En France, bientôt une action de groupe contre les atteintes aux données personnelles

Un pour tous, tous pour un 17
image dediée
Crédits : Matej Moderc/iStock
Loi

Une action de groupe (ou plutôt « action collective ») en matière de données personnelles sera bientôt une réalité en France. Le gouvernement a déposé en ce sens un amendement dans le cadre du projet de loi relatif à l'action de groupe et à l'organisation judiciaire. 

Le texte, discuté par les députés à partir du 17 mai, prévoit d’adjoindre un nouvel article à la loi de 1978 relative à l’informatique, aux fichiers et aux libertés. Concrètement, cette action concernera les seules personnes physiques « placées dans une situation similaire », par exemple des consommateurs de tel ou tel opérateur télécom.

Si cet ensemble subit un dommage consécutif à un manquement à la loi de 1978, par exemple une faille de sécurité chez un opérateur ou l’un de ses sous-traitants, alors « une action de groupe [pourra] être exercée devant une juridiction civile ou administrative ». Comment ? La clef de démarrage est confiée à une série d’acteurs derrières lesquels les victimes pourront se retrouver :

  1. Les associations ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel
  2. Les associations de défense des consommateurs représentatives au niveau national et agréées (…) lorsque le traitement de données à caractère personnel affecte des consommateurs
  3. Les syndicats professionnels représentatifs (…) ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que leurs statuts les chargent de défendre.

Avec un tel champ, l’UFC Que Choisir et la CLCV seront évidemment concernées, mais très probablement aussi la Quadrature du Net puisque l’association a pour but de « mener des actions pour la défense des libertés individuelles sur Internet » outre « d'encourager l'autonomie des usagers et leur prise de contrôle sur les données les concernant ». 

Faire cesser une atteinte, non obtenir réparation

Inutile pour les consommateurs d’espérer de juteuses retombées financières comme par magie. Ici, l’action n’aura qu’une finalité : tendre « exclusivement à la cessation de ce manquement », et donc pour notre cas, au colmatage de la brèche. Son objectif ne sera donc pas de percevoir l’indemnisation des victimes.

Pour comprendre pourquoi, il faut revenir à l’article 80 paragraphe 2 du règlement européen, que l’amendement gouvernemental met en musique. Cette disposition autorise les États membres à prévoir de telles actions de groupe exercées sans mandat des personnes concernées (contrairement au paragraphe 1 du même article). C’est cette absence de mandat qui explique en partie la portée réduite de cette arme.

En janvier 2016, un tel mécanisme avait été proposé, vainement, lors de l’examen en première lecture du projet de loi Lemaire. En 2014, on le retrouvait dans le rapport sur le numérique rédigé par le Conseil d’État. Déjà, dans son esprit, il s’agissait de « faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés » (proposition 8, p. 284).

Un enjeu collectif 

La haute juridiction administrative expliquait pourquoi plus en détail : « Les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».

Certes, depuis la loi Hamon, l’action de groupe existe déjà dans notre droit. Cependant elle est limitée à la seule réparation des dommages matériels. Or, « les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée ». On aurait pu envisager d’étendre l’action de groupe aux dommages moraux, mais leur évaluation est tout sauf simple. Bref, à Paris comme au sein des institutions européennes, il a été jugé plus opportun de rester cantonné à l’action en cessation.

Publiée le 03/05/2016 à 14:00
Marc Rees

Journaliste, rédacteur en chef Droit, LCEN, copie privée, terrorisme, données personnelles, surveillance, vie privée, et toutes ces choses...

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...