 1979, modifiée (Konsumentenschutzgesetz – KSchG), a sollicité une ordonnance judiciaire contre une société de location de voitures.

Le recours visait à interdire à la défenderesse d’utiliser deux clauses contractuelles ou des clauses ayant la même signification dans ses relations commerciales avec les consommateurs, dans les conditions générales sur lesquelles elle fonde les contrats qu’elle conclut et/ou dans les formulaires de contrat utilisés à cette fin, ainsi que de se fonder sur ces clauses ou des clauses similaires. Celle-ci a fait valoir que les clauses violeraient l’article 25, paragraphe 2 du GDPR (protection des données par défaut)[15].

Avant d’introduire son recours, l’association autrichienne avait averti la défenderesse conformément au 28 (2) de la Loi sur la protection des consommateurs, à la suite de quoi cette dernière avait émis une déclaration de cessation d’utilisation de 56 clauses et s’était engagée à ne pas les utiliser après une période transitoire à compter du 1^er février 2019.

Le recours collectif a été introduit indépendamment de la violation spécifique des droits à la protection des données d’une personne concernée et sans mandat d’une telle personne.

La défenderesse a objecté que l’association demanderesse n’était pas légitime à introduire le recours, en se référant au paragraphe 2 de l’article 80 du RGPD (voir supra), qui n’a pas été transposé par l’Autriche.

L’action a été jugée à l’unanimité recevable (et fondée), par jugement du 6 août 2019 du Tribunal de commerce de Vienne (Handelsgerichts Wien)^[16], confirmé par la Cour d’appel de Vienne (Oberlandesgerichts Wien) le 28 janvier 2020[17], aux motifs que :

— Le législateur autrichien n’a pas prévu d’actions collectives en dommages et intérêts au titre de l’article 80, paragraphe 2 du RGPD lors de l’adaptation de la législation autrichienne sur la protection des données (Datenschutzgesetz – DSG)) au RGPD et n’a pas fait usage de la clause d’ouverture qui y était prévue ;

— Toutefois, la demanderesse a fondé ses prétentions sur l’utilisation de deux clauses de conditions générales qu’elle considérait comme illégales, de sorte que le lien avec le § 28 de la Loi sur la protection des consommateurs était établi ;

— Le fait que l’illégalité des clauses soit fondée sur le RGPD ne rendait pas irrecevable une action en justice ordinaire, la demanderesse ayant le droit d’intenter l’action.

Au fond, la Cour d’appel a conclu que la première clause violait le principe de protection des données par défaut posé à l’article 25, paragraphe 2 du RGPD, et la seconde, l’exigence de transparence prévue au § 6 (3) de la Loi sur la protection des consommateurs[18].

La défenderesse s’est pourvue en révision devant la Cour Suprême (Oberster Gerichtshof, OGH) et a demandé une décision préjudicielle de la CJUE, se référant à la demande de décision préjudicielle de la Cour fédérale allemande (Bundesgerichtshof) du 28 mai 2020, sur la question de savoir si l’article 80 du RGPD empêche les organisations habilitées à intenter des recours collectifs en vertu du droit national sur la protection des consommateurs, d’intenter de tels recours devant les tribunaux civils pour violation du RGPD, sans violation spécifique des droits des personnes concernées ou sans mandat des personnes concernées.[19]

Ce à quoi la Cour Suprême autrichienne a fait droit[20]. En cas de réponse affirmative à la question posée, le recours devrait être rejeté et la procédure déclarée nulle, car dans ce cas, l’association demanderesse n’aurait pas qualité pour agir. En cas de réponse négative, la juridiction de renvoi devrait statuer sur le fond.

-> Question soumise à la CJUE à titre préjudiciel (article 267 TFUE) :

A l’instar de la Cour fédérale allemande (voir supra), la Cour Suprême autrichienne a soumis à la CJUE la question préjudicielle suivante :

« Les dispositions du chapitre VIII, en particulier celles de l’article 80, paragraphes 1 et 2, et de l’article 84, paragraphe 1 du RGPD, s’opposent-elles à une réglementation nationale qui accorde aux concurrents, d’une part, et aux associations, organismes et chambres habilités par le droit national, d’autre part, le pouvoir d’agir contre le contrevenant par voie d’action devant les juridictions civiles pour des violations du RGPD, indépendamment de la violation des droits spécifiques des personnes concernées et sans mandat d’une personne concernée, sous les aspects de l’interdiction d’exercer des pratiques commerciales déloyales ou de la violation d’une loi de protection des consommateurs ou de l’interdiction d’utiliser des conditions générales inapplicables ? »

La CJUE pourrait estimer que les actions collectives pour violation du RGPD (en l’espèce, sans violation spécifique des droits des personnes concernées et sans mandat des personnes concernées) ne sont possibles que si le législateur national a fait usage des clauses d’ouverture de l’article 80.

Dans ce cas, les associations de défense des droits des consommateurs n’auraient pas le droit d’intenter des recours collectifs pour violation du RGPD devant les juridictions d’un Etat membre de l’UE qui n’aurait pas transcrit l’article 80 du RGPD (comme l’Autriche).

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Article 82 du RGPD – Droit à réparation et responsabilité :

« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.

3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.

4. Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsque, au titre des paragraphes 2 et 3, ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective.

5. Lorsqu’un responsable du traitement ou un sous-traitant a, conformément au paragraphe 4, réparé totalement le dommage subi, il est en droit de réclamer auprès des autres responsables du traitement ou sous-traitants ayant participé au même traitement la part de la réparation correspondant à leur part de responsabilité dans le dommage, conformément aux conditions fixées au paragraphe 2.

