Introduction à la mise en demeure pour atteinte à la protection des données
La mise en demeure pour atteinte à la protection des données est un instrument central dans le droit de la protection des données pour faire respecter le Règlement général sur la protection des données (RGPD). Depuis l’entrée en vigueur du RGPD en 2018, les entreprises et organisations sont tenues de faire preuve de la plus grande diligence lors du traitement des données personnelles. En cas de violation de ces dispositions, par exemple par une information insuffisante des utilisateurs ou un traitement de données non conforme, une mise en demeure peut être prononcée. Celle-ci peut être initiée non seulement par les autorités de protection des données, mais aussi par des concurrents, des associations de défense des consommateurs ou même par les personnes concernées elles-mêmes. L’objectif d’une mise en demeure en matière de protection des données est d’inciter l’entreprise à cesser l’infraction et à respecter les droits de protection des données. Pour les entreprises, cela signifie qu’elles doivent régulièrement vérifier et adapter leurs processus et la gestion des données personnelles pour éviter les mises en demeure et d’éventuelles poursuites judiciaires.
Bases légales
Les bases légales des mises en demeure dans le domaine de la protection des données se trouvent principalement dans le RGPD ainsi que dans la loi contre la concurrence déloyale (UWG). Le RGPD règle en détail la manière dont les données personnelles peuvent être collectées, stockées et traitées. Les violations de ces dispositions, telles que le traitement non autorisé ou le manque de transparence, peuvent être poursuivies non seulement par les autorités de protection des données, mais aussi dans le cadre du droit de la concurrence. L’UWG protège la concurrence des pratiques commerciales déloyales et prévoit qu’une infraction à la protection des données puisse également être considérée comme une infraction à l’UWG si elle procure un avantage déloyal à une entreprise. Ainsi, les mises en demeure pour violation de la protection des données peuvent être prononcées tant sur la base du RGPD que de l’UWG. Les entreprises doivent donc s’assurer de respecter strictement les dispositions légales relatives au traitement des données personnelles pour éviter les mises en demeure et d’autres conséquences juridiques.
Les concurrents peuvent mettre en demeure – Jugements de la Cour fédérale de justice I ZR 186/17 / I ZR 222/19 / I ZR 223/19
Les concurrents et les associations de défense des consommateurs peuvent mettre en demeure des infractions à la protection des données par des entreprises ; le tribunal joue un rôle central dans la décision concernant les mises en demeure pour infractions à la protection des données. La Cour fédérale de justice l’a décidé dans plusieurs arrêts du 27 mars 2025 (réf. I ZR 186/17, I ZR 222/19, I ZR 223/19). Différents tribunaux ont auparavant rendu des décisions variées sur l’autorisation de mise en demeure en cas de violation de la protection des données. Le nombre élevé de cas d’infractions à la protection des données montre la pertinence pratique de ce sujet. L’arrêt actuel de la Cour fédérale de justice clarifie que les concurrents et les associations de consommateurs peuvent également être actifs. Les arrêts de la Cour fédérale de justice de mars 2025 sont d’une grande importance pour la pratique de la mise en demeure car ils permettent la poursuite des infractions à la protection des données par les associations de consommateurs et les concurrents devant les juridictions civiles. Une mise en demeure sous le RGPD est une forme particulière de mise en demeure qui se rapporte à des violations du Règlement général sur la protection des données et se distingue des autres mises en demeure par son rapport à la protection des données. Les centres de consommateurs jouent un rôle important dans la mise en œuvre des droits en matière de protection des données. Les associations de consommateurs sont grandement impliquées dans la mise en demeure des infractions à la protection des données. Les concurrents peuvent eux aussi poursuivre les infractions à la protection des données et ainsi protéger la concurrence. L’arrêt de la Cour fédérale de justice a un impact considérable sur la pratique et l’évaluation légale des infractions à la protection des données.
