4:32 min de lecture<\/p>\n
Depuis mars 2025, les concurrents peuvent d\u00e9sormais contester les violations du RGPD via le droit de la concurrence d\u00e9loyale (UWG) – la Cour f\u00e9d\u00e9rale de justice (BGH) a ouvert la porte. Par ailleurs, un second arr\u00eat de la BGH confirme : la simple perte de contr\u00f4le sur des donn\u00e9es \u00e0 caract\u00e8re personnel ouvre droit \u00e0 une indemnisation – bar\u00e8me indicatif : 100 euros par personne concern\u00e9e. Pour les entreprises, cela signifie que des banni\u00e8res cookies d\u00e9fectueuses, des mentions l\u00e9gales obsol\u00e8tes ou l\u2019utilisation de Google Fonts sans h\u00e9bergement local ne repr\u00e9sentent plus seulement un risque d\u2019amende, mais une invitation lanc\u00e9e \u00e0 la concurrence.<\/b><\/p>\n Jusqu\u2019au 27 mars 2025, il \u00e9tait contest\u00e9 de savoir si les violations du RGPD pouvaient \u00eatre contest\u00e9es par le droit de la concurrence. La Cour f\u00e9d\u00e9rale de justice (BGH) a tranch\u00e9 d\u00e9finitivement par l\u2019affirmative (I ZR 186\/17, I ZR 222\/19, I ZR 223\/19) : les atteintes au RGPD constituent des infractions aux r\u00e8gles de comportement sur le march\u00e9 au sens de l\u2019article 3a du UWG.<\/p>\n La justification : les donn\u00e9es \u00e0 caract\u00e8re personnel ont une valeur \u00e9conomique. Toute personne qui les traite ill\u00e9galement s\u2019octroie un avantage concurrentiel d\u00e9loyal. D\u00e9sormais, concurrents et associations de d\u00e9fense des consommateurs peuvent agir en justice sur le fondement du droit civil – sans mandat individuel d\u2019une personne concern\u00e9e.<\/p>\n Pour les entreprises, cela signifie : en plus des amendes prononc\u00e9es par les autorit\u00e9s de protection des donn\u00e9es, une seconde menace appara\u00eet. Un concurrent respectant mieux le RGPD<\/a> peut d\u00e9sormais mettre en demeure son concurrent – et lui faire prendre en charge les co\u00fbts.<\/p>\n Le 18 novembre 2024, la BGH (VI ZR 10\/24) a statu\u00e9 dans le cadre de la fuite de donn\u00e9es li\u00e9e au scraping Facebook : la simple perte de contr\u00f4le sur des donn\u00e9es \u00e0 caract\u00e8re personnel ouvre droit \u00e0 une demande d\u2019indemnisation pour pr\u00e9judice immat\u00e9riel au titre de l\u2019article 82 du RGPD. Il n\u2019est pas n\u00e9cessaire de prouver que les donn\u00e9es ont effectivement \u00e9t\u00e9 utilis\u00e9es \u00e0 mauvais escient.<\/p>\n Important : une simple violation du RGPD ne suffit pas. Un pr\u00e9judice concret doit \u00eatre survenu et prouv\u00e9. Toutefois, le seuil est bas – un transfert de donn\u00e9es incontr\u00f4l\u00e9 suffit. Le bar\u00e8me indicatif de la BGH : environ 100 euros par personne concern\u00e9e. En cas de fuite de donn\u00e9es touchant 10 000 personnes, cela repr\u00e9sente un risque d\u2019indemnisation d\u2019un million d\u2019euros.<\/p>\n \n \u00ab Les violations du RGPD sont consid\u00e9r\u00e9es comme des infractions aux r\u00e8gles de comportement sur le march\u00e9, car les donn\u00e9es \u00e0 caract\u00e8re personnel ont une valeur \u00e9conomique et les manquements aux obligations d\u2019information entravent les d\u00e9cisions \u00e9clair\u00e9es des consommateurs. \u00bb 1. Mentions l\u00e9gales incorrectes ou absentes :<\/strong> le motif le plus courant. La d\u00e9claration doit \u00eatre compl\u00e8te, lister tous les outils et prestataires utilis\u00e9s, et \u00eatre facilement accessible (lien dans le pied de page sur chaque page). L\u2019absence d\u2019informations sur l\u2019h\u00e9bergement, le suivi ou les services int\u00e9gr\u00e9s suffit \u00e0 justifier une mise en demeure.