RGPD et protection de l’enfance : une fille de 12 ans affronte le géant de la technologie TikTok

Un juge de la Haute Cour du Royaume-Uni a autorisé un recours collectif en justice contre TikTok pour son traitement des données des enfants. Le procès a été intenté par une fille alors âgée de 12 ans qui s’est vu accorder l’anonymat par le tribunal pour faire valoir que le site de réseautage social traite illégalement les données des enfants.

La poursuite demande des dommages-intérêts au nom de millions d’enfants pour abus présumé de leurs informations – et si l’action en justice réussit, TikTok pourrait être tenu de payer des milliards d’euros de compensation.

Une poursuite similaire en matière de données sur les enfants demandant une indemnisation, la protection de l’enfance GDPR, a également été déposée contre TikTok aux Pays-Bas.

Les deux recours collectifs dépendent de l’article 80 du RGPD.

Les responsables de la protection de la vie privée de nombreuses grandes entreprises et plateformes de commerce électronique ont passé des nuits blanches à réfléchir aux conséquences possibles de l’article 80 du RGPD. L’article 80 du RGPD contient des règles sur les pouvoirs des entités à but non lucratif actives autour de la protection des droits et libertés des personnes concernées au regard du RGPD.

En premier lieu, l’article 80, paragraphe 1, du RGPD donne à ces organisations à but non lucratif le droit d’agir lorsqu’elles sont directement mandatées par une personne concernée spécifique. Ainsi, une association à but non lucratif peut déposer une plainte ou intenter une action en justice concernant le RGPD au nom et pour le compte d’une personne spécifique, lorsqu’elle peut fournir la preuve (par exemple, un mandat signé) que la personne spécifique a demandé à l’association de le faire alors. Ce n’est bien sûr pas ce qui empêche les agents de protection de la vie privée de dormir la nuit.

Article 80(2) du RGPD

C’est la partie suivante qui cause leur inquiétude. L’article 80, paragraphe 2, du RGPD contient une clause d’ouverture : lorsque la législation de l’État membre le prévoit, une organisation à but non lucratif a le droit de déposer des plaintes ou d’exercer des recours judiciaires en vertu du RGPD indépendamment du mandat d’une personne concernée, si l’OBNL considère que les droits d’une personne concernée en vertu du RGPD ont été violés à la suite du traitement.

Ceci, bien sûr, ouvre la porte aux redoutables recours collectifs, et c’est exactement ce qui s’est passé récemment : deux tribunaux de 2 États membres différents de l’UE ont autorisé un recours collectif lié au RGPD.

Dans une décision du 26.05.2021, le tribunal de commerce de Vienne a statué que les actions en justice intentées par une institution autrichienne de protection des consommateurs en vertu de la loi autrichienne sur la protection des consommateurs peuvent également être fondées sur des violations du RGPD. Et dans sa décision du 12.07.2021, le tribunal de district d’Amsterdam a jugé que la Data Privacy Foundation, une organisation à but non lucratif aux Pays-Bas, pouvait intenter une action en justice devant un tribunal néerlandais contre Facebook au nom des utilisateurs néerlandais de Facebook, sur la question de savoir si Facebook dispose d’une base juridique valable pour ses activités de traitement.

Les deux décisions faisaient directement référence à l’article 80(2) et permettaient aux organismes à but non lucratif d’agir indépendamment d’un mandat direct et, par conséquent, de tenir des recours collectifs.

Plus de recours collectifs contre Facebook, Tik Tok, Salesforce, Youtube

Depuis, on a vu des class actions contre Facebook, Tik Tok, Salesforce, Youtube… Nul doute que d’autres suivront.

Considérons le fait que, selon l’EDPB, tous les participants à une plateforme de commerce électronique sont co-responsables du traitement. Ainsi, si un détaillant sur la plateforme enfreint le RGPD, l’opérateur de la plateforme peut également être responsable de la violation par ce détaillant.

Si nous combinons ces connaissances avec le fait que des recours collectifs liés au RGPD sont possibles, il est facile de comprendre pourquoi les responsables de la protection de la vie privée passent des nuits blanches.