Maximilien Schrems, l’Autrichien qui avait déjà fait invalider l’accord de transfert de données personnelles de l’Europe vers les États-Unis, n’a pas obtenu total gain de cause devant la CJUE. Ce matin, elle a repoussé la possibilité d’exercer dans un État membre une « action collective » internationale à l’encontre de Facebook Irland.
Depuis des années, Maximilien Schrems est convaincu que Facebook bafoue allègrement les textes européens en matière de protection des données. En août 2014, il avait ainsi engagé une action contre le réseau social en Autriche. Mieux : il avait organisé une sorte d’action collective sur le site fbclaim.com, promettant à chacun des dizaines de milliers d’Européens déclarés d’espérer une réparation de 500 euros.
En contrepartie, ces consommateurs avaient simplement à céder leurs droits, à charge pour lui de les représenter devant les juridictions de Vienne. La logique est évidente : une union de David est toujours mieux armée face au Goliath américain, lequel peut toujours profiter de la division.
Cette procédure avait justement pour enjeu d’éviter l’éparpillement des contentieux, d’autant que Facebook plaidait pour un dépaysement devant les juridictions irlandaises. Schrems oppose le Règlement du 22 décembre 2000 qui prévoit que les consommateurs peuvent agir au choix dans l’État de leur domicile ou dans celui où est installée l’autre partie.
Ce matin, saisie d’une question préjudicielle, la CJUE s’est penchée d’abord sur la question du statut de Maximilien Schrems. Celui-ci peut-il, comme il le prétend, agir sur le fondement du droit de la consommation alors qu’il a industrialisé son cas, en publiant des livres, donné des conférences, collecté des dons, tout en se faisant céder les droits de consommateurs ? N’a-t-il pas dépassé la ligne rouge ?
Consommateurs et compétence des juridictions face à Facebook
La CJUE a donné plusieurs lignes directrices : ainsi, l’utilisateur Facebook reste consommateur si son usage n’a pas acquis « par la suite, un caractère essentiellement professionnel ». Pour le cas de Schrems, elle note surtout que la notion de consommateur « se définit par opposition à celle d’opérateur économique ».
Or, elle « est indépendante des connaissances et des informations dont la personne concernée dispose réellement », tout comme de son expertise engrangée au fil du temps voire de « son engagement aux fins de la représentation des droits et des intérêts des usagers de ces services ».
Dit autrement, Schrems reste bien consommateur, malgré ses multiples actions. Elle ajoute en ce sens qu’une « interprétation de la notion de « consommateur » qui exclurait de telles activités reviendrait à empêcher une défense effective des droits que les consommateurs détiennent à l’égard de leurs cocontractants professionnels, y compris ceux relatifs à la protection de leurs données personnelles ».
Pas de cession des droits provenant d'autres consommateurs
Le premier palier passé haut la main, restait la question centrale : est-ce qu’un consommateur peut dans son pays, faire valoir ses droits, mais également ceux d’autres consommateurs installés dans l’Union ou dans des pays tiers ?
Sa réponse a été négative cette fois, à la lecture des différents textes européens. Pour la Cour, une telle cession de droits ne peut avoir d’incidence sur les règles de compétence spécifiques existant en droit de la consommation. Ainsi, « un demandeur qui n’est pas lui-même partie au contrat de consommation en cause ne saurait bénéficier du for du consommateur ».
Dans un communiqué, Maximilien Schrems regrette que la Cour n’ait pas fait le grand bond, en donnant la priorité au législateur européen. Il positive cependant : il va pouvoir attaquer personnellement Facebook devant les juridictions de Vienne et, s’il est victorieux, sa démarche pourra être répliquée par d’autres consommateurs dans tous les autres États membres.
L'amendement Forteza et le RGPD
En France, la loi de modernisation de la justice du XXIe siècle du 18 novembre 2016 a introduit dans la loi CNIL une possibilité d’actions de groupe. Toutefois, elle exige de passer par le biais d’associations de consommateurs ou de protection de la vie privée ou d’un syndicat. De même, elle ne peut tendre qu’à la cessation des manquements, jamais à la réparation d’un dommage.
Le changement arrive bientôt cependant : l’article 80 du règlement général sur les données personnelles (RGPD) permet à une personne de mandater un organisme pour qu’il obtienne en son nom cette fameuse indemnisation. À l’Assemblée nationale, le dispositif vient d’être aiguisé, à l’occasion de l’examen en commission du projet de loi sur la protection des données personnelles, à l’initiative de la rapporteure Paula Forteza (LREM).
- Télécharger l'arrêt de la CJUE Schrems vs Facebook
