Du nouveau pour l’action de groupe en matière de données à caractère personnel

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Loi n°2016–1547 du 18 novembre 2016

La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

Ce qu’il faut retenir : La loi de modernisation de la justice du XXIème siècle introduit en droit français l’action de groupe en matière  de données à caractère personnel. Limitée exclusivement à la cessation du manquement constaté, cette action de groupe ne permet pas aux personnes concernées d’obtenir la réparation de leur préjudice.

Pour approfondir : A l’aube de l’entrée en application du Règlement européen en matière de protection des données à caractère personnel (« RGDP »), réformant en profondeur le droit applicable en la matière, la loi informatique et libertés (« LIL ») connait une nouvelle modification.

En effet, modifiée récemment par la loi pour une république numérique, la LIL est de nouveau modifiée par la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle, qui introduit un nouvel article 43 ter relatif à une action de groupe en matière de données à caractère personnel.

 

1)       Qu’est-ce que l’action de groupe ?

En droit français, l’action de groupe a été introduite par la loi n°2014-344 du 17 mars 2014 relative à la consommation. Il s’agit d’une action permettant à des consommateurs, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir conjointement en justice.

L’introduction d’une telle action suppose, d’une part, qu’au moins deux consommateurs estiment avoir subi un préjudice matériel résultant du même manquement d’un professionnel, et d’autre part, que des associations nationales agréées de défense des consommateurs agissent pour leur compte.

La loi de modernisation de la justice du XXIème siècle introduit à présent une action de groupe spécifique en matière de données à caractère personnel.

La LIL est ainsi complétée d’un article 43 Ter prévoyant :

« lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente ».

Le législateur semble ainsi anticiper l’application des dispositions du RGDP qui prévoit déjà l’introduction d’une action similaire. Toutefois, à y regarder de plus près, la portée de cette action de groupe paraît plus limitée que celle prochainement introduite par le RGDP.

 

2)       La portée de l’action de groupe en matière de données personnelles

Si l’action de groupe permet, normalement, aux personnes ayant subi un préjudice d’en obtenir la réparation, la loi de modernisation de la justice du XXIème siècle limite considérablement l’action de groupe en matière de données personnelles. En effet, cette nouvelle loi ne permet pas la réparation du préjudice subi ; elle prévoit même expressément que cette action tend exclusivement à la cessation du manquement constaté. Ainsi, pourront exercer cette action, pour représenter les personnes concernées :

  • les associations déclarées depuis cinq ans et ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
  • les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données affecte des consommateurs ;
  • les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire.

En conséquence, lorsque les personnes concernées subissent un préjudice matériel résultant d’un manquement à la réglementation applicable en matière de protection des données personnelles, elles ne trouveront pas totale satisfaction à exercer une action de groupe, dans la mesure où, outre la cessation du manquement, elles ne pourront pas obtenir réparation du préjudice qui en résulte.

Cette position du législateur suscite des interrogations légitimes, notamment en termes d’effectivité de ce nouveau droit.

En effet, le RGDP prévoit expressément la possibilité pour les personnes concernées de mandater un organisme, une organisation ou une association à but non créatif, pour qu’ils introduisent en leur nom une réclamation, exercent les droits qu’elles détiennent et exercent en leur nom le droit d’obtenir réparation de leur préjudice.

L’action de groupe en matière de données personnelles, en ce qu’elle ne permet pas d’obtenir réparation du préjudice subi, est en contradiction avec les dispositions du RGDP (qui entreront en application en mai 2018).

Bien qu’il s’agisse d’une nouveauté appréciable pour les personnes concernées d’obtenir la cessation d’un manquement via une action de groupe, le législateur français ne s’étant pas aligné avec le règlement européen et limitant les futurs droits des personnes concernées, l’effectivité des nouvelles dispositions de la LIL reste limitée car celles-ci ne trouveront à s’appliquer que durant une période réduite.

En tout état de cause, les responsables de traitements doivent faire preuve de vigilance car il est fort à parier que l’ouverture d’une telle action aura pour conséquence de favoriser l’exercice des droits des personnes et l’introduction de plaintes et de réclamations.

A rapprocher : Article 43 ter de la LIL ; Article 91 de la loi n°2016–1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle et Article 80 du RGDP

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.