Au Sénat, l’élargissement de l’action de groupe en matière de données personnelles reporté à 2020

La commission des lois du Sénat a repoussé de deux ans l’extension de l’action de groupe en matière de données personnelles (à la réparation des dommages subis). Les conditions de mise en œuvre de cette procédure ont par ailleurs été sensiblement durcies.

« Une action de groupe dont l'objet est limité à la cessation d'un manquement n'a guère de sens » aux yeux de Sophie Joissains, rapporteure du projet de loi « RGPD » pour le Sénat.

Mercredi 14 mars, en commission, l’élue a ainsi expliqué à ses collègues qu’aucune procédure de ce type n'avait été engagée à ce jour suite à un manquement à la loi Informatique et Libertés (tel qu’une faille de sécurité chez un opérateur ou l’un de ses sous-traitants). Ce dispositif est pourtant applicable depuis novembre 2016.

« Les associations et syndicats, comme toute personne, peuvent d'ailleurs adresser des réclamations, pétitions et plaintes à la CNIL, dont la formation restreinte a elle-même le pouvoir d'enjoindre à un responsable de traitement de mettre fin à un manquement et de prononcer des sanctions à son encontre, ce qui limite d'autant l'intérêt de l'action de groupe existante », poursuit la sénatrice au travers d’un rapport (PDF).

Vers une réparation du préjudice subi (matériel comme moral)

Afin de rendre le dispositif plus effectif, les députés ont souhaité le mois dernier que les actions de groupe en matière de données personnelles permettent également aux victimes de réclamer une réparation de leur préjudice, matériel comme moral.

Si la rapporteure du Sénat a soutenu cette réforme (qui aura selon elle « un puissant effet dissuasif sur les responsables de traitement peu scrupuleux »), elle l’a dans le même temps fait amender sur plusieurs points.

« Afin d'éviter la multiplication de recours abusifs », Sophie Joissains a tout d’abord proposé que les associations de protection de la vie privée, habilitées à exercer des actions de groupe au nom de plusieurs victimes, soient à l’avenir tenues d’obtenir un agrément auprès de l’autorité administrative.

Actuellement, seules les associations « régulièrement déclarées depuis cinq ans au moins » et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel » peuvent se lancer dans une telle procédure, aux côtés des syndicats et des associations de consommateurs agrées.

La rapporteure a obtenu que cet agrément soit « notamment » subordonné « à l'activité effective et publique de l'association en vue de la protection de la vie privée et de la protection des données à caractère personnel, à la transparence de sa gestion, à sa représentativité et à son indépendance ». Les conditions exactes de délivrance de cette sorte d’autorisation seraient toutefois déterminées par le gouvernement, au travers d’un décret en Conseil d'État. 

« Nos collectivités territoriales, en particulier, sont déjà trop exposées, dans le domaine de l'urbanisme comme ailleurs, aux recours intentés par des plaideurs quérulents ou animés par des visées politiciennes... » s’est justifiée Sophie Joissains.

Condition d'agrément pour les associations, report de l'élargissement à 2020...

Autre « garde-fou », dixit la rapporteure : le report de cette réforme à 2020. « Ni les communes faiblement peuplées, ni les petites et moyennes entreprises, ni même des organismes de plus grande taille ne seront prêts à temps pour se conformer aux nouvelles règles issues du règlement européen [applicable à compter du 25 mai 2018, ndlr] et du projet de loi », prévient Sophie Joissains.

« La CNIL le reconnaît volontiers », poursuit la sénatrice, soulignant que l’autorité administrative a « annoncé qu'elle ferait preuve de mansuétude dans les premiers temps, à condition que les responsables de traitement défaillants s'engagent dans une démarche de mise en conformité ».

En commission, les sénateurs ont ainsi décidé qu’une action de groupe « élargie » ne pourrait être engagée « que si le fait générateur du dommage est postérieur au 25 mai 2020 ». Avant cette date, seule une action pour la cessation du manquement serait donc possible.

De manière plus accessoire, les élus de la Haute assemblée ont tenu à préciser que les actions de groupe seraient également activables suite à un manquement au Règlement européen relatif à la protection des données personnelles (RGPD).

Toujours à l’initiative de la rapporteure, les sénateurs se sont prononcés en faveur d’une intervention de la CNIL lors des actions de groupe. Chaque demandeur devra informer la gardienne des données personnelles lors de l’introduction de son recours, « afin que la CNIL puisse présenter ses observations » devant la juridiction saisie. Cela permettra à l’institution, selon Sophie Joissains, « d'apporter ainsi son éclairage sur le contexte dans lequel d'éventuels manquements se seraient produits ».

Le gouvernement va s'opposer aux agréments pour les associations

Restera maintenant à voir si les sénateurs maintiennent ces dispositions en l’état lors des débats en séance publique, programmés pour demain et mercredi. 

Pour l’heure, le gouvernement et le groupe PS ont déposé des amendements afin de supprimer le dispositif d’agrément des associations de protection de la vie privée. « La crainte d’un déferlement d’actions en réparation n’est pas fondée », clame l’exécutif. Ce dernier soutient même que « cette condition supplémentaire » aura pour effet « d’entraver la possibilité d’exercer des actions de groupe », le nombre d'associations de protection de la vie privée étant relativement faible.

Le gouvernement ayant engagé ce texte sous procédure accélérée (avec une seule lecture par chambre), une commission mixte paritaire, composée de sept députés et sept sénateurs, se réunira ensuite en vue de rechercher un compromis entre Assemblée et Sénat.