L’action collective en protection des données personnelles.

Submitted by admin on Wed, 2017-11-29 14:43

Les raisons qui ont mené à l’adoption de l’action collective pour la protection des données à caractère personnel

Depuis 1978, la Loi Informatique et Libertés (LIL) a reconnu des principes clés à respecter(1) s’agissant de la protection des données personnelles en France. Les responsables de traitement doivent suivre les principes suivants : principe de finalité, principe de pertinence des données, principe de limitation de la conservation des données, principe du respect des droits des personnes, principe de sécurisation des données. Tout manquement à ces principes peut constituer une violation de la LIL et peut donner lieu à des sanctions civiles ou pénales.

Pourtant, s’il est manifeste que la LIL est très souvent enfreinte plus ou moins largement (absence de déclaration, sécurisation approximative, difficultés d’exercice des droits…), peu d’entreprises ont été sanctionnées.

Parallèlement, dès 2014, en matière de droit de la consommation, le législateur a souhaité permettre à l’intérêt collectif d’avoir davantage de poids et de moyens d’action pour concurrencer ceux des entreprises afin de pouvoir défendre ses droits. Ce processus a été envisagé à travers la notion d’action collective ou autrement dit d’action de groupe. Celle-ci a pour but de permettre à une pluralité de personnes qui n’auraient pas été en mesure de motiver ou de justifier l’opportunité de recours individuels, en réalise un seul collectivement. L’action collective a permis de faire évoluer la capacité de la responsabilité civile à appréhender ce type de dommage.

Cette action collective a été introduite en 2016 dans le domaine de la protection des données personnelles. Face aux nombreux abus de traitement des données personnelles de la part des entreprises, pour la plupart impunis, l’action collective constitue-t-elle une réponse valable ? Le mécanisme adopté en droit français répond-il à ces enjeux ?

L’histoire de l’adoption de l’action collective

L’action de groupe est une notion d’origine anglo-saxonne (class action). Elle permet à un collectif de personnes victimes d’un même dommage d’intenter une seule action en justice contre l’auteur du dommage. En droit français, cette notion d’action collective est très récente. Elle était en opposition avec le vieil adage « nul ne plaide par procureur ». Ainsi, seule la victime pouvait agir elle-même devant le tribunal, elle ne pouvait pas passer par une association pour assigner en justice ni se regrouper avec d’autres personnes au sein d’un collectif ad hoc.

Sur ce sujet, la France est en retard sur ses voisins européens. Alors que l’action collective aux États unis est une procédure devenue courante depuis les années 1950 avec l’affaire Erin Brockovich(2), les Pays-Bas et l’Angleterre ont admis l’action de groupe dans les années 1990/2000. Le Portugal a même inscrit ce principe dans sa Constitution dès 1976(3).

La possibilité d’ouvrir une forme d’action collective dans le droit français intervient dans les débats parlementaires dans les années 2000. Ce débat devient même présidentiel avec une demande(4) en 2005, de Monsieur Jacques Chirac, Président de la République, « d’une modification de la législation pour permettre à des groupes de consommateurs et à leurs associations d'intenter des actions collectives contre des pratiques abusives rencontrées sur certains marchés ». Ainsi depuis les années 2000 la question de l’action collective apparait comme un sujet récurrent dans les débats publics.

Il faudra cependant attendre 2014 pour que l’action collective soit adoptée en droit français. Elle est introduite par la loi Hamon du 17 mars 2014 relative à la consommation(5). Cette action de groupe connait depuis un intérêt marqué(6) et des débats reprennent quant à élargir cette possibilité d'action à d’autres domaines(7) dont celui de la protection des données personnelles(8).

L’action collective en matière de protection des données personnelles a été introduite dans le projet de loi « Pour une République numérique » porté par Axelle Lemaire en 2016. Initialement, le projet de loi envisageait dans un amendement cette action de groupe comme pouvant amener à la cessation de la violation des dispositions de la loi Informatique et Libertés ainsi qu’à une réparation.

Cependant en parallèle du projet de loi « Pour une République numérique », le projet de loi « modernisation de la justice du 21e siècle » envisageait de traiter des actions collectives de façon générale, intégrant l’action de groupe en matière de santé, de discrimination et d’environnement. Au cours des débats parlementaires, il a été suggéré d’écarter cette disposition du projet de loi « Pour une République numérique » et de la traiter avec toutes les autres formes d’action collective(9).

Cependant, alors que le projet de loi « Pour une République numérique », envisageait la cessation ainsi que la réparation du préjudice subit, le transfert de cette action collective au sein du projet de loi « modernisation de la justice du 21e siècle » lui a valu la suppression de la réparation du dommage causé. La raison d’une telle suppression a pu être questionnée et le journaliste Xavier Berne de Next Inpact(10) a émis l’hypothèse que « peut-être cette modification a permis d’obtenir un soutien plus large de la part des députés. ». En effet, de nombreuses personnalités étaient en désaccord avec la réparation d’un tel préjudice, par exemple, Patrick Hetzel qui soulignait que cette action risquerait de « mettre en péril un certain nombre de nos entreprises extrêmement innovantes. »(11)

Ainsi, amputée de la réparation du préjudice, l’action collective en matière de protection des données à caractère personnel a été introduite en droit français, par la loi de modernisation de la justice du 21e siècle du 18 novembre 2016 (loi J21)(12) au sein de son article 91.

