Défilez vers le bas

L’action de groupe en réparation des dommages prévue par le RGPD transposée en droit français ?

04 avril 2018

L’action de groupe en matière de données personnelles a été introduite en France par la loi de modernisation de la justice du XXIe siècle n° 2016-1547 du 18 novembre 2016, qui a créé un nouvel article 43 ter dans la loi n°78-77 du 6 janvier 1978 dite « Informatique et Libertés ».

En vertu de cet article, plusieurs personnes physiques placées dans une situation similaire subissant un dommage résultant de la violation des dispositions relatives à la protection des données peuvent, par l’intermédiaire d’organismes à but non lucratif, exercer une action de groupe devant la juridiction civile ou la juridiction administrative compétente.

Ce droit fait aux personnes physiques est repris par l’article 80 du Règlement 2016/679 sur la protection des données du 27 avril 2016 (dit « RGPD »), destiné à amender la loi Informatique et Libertés, et qui entrera en application le 25 mai 2018. Ce règlement européen prévoit néanmoins pour les personnes concernées une possibilité non envisagée dans la loi Informatique et Libertés : celle d’obtenir réparation pour le préjudice subi du fait du manquement.

La consécration de l’action de groupe comme action réparatrice

L’action de groupe actuellement prévue à l’article 43 ter en matière de protection des données à caractère personnel ne peut tendre qu’à faire cesser le manquement résultant de la violation du droit de la protection des données personnelles, et non à réparer le préjudice en découlant.

L’article 80 du RGPD dispose quant à lui qu’un organisme peut également exercer au nom de la personne concernée « le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un Etat membre le prévoit ». Il incombe ainsi aux Etats membres, lorsqu’ils transposent le texte du règlement dans leur législation nationale, d’introduire ou non une action de groupe qui aurait une vocation réparatrice.

En janvier 2018, lors des discussions autour de la réforme de la loi Informatique et Libertés française, l’Assemblée nationale a souhaité saisir cette possibilité laissée aux Etats membres et faire de l’action de groupe en matière de données personnelles une action réparatrice permettant d’obtenir des dommages et intérêts.

L’impossibilité pour les personnes physiques d’obtenir réparation les a rendues peu enclines à mettre en œuvre une action de groupe en matière de données personnelles. Ainsi, afin de rendre « plus effectifs les droits des citoyens à l’égard de leurs données, face aux géants de l’Internet », il a paru justifié au Parlement d’étendre l’action de groupe à la réparation des dommages. En outre, cette possibilité d’obtenir réparation existant déjà dans plusieurs Etats membres de l’Union européenne, les parlementaires ont estimé d’autant plus nécessaire de l’introduire en droit français.

Ainsi, en France, les personnes concernées ayant été victimes par exemple d’une même fuite de données ou d’une même cession non autorisée de leurs données personnelles pourront désormais obtenir réparation de leur préjudice au travers d’une action de groupe.

Cependant, lors de l’examen du texte adaptant la loi Informatique et Libertés au RGPD en mars 2018, la commission des lois du Sénat a décidé de reporter de deux ans l’entrée en vigueur de l’action de groupe en tant qu’action réparatrice d’un préjudice. La commission explique en effet sa volonté de laisser le temps aux responsables de traitement de s’adapter à cette nouvelle possibilité, et notamment aux petits opérateurs ou petites collectivités territoriales qui pourraient « être gravement menacés par une condamnation pécuniaire trop lourde ».

Le projet de loi d’adaptation au RGPD devrait être définitivement adopté après passage devant la Commission mixte paritaire, qui se réunira le 6 avril.

Les conditions – inchangées – de mise en œuvre de l’action de groupe

L’entrée en vigueur du RGPD et sa transposition en droit français ne modifieront pas la procédure de l’action de groupe, telle qu’instaurée par la loi sur la justice du XXIe siècle.

Ainsi, sous peine d’irrecevabilité, l’action doit être précédée de la mise en demeure du défendeur de cesser ou de faire cesser le manquement ou de réparer les préjudices subis. Ce n’est qu’à l’issue d’un délai de quatre mois après réception de la mise en demeure que l’action de groupe pourra être introduite.

Ce délai de quatre mois a sans doute contribué, au côté de l’absence de fonction réparatrice, à réduire l’efficacité de l’action de groupe en France. Les personnes physiques disposent en effet de la possibilité, plus rapide, de saisir directement et individuellement la CNIL, ou simplement de déposer une plainte pénale en cas de violation de leurs droits.

En outre, la juridiction civile ou administrative ne peut être saisie que par les organisations suivantes :

  • Une association « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel », et régulièrement déclarée depuis au moins cinq ans ;
  • Une association de défense des consommateurs représentative agréée au niveau national ;
  • Un syndicat représentatif de salariés ou de fonctionnaires.

Lors de l’examen du projet de loi d’adaptation au RGPD, en plus de reporter de deux ans l’entrée en application de la fonction réparatrice de l’action de groupe, la commission des lois du Sénat a souhaité durcir ses conditions de mise en œuvre :

  • D’une part, en imposant l’agrément préalable des associations de protection de la vie privée (comme cela est déjà prévu pour les associations de défense des consommateurs) pour que celles-ci puissent introduire une action de groupe. Selon la commission des lois du Sénat, cela permettra de s’assurer du sérieux et de la gestion désintéressée de ces associations sans nuire toutefois à leur indépendance.
  • D’autre part, en prévoyant une information systématique de la CNIL lors de l’introduction d’une action de groupe. Selon la commission, la CNIL pourra ainsi présenter ses observations devant la juridiction concernée et éclairer le contexte dans lequel des manquements se sont produits.

Grâce à sa nouvelle fonction réparatrice instaurée par le RGPD et en voie de transposition en droit français, l’action de groupe devient un enjeu considérable pour les responsables de traitement, qui, en plus d’un risque en termes d’image, devront désormais faire face à la menace de dommages et intérêts en cas d’introduction d’une telle action devant les juridictions.

Les dispositions inciteront également les personnes concernées à revendiquer leurs droits. Rappelons en effet que bien qu’instaurées en 2014, un nombre très restreint d’actions de groupe tous secteurs confondus ont été introduites à ce jour

L’opportunité offerte par le RGPD d’harmoniser l’action de groupe au niveau européen a trouvé son premier écho dans l’initiative prise par Max Schrems, l’avocat autrichien défenseur des données personnelles. Fort de l’action l’opposant à la société Facebook depuis 2011, Max Schrems a en effet créé l’association à but non lucratif None Of Your Business, destinée à prendre en charge des affaires de recours collectifs en habilitant les personnes physiques à défendre leurs droits relatifs aux données personnelles.

ds
Publications

Parcourez la très grande variété de publications rédigées par les avocats DS.

ds
ds
À la Une

Suivez la vie du cabinet, ses actions et ses initiatives sur les 4 continents.

ds
ds
Événements

Participez aux évènements organisés par DS Avocats à travers le monde.

ds