noyb est désormais agréée en tant qu'"entité qualifiée" pour intenter des actions de recours collectif devant les tribunaux de l'Union européenne. Une telle action en vertu de la directive (UE) 2020/1828 peut être une "injonction" ou une mesure de "réparation". les "injonctions" interdisent généralement à une entreprise de se livrer à des pratiques illégales, y compris à des violations du GDPR. les mesures de "réparation" permettent une version européenne d'un "recours collectif", où des milliers ou des millions d'utilisateurs peuvent être représentés par des avocats du noyb et demander, par exemple, des dommages et intérêts non matériels lorsque leurs données à caractère personnel ont été traitées de manière illicite. Contrairement aux recours collectifs américains, la législation européenne exige que de tels recours soient intentés sans but lucratif.
- Décision accordant le statut de QE à l'Autriche et à l'UE
- Décision accordant le statut de QE à l'Irlande et à l'UE
- informations surle noyb en vertu de la directive (UE) 2020/1828
Approbation en Autriche et en Irlande - valable dans toute l'UE. Le système de recours collectif de l'UE repose sur des organisations à but non lucratif qui doivent être agréées en tant qu'"entités qualifiées" (EQ) pour pouvoir engager une action en justice. Contrairement à l'approche "Far West" du droit américain, qui permet à tout cabinet d'avocats d'intenter des "Class Actions" (souvent à leur propre avantage), le système européen vise à supprimer les incitations financières pour les plaignants et n'autorise que les organisations à but non lucratif, telles que noyb, à intenter des actions en justice. Alors que la directive aurait dû être pleinement mise en œuvre avant le 25 juin 2023, de nombreux États membres ont été retardés et les processus d'approbation des entités qualifiées n'étaient pas encore disponibles ou ouverts. noyb a demandé une approbation en tant qu'entité qualifiée dans deux États membres : L'Irlande et l'Autriche. L'Autriche étant le principal établissement de noyb et l'Irlande étant un pays d'intérêt spécifique, étant donné le grand nombre de sièges sociaux d'entreprises technologiques internationales en Irlande. Les deux agréments ont été accordés et sont valables dans ces deux États membres, mais aussi dans l'ensemble de l'UE. Les entités qualifiées d'un État membre peuvent intenter des actions dans n'importe quel État membre de l'UE.
Max Schrems, président de noyb: "Le noyb s'est préparé à cette étape au cours des dernières années et a suivi un processus rigoureux pour obtenir cette approbation, au cours duquel l'indépendance mais aussi la stabilité organisationnelle de l'organisation ont été examinées. Cela nous permettra désormais d'intenter des actions en cessation contre toute entreprise qui enfreint le GDPR sur le marché de l'UE. En outre, nous pouvons également former des "actions collectives" dans le cadre desquelles des milliers ou des millions d'utilisateurs peuvent demander des dommages-intérêts en cas d'utilisation abusive de leurs données à caractère personnel. Nous prévoyons d'engager les premières actions en 2025. Jusqu'à présent, les recours collectifs ne sont pas vraiment envisagés par beaucoup, mais ils ont le potentiel de changer la donne
L'approbation du Bundeskartellanwalt autrichien a été délivrée le 2 décembre 2024, celle du ministère irlandais de la justice le 10 octobre 2024.
Mesures injonctives. Les mesures injonctives prévues à l'article 8 de la directive européenne permettent à une entité qualifiée de demander à une entreprise de mettre fin à une pratique illégale. Dans le cas de noyb, il peut s'agir du suivi d'utilisateurs sans consentement valable, de l'utilisation de "modèles sombres" pour obtenir illégalement un consentement, de la vente de données à caractère personnel sans base juridique, de formulations absurdes dans les politiques de confidentialité ou du transfert de données à caractère personnel vers une juridiction qui n'offre pas une protection adéquate. D'une manière générale, ce nouvel instrument permettrait de faire respecter de nombreux autres types de non-respect, tels que les réponses incomplètes ou tardives aux demandes d'accès ou d'effacement prévues par le GDPR.
Ursula Pachl, responsable des recours collectifs chez noyb: "Les injonctions sont utilisées avec succès par les organisations de consommateurs depuis des décennies lorsqu'il s'agit de clauses contractuelles ou de pratiques commerciales déloyales. La nouvelle loi européenne permet désormais à noyb d'utiliser également de telles injonctions lorsqu'il s'agit de violations du GDPR ou d'autres infractions à la protection des consommateurs - et nous savons tous qu'il y en a des milliers."
En règle générale, une organisation à but non lucratif s'adresse d'abord directement à une entreprise pour lui demander de mettre fin à une activité illégale et de signer un accord dit "de cessation et d'abstention". Si l'entreprise refuse de signer un tel accord pour mettre fin à l'infraction, l'association peut porter plainte dans n'importe quel État membre de l'UE où l'entreprise est active ou à son siège social dans l'UE.
Mesures de réparation. La nouvelle loi permet également d'engager des procédures de "réparation" en cas de violation passée ou en cours d'un traitement illégal de données. En règle générale, ces actions comprennent des demandes de dommages-intérêts ou des demandes de restitution des profits illicites réalisés grâce à un traitement illégal. Bien que les dommages-intérêts non matériels puissent être relativement faibles et ne s'élever qu'à 100 ou 1 000 euros par utilisateur, ils peuvent rapidement s'accumuler si une entreprise a violé les droits de millions d'utilisateurs. Dans la plupart des États membres de l'UE, chaque utilisateur doit demander à une association à but non lucratif de le représenter (système "opt-in"). Toutefois, dans certaines juridictions, comme aux Pays-Bas ou au Portugal, une entité qualifiée peut représenter tout utilisateur qui ne s'y est pas opposé (système "opt-out").
Ursula Pachl :"Pour un consommateur individuel, il est généralement trop difficile et inutile d'intenter une action en justice de plus de 200 euros contre une grande entreprise technologique. Toutefois, si des millions d'utilisateurs concernés se regroupent, la dynamique s'inverse rapidement et les coûts et les risques pour chaque utilisateur individuel deviennent gérables. C'est exactement le pouvoir des actions de "recours collectif"
Prochaines étapes. Au cours des dernières années,noyb a préparé les moyens organisationnels et techniques nécessaires à l'introduction d'actions en réparation collective et s'attend à ce que les premières affaires soient introduites en 2025. Alors que les mesures d'injonction peuvent être rapidement mises en œuvre et que la directive 93/13/EEE sur les clauses abusives a permis d'acquérir une grande expérience dans ce domaine, les mesures de réparation nécessitent une préparation plus longue et l'expérience est moindre. Jusqu'à présent, les recours collectifs étaient limités à certains États membres, comme le Portugal, les Pays-Bas, l'Allemagne ou l'Autriche, avec des approches très différentes de celles de la nouvelle directive européenne.
