Loi n°2016–1547 du 18 novembre 2016
La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.
Ce qu’il faut retenir : La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.
Pour approfondir : A l’aube de l’entrée en application du Règlement européen en matière de protection des données à caractère personnel (« RGDP »), réformant en profondeur le droit applicable en la matière, la loi informatique et libertés (« LIL ») connait une nouvelle modification.
En effet, modifiée récemment par la loi pour une république numérique, la LIL est de nouveau modifiée par la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle, qui introduit un nouvel article 43 ter relatif à une action de groupe en matière de données à caractère personnel.
1) Qu’est-ce que l’action de groupe ?
En droit français, l’action de groupe a été introduite par la loi n°2014-344 du 17 mars 2014 relative à la consommation. Il s’agit d’une action permettant à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir conjointement en justice.
L’introduction d’une telle action suppose, d’une part, qu’au moins deux consommateurs estiment avoir subi un préjudice matériel résultant du même manquement d’un professionnel, et d’autre part, que des associations nationales agréées de défense des consommateurs agissent pour leur compte.
La loi de modernisation de la justice du XXIème siècle introduit à présent une action de groupe spécifique en matière de données à caractère personnel.
La LIL est ainsi complétée d’un article 43 Ter prévoyant :
« lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».
Le législateur semble ainsi anticiper l’application des dispositions du RGDP qui prévoit déjà l’introduction d’une action similaire. Toutefois, à y regarder de plus près, la portée de cette action de groupe paraît plus limitée que celle prochainement introduite par le RGDP.
2) La portée de l’action de groupe en matière de données personnelles
Si l’action de groupe permet, normalement, aux personnes ayant subi un préjudice d’en obtenir la réparation, la loi de modernisation de la justice du XXIème siècle limite considérablement l’action de groupe en matière de données personnelles. En effet, cette nouvelle loi ne permet pas la réparation du préjudice subi ; elle prévoit même expressément que cette action tend exclusivement à la cessation du manquement constaté. Ainsi, pourront exercer cette action, pour représenter les personnes concernées :
- les associations déclarées depuis cinq ans et ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
- les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données affecte des consommateurs ;
- les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire.
En conséquence, lorsque les personnes concernées subissent un préjudice matériel résultant d’un manquement à la réglementation applicable en matière de protection des données personnelles, elles ne trouveront pas totale satisfaction à exercer une action de groupe, dans la mesure où, outre la cessation du manquement, elles ne pourront pas obtenir réparation du préjudice qui en résulte.
Cette position du législateur suscite des interrogations légitimes, notamment en termes d’effectivité de ce nouveau droit.
En effet, le RGDP prévoit expressément la possibilité pour les personnes concernées de mandater un organisme, une organisation ou une association à but non créatif, pour qu’ils introduisent en leur nom une réclamation, exercent les droits qu’elles détiennent et exercent en leur nom le droit d’obtenir réparation de leur préjudice.
L’action de groupe en matière de données personnelles, en ce qu’elle ne permet pas d’obtenir réparation du préjudice subi, est en contradiction avec les dispositions du RGDP (qui entreront en application en mai 2018).
Bien qu’il s’agisse d’une nouveauté appréciable pour les personnes concernées d’obtenir la cessation d’un manquement via une action de groupe, le législateur français ne s’étant pas aligné avec le règlement européen et limitant les futurs droits des personnes concernées, l’effectivité des nouvelles dispositions de la LIL reste limitée car celles-ci ne trouveront à s’appliquer que durant une période réduite.
En tout état de cause, les responsables de traitements doivent faire preuve de vigilance car il est fort à parier que l’ouverture d’une telle action aura pour conséquence de favoriser l’exercice des droits des personnes et l’introduction de plaintes et de réclamations.
A rapprocher : Article 43 ter de la LIL ; Article 91 de la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle et Article 80 du RGDP