Les infractions à la protection des données ne peuvent pas seulement être sanctionnées par les autorités de surveillance. La compétence décisionnelle des tribunaux en matière d’infractions à la protection des données est d’une importance centrale. Comme le montrent les décisions de la Cour fédérale de justice, les concurrents et les associations de consommateurs peuvent également agir contre les violations. Dans le cadre de ces procédures, la partie défenderesse joue également un rôle important. Pour les entreprises, cela peut avoir des conséquences importantes, notamment dans le commerce en ligne et le traitement des données sensibles, note la firme d’avocats MTR Legal, spécialisée notamment en droit des technologies de l’information et en droit de la protection des données. Les infractions au RGPD peuvent entraîner des conséquences juridiques considérables, notamment lorsque des demandes d’interdiction sont formulées. En cas de violation répétée du RGPD, des sanctions renforcées et d’autres mesures peuvent être prises. La poursuite des infractions à la protection des données est exercée tant par les tribunaux que par les associations. L’importance des phrases 1 et 1 numéro dans les articles pertinents est cruciale pour l’évaluation juridique. La question revêt une grande importance pour l’évolution du droit de la protection des données et l’application des droits des consommateurs.
L’application de jeux publie des données
Dans le cas de la référence I ZR 186/17, il s’agissait d’une soi-disant ‘App-Center’ dans un réseau social, où des fournisseurs tiers proposaient des jeux. Le centre d’application sert de plateforme centrale où diverses applications de tiers sont proposées. Sur ce centre d’application, les jeux en ligne jouent un rôle important, car ils constituent une grande partie de l’offre. Lors de l’utilisation de l’application, des données personnelles telles que ton adresse e-mail peuvent être traitées. Avant qu’un utilisateur ne puisse démarrer un jeu, il lui était indiqué que l’application recevrait certaines autorisations, par exemple pour publier des statuts. Ces indications étaient cependant vagues et n’informaient pas de manière précise quelles données étaient traitées, qui étaient les destinataires et à quelles fins cela était fait. Le groupement des centres de consommateurs des Länder a intenté une action avec succès contre cela.
La Cour fédérale de justice a précisé qu’une information aussi vague et générale ne satisfait pas aux exigences du Règlement général sur la protection des données (RGPD). Dès la collecte des données par l’application, les utilisateurs doivent être pleinement informés. L’étendue des données collectées et traitées doit également être représentée de manière transparente. La formulation juridiquement correcte des finalités d’utilisation dans la déclaration de confidentialité est d’une importance particulière à cet égard. Les obligations d’information selon les articles 12 et 13 du RGPD nécessitent une information claire, précise et compréhensible des personnes concernées. Comme ces exigences du RGPD régissent également le comportement sur le marché au sens du droit de la concurrence (§ 3a UWG), leur non-respect constitue une infraction à la concurrence. Les concurrents ou les associations de défense des consommateurs qualifiées peuvent donc engager une action civile contre de telles infractions à la protection des données, a indiqué la Cour fédérale de justice. Cela s’applique indépendamment de la plainte d’un utilisateur.
Les pharmaciens vendent des médicaments en ligne
Des questions similaires ont été traitées dans les procédures des références I ZR 222/19 et I ZR 223/19. Ici, deux pharmacies avaient vendu des médicaments via la plateforme Amazon. Les données personnelles des clients, y compris les données de santé, telles que le nom, l’adresse ou les médicaments commandés et les informations sur leur individualisation, ont été traitées. La collecte de ces données de santé par les pharmacies était au cœur des procédures. Il y avait de nombreux cas de violations de la protection des données dans le secteur pharmaceutique qui sont devenus pertinents dans ce contexte. D’autres pharmaciens avaient intenté des actions contre cela. Ces actions ont également été couronnées de succès : la Cour fédérale de justice a souligné que les données de commande constituent des données de santé au sens de l’Art. 9, §1 du RGPD. Cela s’applique également lorsque les médicaments ne sont pas soumis à prescription. Les données ne peuvent être traitées que si le consentement explicite des clients a été obtenu, ce que les pharmaciens n’avaient pas fait.
La Cour fédérale de justice a confirmé l’évaluation de la Cour de justice de l’Union européenne selon laquelle il s’agit de données de santé dès que la commande permet de déduire l’état de santé ou la médication. Dans les procédures, elle a joué un rôle central, car elle était responsable du traitement des données. La protection de la personne concernée lors du traitement des données de santé a été particulièrement soulignée. La Cour fédérale de justice a également constaté une infraction à la concurrence. L’art. 9, al. 1 du RGPD est une règle de comportement sur le marché au sens de l’art. 3a UWG, de sorte que l’infraction à cette disposition peut faire l’objet d’une action en justice pour violation du droit de la concurrence par un concurrent devant les tribunaux civils, selon les juges de Karlsruhe. L’importance de la phrase 1 et de la phrase 1 numéro dans les paragraphes pertinents a été explicitement soulignée.
