DSGVO-Abmahnung par des concurrents : ce qui compte après l’arrêt de la BGH
8 Min. temps de lecture
Depuis que la Cour fédérale de justice a décidé en mars 2025 que les concurrents pouvaient poursuivre certains manquements à la protection des données dans le cadre du droit de la concurrence, la situation en matière de risques pour les entreprises a sensiblement évolué. Un bandeau de cookies défectueux ou un service externe intégré sans base juridique n’est plus seulement une question pour l’autorité de contrôle. Il peut désormais déclencher une mise en demeure payante de la part d’un concurrent. Connaître les paramètres techniques par défaut de son site web et les documenter rigoureusement permet d’atténuer ce risque.
Les points clés en bref
- Nouveau droit d’action en justice : La Cour fédérale de justice a confirmé en mars 2025 (réf. I ZR 222/19 et I ZR 223/19) que les concurrents pouvaient poursuivre certains manquements au RGPD en vertu de la loi contre la concurrence déloyale (UWG), si ses conditions sont remplies. Cela ajoute un second canal de mise en œuvre, en plus de l’autorité de contrôle.
- Indemnisation avec seuil : Une simple infraction ne suffit pas pour engager des recours en vertu de l’article 82 du RGPD. Il faut une infraction, un préjudice concret et un lien de causalité. Toutefois, la simple perte de contrôle sur les données peut être considérée par un tribunal comme un préjudice immatériel.
- Les leviers sont les paramètres techniques par défaut : Les risques typiques et bien visibles résident dans les bandeaux de cookies, le suivi et les services tiers intégrés. Un consentement clair et une documentation transparente réduisent considérablement le risque.
En lien :Les passkeys dans les PME / Quand le serveur de sauvegarde devient une faille de sécurité
Ce qui a changé avec la décision de la Cour fédérale de justice
Qu’est-ce qu’une mise en demeure pour violation du RGPD ? Une mise en demeure est une demande extrajudiciaire invitant à cesser un comportement jugé illégal, généralement accompagnée d’une déclaration d’abstention et d’une note de frais. En matière de protection des données, elle passait jusqu’à présent par les autorités de contrôle et les personnes concernées. La voie du droit de la concurrence était depuis longtemps controversée.
Avec deux arrêts rendus le 27 mars 2025, la Cour fédérale de justice a clarifié cette question : certains manquements au RGPD peuvent être poursuivis par des concurrents en tant que pratique commerciale déloyale au titre de la loi contre la concurrence déloyale (UWG), à condition que ses conditions soient remplies. Concrètement, cela signifie qu’un concurrent peut s’attaquer à une pratique défaillante en matière de protection des données sans être lui-même concerné.
Pour les entreprises, cela ne modifie pas tant le cadre juridique matériel que la probabilité d’être effectivement poursuivi. Une autorité de contrôle hiérarchise ses interventions en fonction de ses ressources. Un concurrent ou une association a souvent un intérêt direct à relever une erreur formelle. C’est précisément pour cette raison que les petites défaillances bien visibles, comme le bandeau de cookies, deviennent un enjeu central.
Quand une violation devient un préjudice indemnisable
Parallèlement, la jurisprudence sur l’indemnisation des dommages s’est précisée. Fin 2024, la Cour fédérale de justice (BGH) a clairement indiqué que la simple perte de contrôle sur des données personnelles pouvait constituer un préjudice immatériel au sens de l’article 82 du RGPD. Cela abaisse le seuil par rapport à l’ancienne interprétation, selon laquelle un droit à réparation supposait un préjudice tangible et quantifiable.
Dans le même temps, le seuil reste réel. Selon la jurisprudence de la CJUE et de la BGH, la violation seule ne suffit pas. Il faut un préjudice concret et un lien de causalité entre la violation et le préjudice. Un risque purement hypothétique que des données tombent entre de mauvaises mains ne fonde pas, selon les tribunaux, un droit à réparation. Cette distinction est cruciale pour la pratique, car elle permet de bloquer les demandes collectives excessives.
Pour les services de sécurité et juridiques, cela implique une priorité claire. Les coûts deviennent particulièrement élevés là où une fuite de données documentée existe et où les personnes concernées peuvent prouver concrètement la perte de contrôle. Connaître et sécuriser les flux de données réduit précisément ce scénario.
Les pièges financiers les plus fréquents au quotidien
La plupart des réclamations concernent des défauts techniques récurrents, rarement des cas exotiques. Les bannières de cookies qui lancent le traçage avant le consentement arrivent en tête. S’y ajoutent les services tiers intégrés, comme les polices de caractères, les cartes ou les scripts d’analyse, qui transmettent des données à des serveurs externes, ainsi que des informations incomplètes dans les mentions légales relatives à la protection des données.
Un deuxième facteur de coûts réside dans la réaction elle-même. De nombreux coûts supplémentaires ne découlent pas de l’erreur initiale, mais d’une signature hâtive apposée sur une déclaration de cessation trop large ou d’une réponse non vérifiée à une mise en demeure. Une déclaration de cessation a un effet à long terme et est assortie d’une pénalité contractuelle, c’est pourquoi elle doit être examinée juridiquement avant signature.
