L’Assemblée nationale a définitivement adopté hier le projet de loi pour la Justice du 21ème siècle. C’est au travers de ce texte que le législateur a souhaité instaurer une action de groupe en matière de données personnelles, même si son utilité risque d’être assez restreinte.
Cette nouvelle procédure concernera les seules personnes physiques « placées dans une situation similaire » (par exemple les utilisateurs d’un même réseau social). Sa principale condition : que les plaignants aient subit un dommage consécutif à un manquement à la loi Informatique et Libertés, tel qu’une faille de sécurité chez un opérateur ou l’un de ses sous-traitants.
Cette action de groupe ne pourra pas être exercée directement par les victimes. Il faudra en ce sens qu’une organisation les représente, tant devant une juridiction civile qu’administrative. Cela pourra être, au choix :
- Une association régulièrement déclarée depuis cinq ans au moins et « ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ». En pratique, cela signifie à titre d’illustration que La Quadrature du Net, qui est formellement enregistrée en préfecture depuis 2013, sera exclue de ce dispositif jusqu’en 2018.
- Une association de défense des consommateurs représentative agréée au niveau national, à condition que le problème « affecte des consommateurs ». En cas de fuite provenant par exemple d’un site public (tel que celui des impôts), il sera donc impossible d’avoir recours à un tel intermédiaire.
- Un syndicat représentatif de salariés ou de fonctionnaires « lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre ». Là aussi, le recours à ce genre d’organisation risque d’être assez limité au regard de la spécificité des cas en question.
Aucune indemnisation possible pour les victimes
Le gros hic de cette nouvelle action de groupe, c’est qu’elle permettra « exclusivement » d’obtenir la cessation d’un manquement, non sa réparation... Inutile donc d’espérer obtenir la moindre indemnité par ce biais.
Isabelle Falque-Pierrotin, la présidente de la CNIL, nous avait ainsi fait part de sa « déception » sur ce point. « Aussi bien au niveau national qu'au niveau du G29, c'est un nouvel outil qui nous paraissait utile et correspondant à des attentes assez fortes de la part des consommateurs et des utilisateurs français et européens. » Même son de cloche du côté de l’UFC-Que Choisir : « Le propre d'une action de groupe, c'est de réparer un préjudice... La copie du législateur n'est donc pas suffisante ! Il faut permettre une réparation entière du préjudice, notamment moral » exhortait Amal Taleb, juriste au sein de l’association de consommateurs, en février dernier.
Le législateur a visiblement souhaité avancer sur ce dossier avec beaucoup de prudence. Il ne reste maintenant plus qu'à attendre la promulgation de ce texte par François Hollande (en principe sous quinze jours) pour que cette réforme puisse entrer en vigueur.
