La Cour de justice de l’Union européenne (CURIA) confirme aujourd’hui qu’une association de défense des consommateurs peut exercer une action représentative en justice contre des atteintes à la protection des données à caractère personnel.
Elle répond ainsi à la Cour fédérale de justice de l’Allemagne, qui se demandait si cela était encore possible depuis l’entrée en vigueur du règlement général sur la protection des données (RGPD), dans la mesure où il incombe principalement aux autorités de contrôle de vérifier l’application de celui-ci.
Et ce, indépendamment de la violation concrète de droits de personnes concernées individuelles et sans mandat de ces dernières.
La CURIA conclut que rien ne s’y oppose, dès lors que le traitement des données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.
Comme il s’agit d’un renvoi préjudiciel, la décision de ce jour lie, de la même manière, les autres juridictions nationales qui seraient saisies d’un problème similaire.
Il s’agit d’une victoire considérable pour les citoyens européens : les multinationales, telles que Facebook, ne bénéficieront plus de l’immunité presque totale sur les infractions au RGPD, à cause de l’inactivité coupable et scandaleuse de l’autorité de protection des données de l’Irlande (Irish DPC).
On en a aujourd’hui encore une illustration : la DPC doit payer des dizaines de milliers de dollars de frais de justice pour un retard de 47 mois dans des affaires contre WhatsApp et Instagram, quand le RGPD exige une décision « sans délai » et que dans la plupart des États membres de l’UE, la loi exige une décision dans un délai de 3 à 12 mois.
Non seulement la DPC prive 440 millions de citoyens de leurs droits, mais elle gâche l’argent des contribuables. Malheureusement, la Haute Cour irlandaise est pire encore.