<\/p>\n 2. Banni\u00e8res cookies sans opt-in r\u00e9el :<\/strong> l\u2019article 25 du TDDDG (en vigueur depuis mai 2024, pr\u00e9c\u00e9demment TTDSG) exige un opt-in actif pour les cookies non essentiels. Les cases pr\u00e9-coch\u00e9es sont ill\u00e9gales depuis l\u2019arr\u00eat Planet49 (Cour de justice de l\u2019UE 2019, BGH 2020). \u00ab Continuer \u00e0 naviguer = consentement \u00bb est contraire \u00e0 la loi. Les erreurs techniques – cookies d\u00e9pos\u00e9s malgr\u00e9 le refus – sont particuli\u00e8rement risqu\u00e9es.<\/p>\n 3. Google Fonts sans h\u00e9bergement local :<\/strong> le tribunal r\u00e9gional de Munich (2022) a jug\u00e9 que l\u2019int\u00e9gration dynamique de Google Fonts transmet sans consentement l\u2019adresse IP de l\u2019utilisateur aux serveurs de Google. La vague de mises en demeure qui a suivi a \u00e9t\u00e9 jug\u00e9e abusive, mais l\u2019interpr\u00e9tation juridique sous-jacente reste valable. Solution : h\u00e9berger Google Fonts localement.<\/p>\n 4. Newsletter sans double opt-in :<\/strong> l\u2019envoi d\u2019e-mails publicitaires non autoris\u00e9s sans preuve de consentement est contestable \u00e0 la fois au titre de l\u2019article 7 alin\u00e9a 2 du UWG et du RGPD. La charge de la preuve du consentement incombe \u00e0 l\u2019entreprise.<\/p>\n 5. Suivi sans consentement :<\/strong> Google Analytics, Meta Pixel et outils similaires exigent un consentement inform\u00e9 et actif avant tout transfert de donn\u00e9es. Si un outil de suivi n\u2019est pas correctement mentionn\u00e9 dans la d\u00e9claration de confidentialit\u00e9<\/a>, cela constitue une infraction autonome.<\/p>\n En ao\u00fbt 2022 a d\u00e9but\u00e9 une vague de mises en demeure de masse : un avocat berlinois a envoy\u00e9, au nom de Martin Ismail et de l\u2019\u00ab IG Datenschutz \u00bb, des milliers de lettres de mise en demeure \u00e0 des exploitants de sites web – montants faibles \u00e0 trois chiffres, d\u00e9lais courts. Fondement juridique : l\u2019arr\u00eat du tribunal r\u00e9gional de Munich de janvier 2022 (r\u00e9f\u00e9rence : 3 O 17493\/20), qui avait accord\u00e9 100 euros d\u2019indemnisation pour la transmission non autoris\u00e9e de l\u2019adresse IP \u00e0 Google.<\/p>\n Le m\u00eame tribunal a mis fin \u00e0 cette vague en mars 2023 (r\u00e9f\u00e9rence : 4 O 13063\/22) : les mises en demeure de masse ont \u00e9t\u00e9 jug\u00e9es abusives, car l\u2019auteur utilisait un robot d\u2019analyse automatis\u00e9. Toutefois, le droit \u00e0 indemnisation en cas d\u2019int\u00e9gration non autoris\u00e9e de Google Fonts demeure – seul l\u2019usage syst\u00e9matique abusif a \u00e9t\u00e9 interdit.<\/p>\nL’essentiel<\/h2>\n
\n
BGH, mars 2025 : le tournant pour les mises en demeure RGPD<\/h2>\n
Perte de contr\u00f4le = pr\u00e9judice : le second arr\u00eat de la BGH<\/h2>\n
\n – BGH, arr\u00eat du 27 mars 2025 (I ZR 186\/17)<\/cite>\n<\/p><\/blockquote>\nLes cinq motifs de mise en demeure les plus fr\u00e9quents en 2025\/2026<\/h2>\n
Google Fonts : la vague de mises en demeure et ses enseignements<\/h2>\n
Combien co\u00fbte une mise en demeure ?<\/h2>\n