Pos­si­bi­li­té d’adress­er des aver­tis­se­ments en cas de vio­la­ti­on du RGPD : Tri­bu­nal régio­nal supé­ri­eur de Hambourg

En Alle­ma­gne, selon les tri­bu­naux de gran­de instance Würz­burg et Bochum, la Cour d’ap­pel (OLG) de Ham­bourg a éga­le­ment pris une décis­i­on. Juge­ment ren­duqui trai­te de la pos­si­bi­li­té d’adress­er des aver­tis­se­ments en cas de vio­la­ti­on du RGPD selon le droit alle­mand de la con­cur­rence déloya­le. Selon la Cour d’ap­pel de Ham­bourg, le RGPD ne con­ti­ent pas de système de sanc­tions ache­vé qui exclu­rait les avertissements :

[…] Le Sénat, con­trai­re­ment à la posi­ti­on défen­due par la défen­der­es­se pas de l’a­visque le RGPD est un con­ti­ent un système de sanc­tions ache­véLa Com­mis­si­on euro­pé­en­ne a déci­dé d’ad­op­ter une loi sur la pro­tec­tion des don­nées qui exclut la pour­suite d’ac­tes de vio­la­ti­on de la pro­tec­tion des don­nées par des con­curr­ents sur la base du droit de la con­cur­rence déloyale.

55 Ce point de vue, défen­du notam­ment par Köh­ler […], a fait l’ob­jet de cri­ti­ques. Elle se fon­de prin­ci­pa­le­ment sur le fait que les artic­les 77 à 79 du RGPD pré­voi­ent des voies de recours pour la “per­son­ne con­cer­née”, c’est-à-dire la per­son­ne dont les don­nées sont trai­tées (voir artic­le 4, point 1, du RGPD), et que l’ar­tic­le 80, para­gra­phe 1, du règle­ment auto­ri­se la per­son­ne con­cer­née à char­ger des orga­ni­sa­ti­ons d’e­xer­cer les droits sus­ment­i­onnés en son nom. La clau­se d’ou­ver­tu­re de l’ar­tic­le 80, para­gra­phe 2, du règle­ment pré­voit seu­le­ment que les États mem­bres peu­vent éga­le­ment accor­der à ces orga­ni­sa­ti­ons le droit de pour­suiv­re une infrac­tion sans man­dat de la per­son­ne con­cer­née. La défen­der­es­se en déduit, avec Köh­ler, que les con­curr­ents n’ont pas le pou­voir de fai­re valoir leurs pro­pres droits.

56 On objec­te à juste tit­re que l’ar­tic­le 80, para­gra­phe 2, du RGPD entend rég­ler la que­sti­on de l’ac­tion coll­ec­ti­ve, mais n’a pas de carac­tère défi­ni­tif en rai­son de l’ap­pli­ca­ti­on du droit par d’aut­res […]. Le fait que les artic­les 77 à 79 du RGPD pré­voi­ent cer­tes des voies de recours pour les per­son­nes con­cer­nées […] ou tou­te aut­re per­son­ne […], mais tou­jours sans pré­ju­di­ce d’un aut­re recours admi­ni­stra­tif ou judi­ciai­re […] ou d’un aut­re recours admi­ni­stra­tif ou ext­ra­ju­di­ciai­re […] plai­de éga­le­ment en ce sens. Et l’ar­tic­le 82 du RGPD accor­de à son tour des droits à répa­ra­ti­on à “tou­te per­son­ne” qui a subi un pré­ju­di­ce en rai­son de la vio­la­ti­on du règle­ment. Cela indi­que éga­le­ment clai­re­ment que le RGPD n’ex­clut pas la pour­suite d’ac­tes de vio­la­ti­on de la légis­la­ti­on sur la pro­tec­tion des don­nées par d’aut­res per­son­nes que les “per­son­nes con­cer­nées” dont les don­nées sont trai­tées (voir artic­le 4, point 2, du RGPD).

57 Enfin, l’ar­tic­le 84, para­gra­phe 1, du RGPD dis­po­se que “les États mem­bres déter­mi­nent le régime des aut­res sanc­tions appli­ca­bles aux vio­la­ti­ons des dis­po­si­ti­ons du pré­sent règle­ment […] et pren­nent tou­te mesu­re néces­saire pour assurer la mise en œuvre de cel­les-ci. […] Cela plai­de éga­le­ment en faveur du fait que le règle­ment n’est qu’u­ne Niveau mini­mal de sanc­tions Dans le con­tex­te de la dis­po­si­ti­on de l’ar­tic­le 77 du RGPD, qui laisse ouver­tes pour tou­te per­son­ne con­cer­née d’aut­res voies de recours judi­ciai­res – donc non régle­men­tées par le RGPD lui-même – ain­si que de la dis­po­si­ti­on de l’ar­tic­le 82, para­gra­phe 1, du RGPD, qui accor­de non seu­le­ment à la per­son­ne con­cer­née, mais aus­si à tou­te per­son­ne, un droit à répa­ra­ti­on, il appa­raît clai­re­ment que le RGPD est con­çu de maniè­re ouver­te en rai­son d’aut­res voies de recours et sanc­tions qui ne sont pas régle­men­tées par le règle­ment lui-même.

Les aver­tis­se­ments restent donc en prin­ci­pe pos­si­bles. Il con­vi­ent tou­te­fois d’ex­ami­ner au cas par cas la nor­me enfrein­te afin de déter­mi­ner si elle pré­sen­te un carac­tère con­cur­ren­tiel ; dans le cas con­trai­re, l’in­frac­tion ne con­sti­tue pas une att­ein­te à la concurrence :

Selon l’ar­tic­le 3a de la loi cont­re la con­cur­rence déloya­le, -[…] agit de maniè­re déloya­le celui qui cont­re­vi­ent à une dis­po­si­ti­on léga­le, qui est éga­le­ment desti­née à régle­men­ter le com­porte­ment sur le mar­ché dans l’in­té­rêt des acteurs du mar­ché. […] Une dis­po­si­ti­on visa­nt à pro­té­ger les droits, les biens juri­di­ques ou d’aut­res inté­rêts des par­ti­ci­pan­ts au mar­ché est une règ­le de con­duite sur le mar­ché si le inté­rêt pro­té­gé pré­cis­é­ment par la par­ti­ci­pa­ti­on au mar­chéla con­clu­si­on de cont­rats d’é­ch­an­ge et la con­som­ma­ti­on ou l’uti­li­sa­ti­on ulté­ri­eu­re du bien ou du ser­vice acquis soit tou­ché. Une fonc­tion de pro­tec­tion spé­ci­fi­quement liée à la con­cur­rence, en ce sens que la régle­men­ta­ti­on pro­tège spé­ci­fi­quement les acteurs du mar­ché cont­re le ris­que d’u­ne influence déloya­le sur leur com­porte­ment sur le mar­ché, n’est pas néces­saire. […] […] Avec la décis­i­on du Sénat du 27 juin 2013, il n’est cepen­dant pas déjà expri­mé – con­trai­re­ment à ce que sem­ble sup­po­ser le tri­bu­nal régio­nal – que tou­te nor­me de pro­tec­tion des don­nées a un carac­tère de règ­le de com­porte­ment sur le mar­ché. Dans la juris­pru­dence et la lit­té­ra­tu­re, on trouve désor­mais Droit adop­téque, dans la mesu­re où la nor­me en que­sti­on doit être exami­née con­crè­te­ment pour savoirLa que­sti­on est de savoir si cet­te nor­me a pré­cis­é­ment pour objet de régle­men­ter le com­porte­ment sur le marché.