En France, bientôt une action de groupe contre les atteintes aux données personnelles
Un pour tous, tous pour un
Le 03 mai 2016 à 12h00
4 min
Droit
Droit
Une action de groupe (ou plutôt « action collective ») en matière de données personnelles sera bientôt une réalité en France. Le gouvernement a déposé en ce sens un amendement dans le cadre du projet de loi relatif à l'action de groupe et à l'organisation judiciaire.
Le texte, discuté par les députés à partir du 17 mai, prévoit d’adjoindre un nouvel article à la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Concrètement, cette action concernera les seules personnes physiques « placées dans une situation similaire », par exemple des consommateurs de tel ou tel opérateur télécom.
Si cet ensemble subit un dommage consécutif à un manquement à la loi de 1978, par exemple une faille de sécurité chez un opérateur ou l’un de ses sous-traitants, alors « une action de groupe [pourra] être exercée devant une juridiction civile ou administrative ». Comment ? La clef de démarrage est confiée à une série d’acteurs derrières lesquels les victimes pourront se retrouver :
- Les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel
- Les associations de défense des consommateurs représentatives au niveau national et agréées (…) lorsque le traitement de données à caractère personnel affecte des consommateurs
- Les syndicats professionnels représentatifs (…) ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre.
Avec un tel champ, l’UFC Que Choisir et la CLCV seront évidemment concernées, mais très probablement aussi la Quadrature du Net puisque l’association a pour but de « mener des actions pour la défense des libertés individuelles sur Internet » outre « d'encourager l'autonomie des usagers et leur prise de contrôle sur les données les concernant ».
Faire cesser une atteinte, non obtenir réparation
Inutile pour les consommateurs d’espérer de juteuses retombées financières comme par magie. Ici, l’action n’aura qu’une finalité : tendre « exclusivement à la cessation de ce manquement », et donc pour notre cas, au colmatage de la brèche. Son objectif ne sera donc pas de percevoir l’indemnisation des victimes.
Pour comprendre pourquoi, il faut revenir à l’article 80 paragraphe 2 du règlement européen, que l’amendement gouvernemental met en musique. Cette disposition autorise les États membres à prévoir de telles actions de groupe exercées sans mandat des personnes concernées (contrairement au paragraphe 1 du même article). C’est cette absence de mandat qui explique en partie la portée réduite de cette arme.
En janvier 2016, un tel mécanisme avait été proposé, vainement, lors de l’examen en première lecture du projet de loi Lemaire. En 2014, on le retrouvait dans le rapport sur le numérique rédigé par le Conseil d’État. Déjà, dans son esprit, il s’agissait de « faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284).
Un enjeu collectif
La haute juridiction administrative expliquait pourquoi plus en détail : « Les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».
Certes, depuis la loi Hamon, l’action de groupe existe déjà dans notre droit. Cependant elle est limitée à la seule réparation des dommages matériels. Or, « les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée ». On aurait pu envisager d’étendre l’action de groupe aux dommages moraux, mais leur évaluation est tout sauf simple. Bref, à Paris comme au sein des institutions européennes, il a été jugé plus opportun de rester cantonné à l’action en cessation.
En France, bientôt une action de groupe contre les atteintes aux données personnelles
-
Faire cesser une atteinte, non obtenir réparation
-
Un enjeu collectif
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/05/2016 à 12h05
C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.
Le 03/05/2016 à 12h07
Le 03/05/2016 à 12h11
Obtenir réparation, à l’américayne quoi " />
Le 03/05/2016 à 12h57
OUI…j’ai pensé à cela quand j’ai lu le titre de la New, puis ……………“patatras” !!! " />
Le 03/05/2016 à 12h59
Les opérateurs sont-ils soumis, si l’action collective aboutie en montrant les faiblesses et manquements de celui-ci, à une amende ?
Le 03/05/2016 à 13h16
Une seule personne est déjà arrivé à annuler une “traité” trans-atlantique par la CJUE. Pourquoi pas un groupe
pour des faits identiques
Le 03/05/2016 à 13h25
Je te souhaite bien du courage pour arriver à determiner ton prejudice, et bien entendu, à ce que le juge le considère avéré.
Le 03/05/2016 à 13h47
Action de groupe ? Et si on est tout seul, cela n’entre donc pas dans ce cadre ?
Le 03/05/2016 à 13h50
@Jarodd
à moins de s’appeler David " />
Le 03/05/2016 à 14h06
Et donc une action de groupe de tous les Français contre la NSA ?
Le 03/05/2016 à 15h09
Le 03/05/2016 à 15h55
Le 04/05/2016 à 05h47
Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.
Le 04/05/2016 à 05h51
Si j’ai bien compris, une société peut donc récupèrer, jouer avec, vendre, céder nos données personnelles.
La seule limite étant le moment où, après une action de groupe et 2 ou 3 ans de procès après, elle doive cesser de le faire car on lui a dit que c’était pas bien…
Encore un truc qui va être super efficace dis-donc…
Le 04/05/2016 à 05h53
Le 04/05/2016 à 13h53
Plus qu’obtenir réparation, il faut surtout qu’il y ait une véritable sanction.
Si c’est pour dire “eh vous êtes pas réglos là, depuis 5 ans, c’est pas bien faut changer” on est pas prêts de voir des entreprises qui feront pas n’importe quoi de nos données.
Le 07/05/2016 à 09h09
ça va être trop long leur truc ! " />