Données Personnelles

Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIème siècle

La loi du 18 novembre 2016 « de modernisation de la justice du XXIe siècle » a ouvert l’action de groupe à trois nouvelles matières : les discriminations, l’environnement et la protection des données à caractère personnel.

La loi Informatique et Libertés comporte ainsi désormais un nouvel article 43 ter, qui fixe les conditions d’exercice de l’action de groupe en matière de données personnelles. L’action est ouverte en premier lieu à des associations déclarées depuis cinq ans ou plus, et dont l’objet statutaire comprend la protection de la vie privée et des données personnelles. L’action est également ouverte à d’autres associations et organisations syndicales lorsque les traitements litigieux affectent les personnes que leurs statuts les chargent de défendre : associations de consommateurs, syndicats de salariés ou de fonctionnaires et syndicats de magistrats de l’ordre judiciaire.

Le nouveau recours comporte cependant une limite importante : l’action ne pourra avoir d’autre but que la cessation des manquements à la loi informatique et libertés par les responsables de traitements ou leurs sous-traitants. Il ne sera donc pas possible d’obtenir un quelconque dédommagement pécuniaire par cette voie. Cependant, les actions individuelles subséquentes aux fins d’obtenir des dommages-intérêts seront logiquement facilitées par l’obtention préalable d’une condamnation dans le cadre de l’action de groupe.

Il y a tout lieu de penser que les associations de consommateurs et les syndicats profiteront de cette action de groupe lorsque les conditions seront réunies. Nonobstant l’absence de risque financier direct, cette nouvelle procédure sera tout de même susceptible d’exposer les pratiques des entreprises visées et de résulter en une altération de leur image et de leur réputation.

La nouvelle action de groupe est à rapprocher de l’article 80 du Règlement Général sur la Protection des Données, qui ne sera applicable qu’à compter du 25 mai 2018. Le second paragraphe de cet article donne en effet la possibilité aux Etats membres de prévoir le droit pour certains organismes, organisations ou associations, d’introduire une action en justice fondée sur la violation des droits des personnes concernées, indépendamment de tout mandat spécifique à cette fin de la part de celles-ci. Le premier paragraphe de cet article prévoit en outre la possibilité pour les personnes concernées de confier un mandat à l’un de ces organismes, organisations ou associations, afin notamment d’obtenir cette fois-ci réparation du fait des manquements des responsables de traitement ou de leurs sous-traitants.

Lorsque le RGPD sera applicable, il y a tout lieu de penser que le législateur étendra le champ d’application de l’action de groupe aux actes réalisés en violation de ce texte. Il est également possible que l’action permette dans le futur de demander la réparation des préjudices subis.