Ce qui protège
- Charger le traçage uniquement après un consentement actif
- Héberger localement les services tiers ou les sécuriser par une base légale et un contrat
- Consigner les consentements de manière à l’épreuve des audits
- Faire vérifier les mises en demeure avant toute réaction
Ce qui crée des risques
- Cases pré-cochées ou paramètres par défaut
- Scripts externes sans base légale documentée
- Mentions légales ne reflétant pas l’état actuel
- Signature non vérifiée de la déclaration de cessation
La bannière de cookies, point d’attaque le plus visible
Aucun élément d’un site web n’est aussi facile à contrôler de l’extérieur que la bannière de cookies. Elle peut être consultée sans connaissances internes, et ses défauts sont souvent visibles directement via les outils du navigateur. La jurisprudence exige un consentement actif et éclairé avant que des cookies non strictement nécessaires ne soient déposés. Un refus doit être aussi simple à exprimer que l’acceptation.
En pratique, cela signifie un bouton de refus équivalent sur le premier niveau, aucune option présélectionnée et une séparation claire entre les services techniquement nécessaires et ceux nécessitant un consentement. Les modèles dits « pur », où les utilisateurs choisissent entre un consentement et un accès payant sans traçage, sont également examinés par les tribunaux et les autorités, notamment en ce qui concerne la granularité des finalités de traitement. En misant sur des paramètres par défaut irréprochables, vous supprimez la base du motif de réclamation le plus fréquent.
Check-list : un paramétrage robuste en cinq étapes
La situation juridique actuelle permet de dégager une routine pragmatique, applicable sans expertise juridique pointue et qui, le cas échéant, renforce la solidité des preuves.
Premièrement, l’inventaire : recenser l’ensemble des scripts, trackers et services tiers actifs sur le site et leur associer une base juridique. Deuxièmement, vérifier le bandeau de cookies : le refus doit être aussi simple que l’acceptation, et aucun élément ne doit se charger avant le consentement. Troisièmement, archiver les consentements de façon probante, afin de pouvoir prouver en cas de litige qui a accepté quoi, et quand.
Quatrièmement, mettre à jour la politique de confidentialité pour qu’elle reflète la réalité technique, plutôt que de la laisser à l’état de modèle standard. Cinquièmement, préparer un plan de réaction en cas de mise en demeure : désigner des interlocuteurs dédiés, surveiller strictement les délais et appliquer la règle selon laquelle aucune déclaration ne doit être signée sans un examen juridique préalable. Ce dernier point permet d’éviter les erreurs les plus coûteuses en freinant les réactions irréfléchies.
Foire aux questions
Les concurrents peuvent-ils vraiment mettre en demeure pour des infractions à la protection des données ?
Oui, dans certaines configurations. La Cour fédérale de justice a confirmé, par ses arrêts du 27 mars 2025 (Az. I ZR 222/19 et I ZR 223/19), que les manquements au DSGVO peuvent être poursuivis par les concurrents en tant qu’actes de concurrence déloyale au titre du droit de la concurrence, dès lors que les conditions de l’UWG sont réunies. Cela ouvre ainsi une voie de recours supplémentaire à celle de l’autorité de contrôle.
Toute infraction entraîne-t-elle automatiquement des dommages et intérêts ?
Non. Conformément à la jurisprudence de l’EuGH et du BGH, un droit à réparation fondé sur l’article 82 du DSGVO exige un manquement, un préjudice concret et un lien de causalité entre les deux. La simple perte de contrôle sur les données peut être qualifiée de dommage immatériel par un tribunal, mais un risque purement hypothétique ne suffit pas.
Quel élément de site web est le plus fréquemment contesté ?
Le bandeau de cookies. Facilement vérifiable de l’extérieur, il révèle rapidement des défauts tels que les cases précochées ou le tracking effectué avant le consentement. S’y rattachent étroitement les services tiers intégrés, qui transmettent des données à des serveurs externes sans base juridique claire.
Comment une entreprise doit-elle réagir à une mise en demeure ?
Avec sang-froid et après analyse. Consigner les délais, documenter les faits et ne signer aucune déclaration de cessation sans un examen préalable. Ce type d’engagement produit des effets sur le long terme et s’accompagne d’une clause pénale ; il doit donc être évalué sur le plan juridique avant toute signature.
Quelle est la mesure préventive la plus efficace ?
Des paramètres techniques par défaut rigoureux et une documentation fiable. En connaissant l’ensemble des flux de données, en associant une base juridique à chaque traitement, en consignant les consentements et en vérifiant régulièrement le bandeau, on réduit à la fois le risque de mise en demeure et la probabilité d’un préjudice avéré.
Les coups de cœur de la rédaction
- Copilot trouve le fichier que personne ne voulait partager
- Sécurité des API : l’angle mort derrière chaque intégration
- Sensibilisation à la sécurité : le taux de clics mesure ce qui ne va pas
Plus d’articles du réseau MBF Media
Image de couverture : générée par IA (juin 2026)
Source de l’image : générée par IA (juin 2026), certificat C2PA intégré