precedent Suivant Données personnelles 4 / 4

Faut-il redouter l'action de groupe ?

Par - Publié le

,

,

,

L’année 2016 s’est révélée particulièrement riche en matière de législations dédiées à la protection des données à caractère personnel. Mais, c’est à la loi de modernisation de la Justice que l’on doit l’avènement d’une action de groupe en la matière.


Paper Boat Creative/Getty Images

Après l’adoption par le Parlement européen, le 14 avril 2016, d’un nouveau règlement applicable dès mai 2018, qui modifie en profondeur le cadre juridique actuel, après la loi du 7 octobre pour une République numérique qui anticipe sur certaines dispositions de ce règlement en renforçant les droits des personnes sur les données qui les concernent, c’est au tour de la loi du 18 novembre 2016 de modernisation de la Justice du XXIe siècle d’appor­ter sa pierre à l’édifice. Son article 91 rend désormais possible l’introduction d’une action de groupe en cas de manque­ment aux dispositions de la loi Informatique et libertés du 6 janvier 1978. Quelles sont les caractéristiques de cette nouvelle action ? Quelles en seront les incidences concrètes ?

La loi du 18 novembre 2016 ne se limite pas à la création d’une nouvelle action collective : elle unifie également le régime juridique de l’ensemble des actions de groupe (lutte contre les discriminations, droit du travail, environnement, santé). L’une des nouveautés introduite réside dans la possibilité de saisir désormais tant le juge administratif que le juge judiciaire d’une action collective.

Étape préalable

Une autre innovation importante est l’introduction d’une étape préalable, qui doit être respectée quel que soit le juge que l’on envi­sage de saisir : toute procédure devra désormais être précédée d’une mise en demeure de cesser le manquement ou de répa­rer les préjudices subis, dans un délai de quatre mois. La sanction du non-respect de cette nouvelle exigence est sévère : l’action de groupe qui serait introduite en méconnaissance de cette mise en demeure préalable ou avant l’expi­ration du délai de quatre mois accordé pour y répondre serait jugée d’office irrecevable par le juge.

Agir, sous quelles conditions ?

  • Plusieurs personnes physiques.
  • Des individus placés dans une situation similaire,
  • Subir un dommage...
  • ... ayant pour cause commune un manquement de même nature aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
  • Possibilité pour un responsable de traitement de données à caractère personnel ou un sous-traitant d’engager la procédure.

Règlement à l’amiable…

Ce délai, plus long que ceux géné­ralement imposés par les mises en demeure de la Cnil, devrait permettre à la fois de régler à l’amiable les difficultés qui peuvent l’être, et qu’un respon­sable de traitement n’aurait peut-être pas, de bonne foi, détectées. Il pourrait permettre aussi d’éviter les abus de procédure et l’emballement des demandeurs pour un texte – la loi Informatique et Libertés – désormais placé au centre des préoccupations de nombreux acteurs – y compris politiques – et en conséquence de l’actualité média­tique. Au-delà de ce socle commun, l’action de groupe en matière de données personnelles se distingue nettement des autres « actions collectives ». En effet, elle ne peut tendre qu’à la cessation du manquement à la loi Infor­matique et Libertés, au besoin sous astreinte, mais en aucun cas à la réparation d’un préjudice, quelles que soient les formes que prendrait cette réparation.

En conséquence, la distinction classique en matière d’action de groupe, entre la première phase au cours de laquelle le juge statue sur la recevabilité de l’action et la responsabilité du professionnel défendeur et la seconde, dite d’indemnisation, au cours de laquelle les victimes adressent une demande de réparation au professionnel, n’existe pas ici. Pourquoi une telle différence ?

Cette impossibilité de voir réparer son préjudice apparaît, en effet, relativement paradoxale : le texte prévoyant la possibilité d’introduire cette nouvelle action de groupe vise, expressément, la notion de dommage dans la définition qu’il donne du groupe de personnes physi­ques concernées par l’action. D’ailleurs, l’article 80 du règlement européen permettait, aux États mem­­bres d’aller au-delà et de prévoir cette phase indemnitaire.

L’explication est sans doute que dans ce domaine, le préjudice de chaque personne concernée est bien souvent très difficile à évaluer et qu’il importe principalement pour celle-ci que le manque­ment à la loi Informatique et Libertés cesse effectivement. En cas de faille de sécurité, de prospection commerciale agressive, il est, en effet, possible que le dommage soit seulement éventuel ou hypothétique et donc non réparable en droit français. Mais il n’est pas exclu qu’une future loi vienne compléter ce dispositif pour y intégrer un volet permettant la réparation des dommages subis.

Qui peut porter l’action en Justice ?

La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a été complétée d’un nouvel article 43 ter qui prévoit une liste limitative des entités habilitées à l’introduire sont :

  1. Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
  2. Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
  3. Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du IIIe alinéa de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Gare à la médiatisation…

Dans ces conditions, on peut se demander quel sera l’accueil réser­vé et son efficacité concrète de l’action de groupe en matière de données personnelles. D’autres voies existent d’ailleurs pour faire sanctionner les manquements à la loi et obtenir réparation du préjudice en résultant. La Cnil, le juge judiciaire – répressif ou non – et le juge administratif connaissent des réclamations des particuliers fondées sur une durée de conservation illimitée des données, un détourne­ment de finalité, un accès non-autorisé de tiers ou la méconnaissance des obligations de confidentialité et de sécurité du responsable de traitement. Mais bien qu’un certain nombre de décisions de la Cnil soient largement relayées – notamment sur son site Internet et via les communiqués de presse qu’elle diffuse – celle-ci n’est rien, semble-t-il, comparée à l’impact médiatique de l’action de groupe. C’est probablement cet effet qui est l’un des avantages principaux de l’action collec­tive, quel que soit son domai­ne. Si la procédure est rendue publique au stade de la mise en demeure, la pression peut être encore plus forte.

5 Les champs d’application de l’action de groupe : consommation, discrimination, données personnelles, environnement, santé.

La réparation du préjudice individualisée

Par ailleurs, même si cette nouvel­le action collective ne peut directement tendre à l’indemnisa­tion des préjudices, rien n’inter­dit à un individu représen­té dans le cadre de l’action de groupe d’engager ensuite une action en domma­ges et intérêts devant la juridiction compétente. L’autorité de chose jugée qui sera attachée à la première décision devrait permettre la réparation rapide du dommage, pourvu que dans tel ou tel cas particulier, son existence et son étendue soient démontrées. Rien n’interdit, non plus, à une personne physique qui n’était pas représentée lors de l’action de groupe, d’engager une action distincte en cessation et en réparation et de se prévaloir de la décision rendue dans le cadre de la procédure collective. Il s’agit donc sans doute d’une réforme dont l’impact restera limi­té, mais dont il ne faudrait pas sous-estimer les effets dans un contexte global où responsables de traitement – et bientôt sous-traitant – sont plus que jamais l’objet de toutes les attentions.


precedent Suivant Données personnelles 4 / 4


Effectuer une autre recherche

Rechercher

article extrait de l’argus de l’assurance

Tous les vendredis, l’information de référence
des institutionnels et des réseaux
 Contactez la rédaction
 Abonnez-vous