Connexion
Abonnez-vous

En France, bientôt une action de groupe contre les atteintes aux données personnelles

Un pour tous, tous pour un

En France, bientôt une action de groupe contre les atteintes aux données personnelles

Le 03 mai 2016 à 12h00

Une action de groupe (ou plutôt « action collective ») en matière de données personnelles sera bientôt une réalité en France. Le gouvernement a déposé en ce sens un amendement dans le cadre du projet de loi relatif à l'action de groupe et à l'organisation judiciaire. 

Le texte, discuté par les députés à partir du 17 mai, prévoit d’adjoindre un nouvel article à la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Concrètement, cette action concernera les seules personnes physiques « placées dans une situation similaire », par exemple des consommateurs de tel ou tel opérateur télécom.

Si cet ensemble subit un dommage consécutif à un manquement à la loi de 1978, par exemple une faille de sécurité chez un opérateur ou l’un de ses sous-traitants, alors « une action de groupe [pourra] être exercée devant une juridiction civile ou administrative ». Comment ? La clef de démarrage est confiée à une série d’acteurs derrières lesquels les victimes pourront se retrouver :

  1. Les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel
  2. Les associations de défense des consommateurs représentatives au niveau national et agréées (…) lorsque le traitement de données à caractère personnel affecte des consommateurs
  3. Les syndicats professionnels représentatifs (…) ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre.

Avec un tel champ, l’UFC Que Choisir et la CLCV seront évidemment concernées, mais très probablement aussi la Quadrature du Net puisque l’association a pour but de « mener des actions pour la défense des libertés individuelles sur Internet » outre « d'encourager l'autonomie des usagers et leur prise de contrôle sur les données les concernant ». 

Faire cesser une atteinte, non obtenir réparation

Inutile pour les consommateurs d’espérer de juteuses retombées financières comme par magie. Ici, l’action n’aura qu’une finalité : tendre « exclusivement à la cessation de ce manquement », et donc pour notre cas, au colmatage de la brèche. Son objectif ne sera donc pas de percevoir l’indemnisation des victimes.

Pour comprendre pourquoi, il faut revenir à l’article 80 paragraphe 2 du règlement européen, que l’amendement gouvernemental met en musique. Cette disposition autorise les États membres à prévoir de telles actions de groupe exercées sans mandat des personnes concernées (contrairement au paragraphe 1 du même article). C’est cette absence de mandat qui explique en partie la portée réduite de cette arme.

En janvier 2016, un tel mécanisme avait été proposé, vainement, lors de l’examen en première lecture du projet de loi Lemaire. En 2014, on le retrouvait dans le rapport sur le numérique rédigé par le Conseil d’État. Déjà, dans son esprit, il s’agissait de « faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284).

Un enjeu collectif 

La haute juridiction administrative expliquait pourquoi plus en détail : « Les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».

Certes, depuis la loi Hamon, l’action de groupe existe déjà dans notre droit. Cependant elle est limitée à la seule réparation des dommages matériels. Or, « les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée ». On aurait pu envisager d’étendre l’action de groupe aux dommages moraux, mais leur évaluation est tout sauf simple. Bref, à Paris comme au sein des institutions européennes, il a été jugé plus opportun de rester cantonné à l’action en cessation.

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.

votre avatar







Mimoza a écrit :



C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.





Ce serait quoi une véritable avancée dans ce domaine ?


votre avatar

Obtenir réparation,&nbsp; à l’américayne quoi&nbsp; <img data-src=" />

votre avatar

OUI…j’ai pensé à cela quand j’ai lu le titre de la New, puis ……………“patatras” !!! <img data-src=" />

votre avatar

Les opérateurs sont-ils soumis, si l’action collective aboutie en montrant les faiblesses et manquements de celui-ci, à une amende ?

votre avatar

Une seule personne est déjà arrivé à annuler une “traité” trans-atlantique par la CJUE. Pourquoi pas un groupe

pour des faits identiques

votre avatar

Je te souhaite bien du courage pour arriver à determiner ton prejudice, et bien entendu, à ce que le juge le considère avéré.

votre avatar

Action de groupe ? Et si on est tout seul, cela n’entre donc pas dans ce cadre ?

votre avatar

@Jarodd

&nbsp;



&nbsp;à moins de s’appeler David <img data-src=" />

votre avatar

Et donc une action de groupe de tous les Français contre la NSA ?

votre avatar







ferreol a écrit :



Et donc une action de groupe de tous les Français contre la NSA ?





LOL.

Tu recevras juste un gros FUCK de groupe


votre avatar







Drepanocytose a écrit :



LOL.

Tu recevras juste un gros FUCK de groupe







Un gang bang ?


votre avatar

Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.

votre avatar

Si j’ai bien compris, une société peut donc récupèrer, jouer avec, vendre, céder nos données personnelles.



La seule limite étant le moment où, après une action de groupe et 2 ou 3 ans de procès après, elle doive cesser de le faire car on lui a dit que c’était pas bien…



Encore un truc qui va être super efficace dis-donc…

votre avatar







Soriatane a écrit :



Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.







Devancé de 4 mn. Coupaing du matin.


votre avatar

Plus qu’obtenir réparation, il faut surtout qu’il y ait une véritable sanction.

Si c’est pour dire “eh vous êtes pas réglos là, depuis 5 ans, c’est pas bien faut changer” on est pas prêts de voir des entreprises qui feront pas n’importe quoi de nos données.

votre avatar

ça va être trop long leur truc ! <img data-src=" />

En France, bientôt une action de groupe contre les atteintes aux données personnelles

  • Faire cesser une atteinte, non obtenir réparation

  • Un enjeu collectif 

Fermer