Evolution des règles d’indemnisation par une action de groupe

Les règles d’indemnisation par une action de groupe seront modifiées par le projet de loi protection des données personnelles qui doit mettre à jour la loi Informatique et libertés.

Adopté par l’Assemblée nationale le 13 février 2018 (1), le projet de loi relatif à la protection des données personnelles (2) crée un nouvel article 43 quater dans la loi n°78-17 du 6 janvier 1978 dite Informatique et libertés (3), introduisant la possibilité de demander réparation d’un préjudice dans le cadre d’ une action de groupe en matière de protection des données personnelles (article 16 du projet de loi) :

Art. 43 quater. – La personne concernée peut mandater une association ou une organisation mentionnée au IV de l’article 43 ter aux fins d’exercer en son nom les droits visés aux articles 77 à 79 du règlement (UE) 2016/679. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable du traitement ou le sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du chapitre XIII.

Est ainsi créée la possibilité pour les personnes concernées de demander réparation du dommage subi en ayant recours à une action de groupe.

RGPD : l’indemnisation par une action de groupe

Le droit à une indemnisation à l’occasion d’une action de groupe a été introduit par le règlement général sur la protection des données (RGPD), lequel dispose en son article 80 alinéa 1 (4) :

La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été́ valablement constitué conformément au droit d’un Etat membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un Etat membre le prévoit.

Il ressort de cet article que le droit de l’État membre concerné doit prévoir cette possibilité. Or, jusqu’au projet de loi relatif à la protection des données personnelles, ce n’était pas le cas en France.

Loi de modernisation de la justice : l’absence d’indemnisation

La loi de modernisation de la justice du XXIe siècle n° 2016-1547 du 18 novembre 2016 (5) permettant l’action de groupe, limite celle-ci, en matière de données à caractère personnel, à la seule possibilité de demander la cessation du manquement.

Néanmoins, suite à l’adoption du RGPD, le gouvernement a préparé son projet de loi Informatique et libertés afin de mettre en conformité le droit national avec le texte communautaire.

Le projet de loi Informatique et libertés : l’indemnisation par une action de groupe

Alors même que le règlement européen limite, dans certains cas, l’application de ses dispositions aux respects des dispositions du droit national, le projet de loi en intègre la grande majorité, à certaines exceptions telles que les données de santé.

Le projet de loi, dans la continuité du RGPD, intègre ainsi dans le droit national, la possibilité d’exercer une action de groupe afin d’introduire une réclamation auprès de la Cnil si le traitement de données à caractère personnel des membres de cette action constitue une violation du RGPD (article 77) ainsi que la possibilité d’introduire un recours à son encontre (article 78).

Le projet de loi est actuellement devant le Sénat, en attente de son adoption définitive.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Projet de loi relatif à la protection des données personnelles, texte adopté par l’Assemblée nationale en première lecture : TA n° 84 du 13 février 2018, scrutin public n° 389.
(2) Projet de loi relatif à la protection des données personnelles, Dossier législatif à l’AN.
(3) Loi 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés.
(4) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art 80.
(5) Loi 2016-1547 du 18-11-2016 de modernisation de la justice du XXIe siècle,  art. 91.