6. Les actions judiciaires engagées pour exercer le droit à obtenir réparation sont intentées devant les juridictions compétentes en vertu du droit de l’État membre visé à l’article 79, paragraphe 2. »

[3] Article 79 du RGPD – Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant :

« 1. Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

2. Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique. »

[4] Article premier du RGPD – Objet et objectifs :

« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

[5] La Poste autrichienne exerce (entre autres) des activités d’éditeur d’adresses en vertu de l’article 151 – Editeurs d’adresse et sociétés de marketing direct de la Loi autrichienne sur la réglementation du commerce modifiée le 30 mai 2018 (Gewerbeordnung 1994 – GewO) et vend des données personnelles à des fins de marketing à des tiers.

[6] GZ 8 Cg 34 / 20h-14.

[7] GZ 14 R 143 / 20g-24.

[8] Article 9 RGPD –Traitement portant sur des catégories particulières de données à caractère personnel :

« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’Etat membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée; (…) »

[9] Renvoi préjudiciel à la CJUE de la Cour Suprême autrichienne du 15 avril 2021, 6Ob35/21x.

[10] Décision de la Cour constitutionnelle fédérale allemande du 14 janvier 2021, 1 BvR 2853/19, annulant le jugement du Tribunal d’instance de Goslar du 27 septembre 2019, 28 C 7/19, au motif que si le Tribunal avait certainement perçu le problème de l’interprétation de l’article 82, paragraphe 1 du RGPD, il avait ensuite commis une erreur de nature constitutionnelle dans sa propre interprétation du droit de l’UE en fondant son rejet de la demande sur une caractéristique d’absence de pertinence qui n’est ni directement prévue par le RGPD, ni préconisée par la doctrine, ni utilisée par la CJUE.

[11] Article 101, paragraphe 1, phrase 2) de la Loi fondamentale allemande : « Nul ne peut être privé de son juge légitime ».

[12] Article 80 RGPD – Représentation des personnes concernées :

« 1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement. »

[13] § 28 KSchG Unterlassungsanspruch (Mesures d’injonction) :

« (1) Toute personne qui, dans la pratique du commerce, dans les conditions générales sur lesquelles elle fonde les contrats qu’elle conclut ou dans les formulaires de contrats utilisés dans ce cadre, prévoit des conditions contraires à une interdiction légale ou aux bonnes mœurs, ou qui recommande de telles conditions dans la pratique du commerce, peut être poursuivie en injonction. Cette interdiction inclut également l’interdiction de se fonder sur une telle condition dans la mesure où elle a été indûment convenue.

(2) Le risque d’utiliser et de recommander de telles conditions cesse d’exister si le professionnel, après avoir été averti par une institution habilitée à intenter une action en vertu de l’article 29, soumet dans un délai raisonnable une déclaration de cessation et de désistement assortie d’une sanction contractuelle appropriée (article 1336 du Code civil – Allgemeines bürgerliches Gesetzbuch – ABGB).

(3) Toute personne qui utilise ou recommande l’utilisation de conditions générales ou de formulaires pour les contrats doit les remettre à une institution autorisée à intenter une action en vertu de l’article 29 dans un délai de quatre semaines sur demande, à condition que l’institution puisse démontrer de manière crédible que la connaissance des conditions ou des formulaires est nécessaire pour protéger les intérêts des consommateurs. »

[14] § 29 KSchG Klageberechtigung (Droit d’agir) :

« (1) La demande peut être introduite par la Chambre économique fédérale autrichienne (Wirtschaftskammer Österreich), la Chambre fédérale du travail (Bundesarbeitskammer), la Chambre autrichienne des travailleurs agricoles, la Conférence présidentielle des Chambres d’agriculture autrichiennes (Präsidentenkonferenz der Landwirtschaftskammern Österreichs), la Fédération autrichienne des syndicats (Österreichischer Landarbeiterkammertag), l’Association pour l’information des consommateurs (Verein für Konsumenteninformation) et le Conseil autrichien des seniors (Österreichischer Seniorenrat). (…) ».

[15] Article 25 RGPD – Protection des données dès la conception et protection des données par défaut :

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

2. Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.

3. Un mécanisme de certification approuvé en vertu de l’article 42 peut servir d’élément pour démontrer le respect des exigences énoncées aux paragraphes 1 et 2 du présent article. »

[16] GZ 17 Cg 54 / 18z-10.

[17] GZ 5 R 125 / 19t-15.

[18] § 6 KSchG Unzulässige Vertragsbestandteile (Composants contractuels inadmissibles)

« (…) (3) Une disposition contractuelle contenue dans des conditions générales ou des formulaires de contrat est nulle si elle est rédigée de manière peu claire ou incompréhensible. »

[19] Bundesgerichtshof I ZR 186/17 (Association fédérale des centres de consommateurs des États fédéraux c/ Facebook) : « Les dispositions du chapitre VIII, en particulier de l’art. 80, par. 1 et 2, ainsi que de l’art. 84, par. 1, du RGPD s’opposent-elles à une réglementation nationale qui accorde aux concurrents, d’une part, et aux associations, organismes et chambres habilités par le droit national, d’autre part, le pouvoir d’agir contre le contrevenant par voie d’action devant les juridictions civiles pour des violations du RGPD, indépendamment de la violation de droits spécifiques de personnes concernées et sans mandat d’une personne concernée, sous les aspects de l’interdiction d’exercer des pratiques commerciales déloyales ou de la violation d’une loi sur la protection des consommateurs ou de l’interdiction d’utiliser des conditions générales inapplicables ? »

[20] Renvoi préjudiciel à la CJUE de la Cour Suprême autrichienne du 25 novembre 2020, 6 Ob 77/20x.