L'action en groupe en matière de données à caractère personnel : l'occasion manquée ?

Publié le 6 Décembre 2016
La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a consacré l'action de groupe en matière de données à caractère personnel. Annabelle Richard et Guillaume Morat, avocats Pinsent Masons, dressent un état des lieux.

L'action de groupe a été pendant longtemps ignorée en droit français avant d'être finalement introduite pour la première fois par la loi n° 2014-344 du 17 mars 2014 relative à la consommation (dite "loi Hamon") au bénéfice des consommateurs. Au 26 septembre 2016, seules huit actions de groupe en matière de consommation ont été introduites devant les juridictions françaises.

S'agissant des données à caractère personnel, la consécration de l'action de groupe avait été envisagée à l'occasion des débats parlementaires relatifs à la loi pour la République numérique (dite "loi Lemaire") mais celle-ci a finalement été adoptée le 7 octobre 2016 sans ce dispositif. Par ailleurs, le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "Règlement GDPR") – qui sera applicable à partir du 25 mai 2018 – prévoit expressément la faculté pour les Etats de recourir à cette possibilité (art. 80 et s.). Le législateur français a donc décidé d'anticiper l'application de ce règlement en consacrant l'action de groupe en matière de données à caractère personnel moyennant quelques ajustements.

La loi n° 2016-1547 du 18 novembre 2016 a créé un nouvel article 43 ter au sein de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite "loi informatique et libertés) qui dispose notamment que
"Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente."

Cette nouvelle disposition vise aussi bien le responsable de traitement que les sous-traitants alors même qu'en l'état du droit positif, seuls les responsables de traitement peuvent voir leur responsabilité engagée par les personnes concernées. En réalité, cette disposition a vraisemblablement été inspirée par la réforme issue du règlement GDPR qui va accentuer la responsabilité des sous-traitants.

En outre, cette nouvelle action de groupe ne pourra être exercée que par les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, par les associations de défense des consommateurs représentatives au niveau national et agréées lorsque le traitement de données à caractère personnel affecte des consommateurs, ou par les organisations syndicales de salariés ou de fonctionnaires représentatives lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Enfin, cette action de groupe qui suppose l'envoi d'une mise en demeure préalable demeurée infructueuse quatre mois avant la saisine du juge compétent, est exclusivement destinée à obtenir à la cessation du manquement. Il n'est donc pas possible via cette nouvelle action de groupe d'obtenir la réparation des préjudices pouvant résulter de l'inobservation de la réglementation applicable aux données à caractère personnel, à l'instar d'autres actions de groupe en droit français ou des actions de groupe aux Etats-Unis qui visent essentiellement à obtenir des dédommagements significatifs. Sur ce point, le législateur français ne s'est malheureusement pas aligné avec le règlement GDPR qui prévoit expressément la possibilité pour les Etats de prévoir un tel mécanisme y compris à des fins d'obtenir la réparation du préjudice des personnes concernées. Même si l'impact en termes d'image d'une action de groupe en matière de données à caractère personnel peut être significatif, cette exclusion nous semble éminemment regrettable. Le législateur français n'a donc pas su saisir l'occasion qui lui était offerte en garantissant l'effectivité de cette nouvelle action de groupe.
 
Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
HP
SQ 250-300
Services
IngramCanon Maxify
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires