Ne serait-il pas possible d’intégrer dans notre droit, en plus de l’actuelle action de groupe, une « action collective » dont l’objectif serait de faire cesser les violations de la législation sur les données personnelles ? C’est la question que pose aujourd'hui au gouvernement un député de la majorité, ce dernier s’appuyant sur le récent rapport du Conseil d’État dédié au numérique et aux droits fondamentaux.
Depuis la loi Hamon du 17 mars 2014, il est possible d’engager en France une « action de groupe ». L’article L423-1 du Code de la consommation prévoit en effet que les associations de consommateurs agréées au plan national peuvent saisir les juridictions civiles « afin d'obtenir la réparation des préjudices individuels subis par des consommateurs placés dans une situation similaire ou identique et ayant pour cause commune un manquement d'un ou des mêmes professionnels à leurs obligations légales ou contractuelles ». En clair, ce recours collectif permet à des clients qui s’estiment victimes d’un même problème d’agir d’une seule voix devant les tribunaux, dans l’espoir d’obtenir des dommages et intérêts.
Seulement voilà, il n’est possible d’actionner ce dispositif qu’au nom de la réparation « des préjudices patrimoniaux résultant des dommages matériels subis par les consommateurs ». Au travers d’une question écrite transmise ce matin au ministre de l’Économie et du Numérique, Emmanuel Macron, le député Jean-Louis Destans fait dès lors valoir que « les préjudices liés à la protection des données personnelles sont le plus souvent des préjudices moraux liés à l'atteinte à la vie privée », et qu’ils se trouvent par conséquent exclus du périmètre de l’action de groupe française. Autrement dit, aucune action de groupe n’est possible pour les utilisateurs d’un réseau social dont les données personnelles (photos, informations,...) auraient fuité suite à une faille de sécurité ou un piratage.
Un nouvel outil pour faire cesser les violations de la loi « Informatique et libertés »
Reprenant le récent rapport du Conseil d’État, l’élu socialiste demande donc au gouvernement s’il ne serait pas envisageable d’instaurer « une action collective distincte de l'action de groupe, destinée à faire cesser les violations de la législation sur les données personnelles » . La haute juridiction administrative a en effet imaginé une nouvelle procédure visant spécifiquement « à faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284). Il pourrait ainsi être question d’ordonner à un site ou à un réseau social de prendre certaines mesures de protection, et non pas d'exiger des dommages et intérêts au titre d'un manquement.
Une telle action pourrait être exercée devant le tribunal de grande instance, par les associations agréées de protection de consommateurs (comme pour l’action de groupe), mais également par les associations « de défense de la vie privée et des données personnelles », ainsi que par les organisations syndicales agissant pour le compte de salariés dont des données personnelles font l’objet d’un traitement au sein d’une entreprise - utilisation des données biométriques, etc.
Nous ne manquerons pas de revenir sur la réponse de l'exécutif, une fois que celle-ci aura été publiée au Journal Officiel.