En France, bientôt une action de groupe contre les atteintes aux données personnelles

En France, bientôt une action de groupe contre les atteintes aux données personnelles

Un pour tous, tous pour un

Avatar de l'auteur
Marc Rees

Publié dans

Droit

03/05/2016 4 minutes
17

En France, bientôt une action de groupe contre les atteintes aux données personnelles

Une action de groupe (ou plutôt « action collective ») en matière de données personnelles sera bientôt une réalité en France. Le gouvernement a déposé en ce sens un amendement dans le cadre du projet de loi relatif à l'action de groupe et à l'organisation judiciaire. 

Le texte, discuté par les députés à partir du 17 mai, prévoit d’adjoindre un nouvel article à la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Concrètement, cette action concernera les seules personnes physiques « placées dans une situation similaire », par exemple des consommateurs de tel ou tel opérateur télécom.

Si cet ensemble subit un dommage consécutif à un manquement à la loi de 1978, par exemple une faille de sécurité chez un opérateur ou l’un de ses sous-traitants, alors « une action de groupe [pourra] être exercée devant une juridiction civile ou administrative ». Comment ? La clef de démarrage est confiée à une série d’acteurs derrières lesquels les victimes pourront se retrouver :

  1. Les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel
  2. Les associations de défense des consommateurs représentatives au niveau national et agréées (…) lorsque le traitement de données à caractère personnel affecte des consommateurs
  3. Les syndicats professionnels représentatifs (…) ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre.

Avec un tel champ, l’UFC Que Choisir et la CLCV seront évidemment concernées, mais très probablement aussi la Quadrature du Net puisque l’association a pour but de « mener des actions pour la défense des libertés individuelles sur Internet » outre « d'encourager l'autonomie des usagers et leur prise de contrôle sur les données les concernant ». 

Faire cesser une atteinte, non obtenir réparation

Inutile pour les consommateurs d’espérer de juteuses retombées financières comme par magie. Ici, l’action n’aura qu’une finalité : tendre « exclusivement à la cessation de ce manquement », et donc pour notre cas, au colmatage de la brèche. Son objectif ne sera donc pas de percevoir l’indemnisation des victimes.

Pour comprendre pourquoi, il faut revenir à l’article 80 paragraphe 2 du règlement européen, que l’amendement gouvernemental met en musique. Cette disposition autorise les États membres à prévoir de telles actions de groupe exercées sans mandat des personnes concernées (contrairement au paragraphe 1 du même article). C’est cette absence de mandat qui explique en partie la portée réduite de cette arme.

En janvier 2016, un tel mécanisme avait été proposé, vainement, lors de l’examen en première lecture du projet de loi Lemaire. En 2014, on le retrouvait dans le rapport sur le numérique rédigé par le Conseil d’État. Déjà, dans son esprit, il s’agissait de « faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284).

Un enjeu collectif 

La haute juridiction administrative expliquait pourquoi plus en détail : « Les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».

Certes, depuis la loi Hamon, l’action de groupe existe déjà dans notre droit. Cependant elle est limitée à la seule réparation des dommages matériels. Or, « les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée ». On aurait pu envisager d’étendre l’action de groupe aux dommages moraux, mais leur évaluation est tout sauf simple. Bref, à Paris comme au sein des institutions européennes, il a été jugé plus opportun de rester cantonné à l’action en cessation.

17

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Faire cesser une atteinte, non obtenir réparation

Un enjeu collectif 

Commentaires (17)


C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.








Mimoza a écrit :



C’est mieux que rien, mais on est encore loin d’une véritable avancé dans ce domaine.





Ce serait quoi une véritable avancée dans ce domaine ?



Obtenir réparation,&nbsp; à l’américayne quoi&nbsp; <img data-src=" />


OUI…j’ai pensé à cela quand j’ai lu le titre de la New, puis ……………“patatras” !!! <img data-src=" />


Les opérateurs sont-ils soumis, si l’action collective aboutie en montrant les faiblesses et manquements de celui-ci, à une amende ?


Une seule personne est déjà arrivé à annuler une “traité” trans-atlantique par la CJUE. Pourquoi pas un groupe

pour des faits identiques


Je te souhaite bien du courage pour arriver à determiner ton prejudice, et bien entendu, à ce que le juge le considère avéré.


Action de groupe ? Et si on est tout seul, cela n’entre donc pas dans ce cadre ?


@Jarodd

&nbsp;



&nbsp;à moins de s’appeler David <img data-src=" />


Et donc une action de groupe de tous les Français contre la NSA ?








ferreol a écrit :



Et donc une action de groupe de tous les Français contre la NSA ?





LOL.

Tu recevras juste un gros FUCK de groupe









Drepanocytose a écrit :



LOL.

Tu recevras juste un gros FUCK de groupe







Un gang bang ?



Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.


Si j’ai bien compris, une société peut donc récupèrer, jouer avec, vendre, céder nos données personnelles.



La seule limite étant le moment où, après une action de groupe et 2 ou 3 ans de procès après, elle doive cesser de le faire car on lui a dit que c’était pas bien…



Encore un truc qui va être super efficace dis-donc…








Soriatane a écrit :



Et comment la justice peut contraindre le responsable de la faille? C’est bien beau de condamner, mais il y a des amendes à la clé? Des peines de prison? Sinon, ce texte n’aura pas beaucoup d’effet.







Devancé de 4 mn. Coupaing du matin.



Plus qu’obtenir réparation, il faut surtout qu’il y ait une véritable sanction.

Si c’est pour dire “eh vous êtes pas réglos là, depuis 5 ans, c’est pas bien faut changer” on est pas prêts de voir des entreprises qui feront pas n’importe quoi de nos données.


ça va être trop long leur truc ! <img data-src=" />