L’action de groupe en matière de protection des données personnelles fait désormais partie du paysage légal français.
Publiée au Journal officiel du 19 novembre 2016, la loi de modernisation de la justice du XXIe siècle n° 2016-1547 du 18 novembre 2016 crée un nouvel article 43 ter dans la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés, afin de permettre l’introduction d’actions de groupe (1).
Cet article est placé dans la section 2 du chapitre V de la loi Informatique et libertés qui concerne les droits des personnes à l’égard des traitements de données à caractère personnel. L’action de groupe est donc un nouvel outil permettant aux personnes concernées de garantir leurs droits.
Conditions de l’action de groupe
L’action de groupe peut être introduite lorsque plusieurs conditions cumulatives sont remplies à savoir :
- plusieurs personnes physiques ;
- placées dans une situation similaire ;
- subissant un dommage ayant une cause commune ;
- cette cause commune étant :
- un manquement aux dispositions de la loi Informatique et libertés ;
- de même nature ;
- par un responsable du traitement de données ou par un sous-traitant.
Compétence juridictionnelle
L’action de groupe peut être exercée aussi bien devant la juridiction civile que devant la juridiction administrative.
Demande en justice
Cette action ne peut tendre qu’à la cessation du manquement, tel que l’arrêt d’un traitement illicite.
Aucune réparation pour le dommage subi ne semble en revanche pouvoir être demandée dans le cadre d’une action de groupe.
Parties à l’instance
Le texte limite les personnes pouvant exercer une action de groupe. Il s’agit des :
- associations régulièrement déclarées depuis cinq ans au moins, ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
- associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du Code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
- organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du Code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.
Règlement européen sur la protection des données personnelles
Le champ d’application de cette nouvelle action de groupe semble limité, du fait notamment de l’absence de réparation possible pour les personnes concernées.
Toutefois, sans introduire une action de groupe, le règlement général sur la protection des données (RGPD), qui sera applicable en mai 2018, permettra aux personnes concernées de mandater des organismes, organisations ou associations (2) afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation sous certaines conditions.
Ces dispositions s’inscrivent dans une même tendance de renforcement des droits des personnes en matière de protection des données.
Lexing Alain Bensoussan Selas
Lexing Informatique et libertés
(1) Loi 2016-1547 du 18-11-2016, art. 91.
(2) Règlement (UE) 2016/679 du 27-4-2016, art. 80.