Une action de groupe (ou plutôt « action collective ») en matière de données personnelles sera bientôt une réalité en France. Le gouvernement a déposé en ce sens un amendement dans le cadre du projet de loi relatif à l'action de groupe et à l'organisation judiciaire.
Le texte, discuté par les députés à partir du 17 mai, prévoit d’adjoindre un nouvel article à la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Concrètement, cette action concernera les seules personnes physiques « placées dans une situation similaire », par exemple des consommateurs de tel ou tel opérateur télécom.
Si cet ensemble subit un dommage consécutif à un manquement à la loi de 1978, par exemple une faille de sécurité chez un opérateur ou l’un de ses sous-traitants, alors « une action de groupe [pourra] être exercée devant une juridiction civile ou administrative ». Comment ? La clef de démarrage est confiée à une série d’acteurs derrières lesquels les victimes pourront se retrouver :
- Les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel
- Les associations de défense des consommateurs représentatives au niveau national et agréées (…) lorsque le traitement de données à caractère personnel affecte des consommateurs
- Les syndicats professionnels représentatifs (…) ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre.
Avec un tel champ, l’UFC Que Choisir et la CLCV seront évidemment concernées, mais très probablement aussi la Quadrature du Net puisque l’association a pour but de « mener des actions pour la défense des libertés individuelles sur Internet » outre « d'encourager l'autonomie des usagers et leur prise de contrôle sur les données les concernant ».
Faire cesser une atteinte, non obtenir réparation
Inutile pour les consommateurs d’espérer de juteuses retombées financières comme par magie. Ici, l’action n’aura qu’une finalité : tendre « exclusivement à la cessation de ce manquement », et donc pour notre cas, au colmatage de la brèche. Son objectif ne sera donc pas de percevoir l’indemnisation des victimes.
Pour comprendre pourquoi, il faut revenir à l’article 80 paragraphe 2 du règlement européen, que l’amendement gouvernemental met en musique. Cette disposition autorise les États membres à prévoir de telles actions de groupe exercées sans mandat des personnes concernées (contrairement au paragraphe 1 du même article). C’est cette absence de mandat qui explique en partie la portée réduite de cette arme.
En janvier 2016, un tel mécanisme avait été proposé, vainement, lors de l’examen en première lecture du projet de loi Lemaire. En 2014, on le retrouvait dans le rapport sur le numérique rédigé par le Conseil d’État. Déjà, dans son esprit, il s’agissait de « faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284).
Un enjeu collectif
La haute juridiction administrative expliquait pourquoi plus en détail : « Les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».
Certes, depuis la loi Hamon, l’action de groupe existe déjà dans notre droit. Cependant elle est limitée à la seule réparation des dommages matériels. Or, « les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée ». On aurait pu envisager d’étendre l’action de groupe aux dommages moraux, mais leur évaluation est tout sauf simple. Bref, à Paris comme au sein des institutions européennes, il a été jugé plus opportun de rester cantonné à l’action en cessation.
Commentaires (17)
C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.
Obtenir réparation, à l’américayne quoi 
" />
OUI…j’ai pensé à cela quand j’ai lu le titre de la New, puis ……………“patatras” !!!
" />
Les opérateurs sont-ils soumis, si l’action collective aboutie en montrant les faiblesses et manquements de celui-ci, à une amende ?
Une seule personne est déjà arrivé à annuler une “traité” trans-atlantique par la CJUE. Pourquoi pas un groupe
pour des faits identiques
Je te souhaite bien du courage pour arriver à determiner ton prejudice, et bien entendu, à ce que le juge le considère avéré.
Action de groupe ? Et si on est tout seul, cela n’entre donc pas dans ce cadre ?
@Jarodd
" />
à moins de s’appeler David
Et donc une action de groupe de tous les Français contre la NSA ?
Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.
Si j’ai bien compris, une société peut donc récupèrer, jouer avec, vendre, céder nos données personnelles.
La seule limite étant le moment où, après une action de groupe et 2 ou 3 ans de procès après, elle doive cesser de le faire car on lui a dit que c’était pas bien…
Encore un truc qui va être super efficace dis-donc…
Plus qu’obtenir réparation, il faut surtout qu’il y ait une véritable sanction.
Si c’est pour dire “eh vous êtes pas réglos là, depuis 5 ans, c’est pas bien faut changer” on est pas prêts de voir des entreprises qui feront pas n’importe quoi de nos données.
ça va être trop long leur truc !
" />