Du nouveau pour l’action de groupe en matière de données à caractère personnel

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Loi n°2016–1547 du 18 novembre 2016

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

Ce qu’il faut retenir : La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière  de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

Pour approfondir : A l’aube de l’entrée en application du Règlement européen en matière de protection des données à caractère personnel (« RGDP »), réformant en profondeur le droit applicable en la matière, la loi informatique et libertés (« LIL ») connait une nouvelle modification.

En effet, modifiée récemment par la loi pour une république numérique, la LIL est de nouveau modifiée par la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle, qui introduit un nouvel article 43 ter relatif à une action de groupe en matière de données à caractère personnel.

 

1)       Qu’est-ce que l’action de groupe ?

En droit français, l’action de groupe a été introduite par la loi n°2014-344 du 17 mars 2014 relative à la consommation. Il s’agit d’une action permettant à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir conjointement en justice.

L’introduction d’une telle action suppose, d’une part, qu’au moins deux consommateurs estiment avoir subi un préjudice matériel résultant du même manquement d’un professionnel, et d’autre part, que des associations nationales agréées de défense des consommateurs agissent pour leur compte.

La loi de modernisation de la justice du XXIème siècle introduit à présent une action de groupe spécifique en matière de données à caractère personnel.

La LIL est ainsi complétée d’un article 43 Ter prévoyant :

« lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».

Le législateur semble ainsi anticiper l’application des dispositions du RGDP qui prévoit déjà l’introduction d’une action similaire. Toutefois, à y regarder de plus près, la portée de cette action de groupe paraît plus limitée que celle prochainement introduite par le RGDP.

 

2)       La portée de l’action de groupe en matière de données personnelles

Si l’action de groupe permet, normalement, aux personnes ayant subi un préjudice d’en obtenir la réparation, la loi de modernisation de la justice du XXIème siècle limite considérablement l’action de groupe en matière de données personnelles. En effet, cette nouvelle loi ne permet pas la réparation du préjudice subi ; elle prévoit même expressément que cette action tend exclusivement à la cessation du manquement constaté. Ainsi, pourront exercer cette action, pour représenter les personnes concernées :

  • les associations déclarées depuis cinq ans et ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
  • les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données affecte des consommateurs ;
  • les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire.

En conséquence, lorsque les personnes concernées subissent un préjudice matériel résultant d’un manquement à la réglementation applicable en matière de protection des données personnelles, elles ne trouveront pas totale satisfaction à exercer une action de groupe, dans la mesure où, outre la cessation du manquement, elles ne pourront pas obtenir réparation du préjudice qui en résulte.

Cette position du législateur suscite des interrogations légitimes, notamment en termes d’effectivité de ce nouveau droit.

En effet, le RGDP prévoit expressément la possibilité pour les personnes concernées de mandater un organisme, une organisation ou une association à but non créatif, pour qu’ils introduisent en leur nom une réclamation, exercent les droits qu’elles détiennent et exercent en leur nom le droit d’obtenir réparation de leur préjudice.

L’action de groupe en matière de données personnelles, en ce qu’elle ne permet pas d’obtenir réparation du préjudice subi, est en contradiction avec les dispositions du RGDP (qui entreront en application en mai 2018).

Bien qu’il s’agisse d’une nouveauté appréciable pour les personnes concernées d’obtenir la cessation d’un manquement via une action de groupe, le législateur français ne s’étant pas aligné avec le règlement européen et limitant les futurs droits des personnes concernées, l’effectivité des nouvelles dispositions de la LIL reste limitée car celles-ci ne trouveront à s’appliquer que durant une période réduite.

En tout état de cause, les responsables de traitements doivent faire preuve de vigilance car il est fort à parier que l’ouverture d’une telle action aura pour conséquence de favoriser l’exercice des droits des personnes et l’introduction de plaintes et de réclamations.

A rapprocher : Article 43 ter de la LIL ; Article 91 de la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle et Article 80 du RGDP

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…