La députée Paula Forteza, rapporteure du projet de loi adaptant le droit français au règlement européen sur la protection des données personnelles (RGPD), propose de renforcer considérablement l’action de groupe en matière de données personnelles. Cette procédure pourrait à l’avenir permettre d’obtenir la réparation d’un préjudice.

Les sites peu regardants sur la sécurisation des données personnelles de leurs utilisateurs devraient suivre avec attention le sort qui sera réservé à l’amendement de l’élue LREM (ou même à celui, très proche, de son collègue Éric Bothorel).

Depuis la fin 2016, suite au vote de la loi pour la Justice du 21ème siècle, les personnes physiques ayant subi un dommage consécutif à un manquement à la loi Informatique et Libertés – tel qu’une faille de sécurité chez un opérateur ou l’un de ses sous-traitants – peuvent se rassembler en vue d’une action de groupe.

Une procédure actuellement restreinte et complexe à mettre en œuvre

C’est néanmoins par le biais d’une organisation tierce que les victimes doivent lancer leur procédure devant les juridictions civiles ou administratives. Il peut s’agir uniquement :

• D’une association régulièrement déclarée depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ».
• D’une association de défense des consommateurs représentative agréée au niveau national, à condition que le problème « affecte des consommateurs » (ce qui exclut notamment les manquements relevant de sites publics).
• D’un syndicat représentatif de salariés ou de fonctionnaires « lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre ».

Dernier bémol, et non des moindres : cette action de groupe permet uniquement d’obtenir la « cessation » du manquement à la loi Informatique et Libertés. Et non la réparation du préjudice qu’il a pu provoquer... Inutile de ce fait d’espérer obtenir une quelconque indemnité par ce biais.

Ceci explique probablement pourquoi aucune procédure de ce type n’a (à notre connaissance) été lancée à ce jour.

Vers une réparation du préjudice subi (matériel comme moral) ?

Sans s’étendre sur ses motivations, la députée Paula Forteza propose de modifier ce dispositif afin que les actions de groupe permettent également d’engager « la responsabilité de la personne ayant causé le dommage », en vue « d’obtenir la réparation des préjudices matériels et moraux subis ».

« Plusieurs rapports et organismes dénoncent depuis plusieurs années l’impuissance juridique des consommateurs français face aux acteurs de l’internet, souvent établis à l’étranger », explique de son côté Éric Bothorel (lui aussi LREM). L’UFC-Que Choisir ou même la CNIL militent de longue date pour l’élargissement de l’action de groupe en matière de données personnelles, comme le permet l’article 80 du RGPD.

Le député a visiblement suivi les recommandations de l’Internet Society France et de l’initiative « e-Bastille », qui avaient appelé ces derniers jours les parlementaires à « doter les consommateurs d’un véritable outil dissuasif », à même de « rétablir un rapport de force équitable entre consommateurs et services en ligne ».

Ces deux amendements devraient être examinés à partir de ce soir, 21 h, en commission des lois. Les débats pourront comme d'habitude être suivi à partir du portail vidéo de l'Assemblée.