Un nouveau mécanisme d’action de groupe pour la protection des données personnelles en France

Contrairement à la loi de 2014 relative à la consommation, qui a introduit le mécanisme de l’action de groupe en droit français mais a limité sa portée à l’indemnisation du dommage matériel, cette nouvelle loi étend l’action de groupe aux domaines suivants : discrimination, santé, environnement et protection des données personnelles.

Ainsi, la loi contient des dispositions spécifiques autorisant l’action de groupe contre les violations en matière de protection des données personnelles. Son champ d’application est large car elle s’applique à toutes les violations de la loi Informatique et Libertés.

La France n’est pas le seul pays européen ayant introduit une action de groupe en matière de protection des données personnelles. En Belgique, un mécanisme d’action collective (incluant l’indemnisation des violations de la Loi vie privée belge) existe depuis septembre 2014 et, en Allemagne, depuis le 24 février 2016 les associations de consommateurs, les chambres du commerce et de l’industrie et d’autres associations d’entreprises agrées peuvent intenter une action en justice en cas de violation du droit à la protection des données personnelles. En Allemagne, ces associations et chambres se sont vues offrir de nouveaux pouvoirs de contrainte et les contrôles ont ainsi été encouragés. Il est très probable que ce nouveau mécanisme donne lieu à plus de sanctions contre les manquements au droit allemand de la protection des données personnelles (lire l'alerte dédiée à ce sujet rédigé par notre bureau allemand).

Le chapitre VI du titre V de la loi de modernisation de la justice du XXI^è siècle prévoit les règles applicables aux actions de groupe contre les violations en matière de  protection des données personnelles devant les juridictions civiles et administratives.

Qui peut intenter une action de groupe ?

La nouvelle loi fournit une liste exhaustive et limitative des organisations qui peuvent exercer une telle action au nom des personnes physiques placées dans une situation similaire subissant un dommage ayant pour cause commune un manquement de même nature aux dispositions de la loi Informatique et Libertés par un responsable de traitement ou un sous-traitant.

Pour que l’action de groupe soit recevable, l’organisation qui l’exerce doit être une association régulièrement déclarée depuis cinq ans au moins ayant pour objet statutaire la protection des données personnelles. Cette condition est évidemment restrictive et aura pour effet d’empêcher que des organisations soient créées dans le seul but d’intenter une telle action, puisque l’organisation devra (i) avoir été créée dans le but de protéger les données personnelles et (ii) exister en tant que telle depuis au moins 5 ans. D’autre part, l’action de groupe peut être introduite par les associations de défense des consommateurs représentatives au niveau national et agréées en application de l'article L. 811-1 du code de la consommation, lorsque le traitement de données personnelles affecte des consommateurs, ou par les organisations syndicales de salariés ou de fonctionnaires représentatives, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Quel est l’objectif de l’action de groupe ?

Ce point est d’ores et déjà très critiqué car la loi prévoit que les actions de groupe contre les manquements en matière de protection des données personnelles tendent exclusivement à la cessation du manquement. Ainsi, et contrairement aux autres types d’action de groupe, l’action collective en protection des données personnelles ne permettra pas la réparation du préjudice subi. En effet, la loi ne permet que de faire cesser le manquement allégué. Dès lors, dans ce contexte, les demandeurs à l’action de groupe en matière de données personnelles ne pourront prétendre à l’obtention d’une compensation financière pour le préjudice subi.

Cependant, chaque personne concernée pourra ensuite décider d’intenter une action individuelle en indemnisation devant les tribunaux civils ou administratifs, qui pourra le cas échéant être facilitée par le résultat de l’action de groupe.

Quel impact pour les entreprises ?

La reconnaissance du concept de l’action de groupe en matière de protection des données personnelles aura pour conséquence d’amplifier le risque pour les entreprises d’être contrôlées sur leurs activités de traitement de données personnelles, et même d’être poursuivies devant les tribunaux, notamment par des associations de défense des consommateurs ou des organisations syndicales. Bien que les entreprises ne courent pas le risque d’être condamnées au paiement de dommages-intérêts, du fait de l’objet limité de cette action, ce type d’action entraînera néanmoins une augmentation significative du risque en termes d’image pour les entreprises.

Les associations de défense des consommateurs et les organisations syndicales sont déjà très actives en matière de protection des données personnelles en France et il est fort probable qu’elles usent des nouvelles possibilités offertes par cette loi.