Le RGPD est également pertinent en matière de droit de la concurrence
Les jugements montrent que les dispositions du RGPD – et ici particulièrement les obligations d’information et les dispositions sur le consentement – sont également pertinentes en matière de droit de la concurrence. Sous certaines conditions, les bénéfices réalisés grâce à des infractions à la protection des données peuvent être annulés ; cela est en lien avec des amendes et d’autres mesures pénales qui peuvent être imposées conformément au Règlement général sur la protection des données et à la loi. Les entreprises qui traitent des données personnelles ou sensibles sans information suffisante ou sans consentement valide agissent de manière anticoncurrentielle. Non seulement les autorités de protection des données, mais aussi les concurrents ou les associations d’intérêts qualifiées peuvent prendre des mesures contre de telles infractions. Ainsi, la Cour fédérale de justice a considérablement élargi le champ d’application du droit de la concurrence. Les entreprises qui enfreignent les dispositions de protection des données peuvent non seulement se voir infliger des amendes par les autorités de protection des données, mais aussi recevoir des mises en demeure payantes et des injonctions de la part de concurrents et d’associations de protection des consommateurs.
Les entreprises feraient bien de
s’assurer de bien examiner et remplir leurs obligations d’information. Cela inclut d’informer les utilisateurs de manière transparente, compréhensible et complète sur les données traitées, leur finalité, la base légale sur laquelle ce traitement repose, qui sont les destinataires, et quels sont les droits des personnes concernées. De même, avant le traitement de données sensibles – comme les données de santé – il faut obtenir et documenter un consentement explicite. Les clauses générales ou cachées ne sont pas suffisantes.
Les places de marché en ligne et la protection des données
Les places de marché en ligne telles que Amazon Marketplace sont devenues incontournables dans le commerce électronique moderne. Cependant, ici, le respect de la protection des données est d’une importance particulière. Les fournisseurs présents sur ces plateformes doivent respecter les règles strictes du RGPD lors du traitement des données des clients – telles que les noms, adresses ou commandes. Les décisions de la Cour fédérale de justice dans les procédures I ZR 186/17, I ZR 222/19 et I ZR 223/19 ont clarifié que les infractions au RGPD – telles que le traitement de données de santé sans le consentement explicite des clients – peuvent avoir non seulement des conséquences juridiques en matière de protection des données, mais aussi des conséquences en matière de droit de la concurrence. Dans ces cas, des mises en demeure par des concurrents ou des associations de consommateurs sont possibles et peuvent avoir des conséquences considérables pour les entreprises. Les décisions de la Cour fédérale de justice soulignent que le respect de la protection des données sur les places de marché en ligne n’est pas seulement une question de conformité, mais aussi de concurrence.
Conséquences d’une mise en demeure
Une mise en demeure pour atteinte à la protection des données peut avoir de vastes conséquences pour une entreprise. Outre l’obligation de cesser immédiatement le traitement problématique des données personnelles, des amendes sévères ou des pénalités financières risquent d’être imposées en cas de poursuite de l’infraction. Le RGPD prévoit des montants allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial – selon le montant le plus élevé. De plus, une mise en demeure peut également nuire durablement à la réputation d’une entreprise, car une infraction à la protection des données est perçue par les clients et le public comme une grave atteinte à la confiance. Il est donc dans l’intérêt des entreprises, non seulement pour des raisons légales, mais aussi pour préserver leur réputation, de veiller scrupuleusement au respect des dispositions relatives à la protection des données.
Défense contre les mises en demeure
Pour se protéger efficacement contre les mises en demeure en matière de protection des données, les entreprises devraient régulièrement vérifier leurs pratiques en matière de protection des données et les adapter aux exigences actuelles du RGPD. Cela inclut en particulier l’élaboration d’une déclaration de confidentialité transparente et complète, l’obtention de consentements explicites pour le traitement des données sensibles, ainsi que la mise en œuvre de mesures techniques et organisationnelles pour protéger les données. En cas de mise en demeure, il est conseillé de réagir rapidement et de demander conseil juridique pour défendre au mieux ses intérêts. En agissant de manière proactive et en respectant scrupuleusement les exigences en matière de protection des données, les entreprises peuvent réduire considérablement le risque de mises en demeure et d’autres actions juridiques.
MTR Legal Rechtsanwälte conseille sur la protection des données, le RGPD et d’autres sujets de droit informatique.
N’hésitez pas à prendre contact avec nous !