Article 91 de la loi modernisation de la justice du 21e siècle

La section 2 du chapitre V de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est donc complétée par un article 43 ter ainsi rédigé :

« I. Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 no-vembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s'appliquent à l'action ouverte sur le fondement du présent article.
II. Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction ad-ministrative compétente.
III. Cette action tend exclusivement à la cessation de ce manquement.
IV. Peuvent seules exercer cette action :
1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statu-taire la protection de la vie privée et la protection des données à caractère personnel ;
2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l'article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;
3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des ar-ticles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l'article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats re-présentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des per-sonnes que les statuts de ces organisations les chargent de défendre. »

Le fonctionnement de cette action collective en matière de protection à caractère personnel

L’article 91 de la loi J21 présenté ci-dessus énonce les critères nécessaires afin de pouvoir agir par une action de groupe.

  • Tout d’abord, seules les personnes physiques peuvent agir en action de groupe, ce critère reprend celui de la LIL qui ne protège que les personnes physiques.
  • Ensuite, il faut qu’il y ait une pluralité de personnes physiques, d’où le nom d’action collective.
  • De plus, il est nécessaire que ces personnes physiques se trouvent dans une situation similaire, sans forcément qu’elle soit exactement la même.
  • Et pour finir, il faut qu’elles soient victimes d’un manquement de même nature à la LIL.

Lorsque les critères sur les personnes voulant constituer une action de groupe sont remplis, il est nécessaire de s’intéresser à la qualité à agir. Selon l’article 91 de loi J21 seules peuvent saisir le tribunal en action collective :

  • les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;
  • les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement personnel affecte des consommateurs ;
  • les organisations syndicales de salariés ou de fonctionnaires représentatives, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Les limites de cette action collective

Bien qu’elle ait été introduite dans le droit français en même temps que l’action de groupe en matière de santé et d’environnement, l’action collective concernant les données personnelles n’a pas fait beaucoup de bruit dans l’opinion publique dans la mesure où son intérêt est limité par certains points qui restreignent sa portée.

D’une part, la simple finalité de cette action est la cessation du dommage. L’article 91 de la loi de modernisation de la justice du 21e siècle énonce que « Cette action tend exclusivement à la cessation de ce manquement ». Ainsi, et contrairement aux autres actions de groupe introduites au même moment, les victimes d’un mauvais traitement des données à caractère personnel ne pourront prétendre à une réparation de leur préjudice. Le champ d’action du juge est donc limité à celui d’ordonner expressément au défendeur de cesser ou de faire cesser le dommage causé. La simple cessation est très largement critiquée, car seule la compensation financière aurait eu un effet dissuasif pour les entreprises déviantes et la réparation du préjudice subit est la seule façon de reconnaitre le préjudice social et les préjudices accumulés des victimes. D’autre part, en l’absence de réparation du préjudice, la complexité d’un procès et les frais de justice peuvent faire obstacle à la motivation des personnes physiques, mais aussi à celles des associations, qui, malgré leur bonne volonté ne peuvent s’autoriser à intenter des actions à fond perdu. Ainsi la simple cessation du dommage fait douter de l’efficacité de cette nouvelle action.

D’autre part, seules des associations déclarées depuis au moins cinq ans peuvent agir. Cette restriction a pour objectif d’empêcher de créer des associations dans le seul but d’intenter l’action de groupe. Cela est une véritable limite, car cela restreint la liste des associations compétentes à agir en la matière, qui aujourd’hui n’est pas très grande(13).

De plus, la procédure pour lancer cette action de groupe est longue. En effet, l’action est précédée, sous peine d’irrecevabilité, d’une mise en demeure afin que « le défendeur à l’action puisse prendre les mesures pour cesser ou faire cesser le manquement, l'action de groupe ne peut être introduite qu'à l'expiration d'un délai de quatre mois à compter de la réception de cette mise en demeure » énonce l’article 64 de la loi J21(14). Le délai de 4 mois est alors une limite à l’efficacité de l’action de groupe dans le domaine, car tous les individus disposent d’ores et déjà de la possibilité de saisir directement, sans passer par l’action collective, la Commission nationale de l’informatique et des libertés (CNIL) en cas de violation de la loi Informatique et Libertés, qui agit dans un délai plus rapide que celui prévu par l’action de groupe. De plus, les individus peuvent également simplement déposer une plainte pénale.

D’autre part, on peut remettre en question l’utilité de l’action de groupe en matière de protection des données personnelles, car pour les organisations syndicales, ces dernières pouvaient déjà « exercer tous les droits réservés à la partie civile concernant les faits portant un préjudice direct ou indirect à l'intérêt collectif de la profession qu'ils représentent » comme l’énonce l’article L.2132-3 du Code du travail(15). Ainsi en matière de protection des données à caractère personnel ces organisations pouvaient d’ores et déjà agir.

Des limites à, légèrement, nuancer

Les actions de groupe sont entrées dans le droit français il y a tout juste trois ans et seulement un an pour l’action collective en matière de protection des données personnelles. En trois ans de nombreux changements ont été effectués pour l’action collective en droit de la consommation, on peut espérer qu’il en aille de même pour celle touchant aux données personnelles.

Ainsi, le nouveau règlement général de la protection des données personnelles de l’Union européenne applicable en mai 2018, permet à un individu de mandater une association pour agir en son nom et place et, si le législateur national le prévoit, d’obtenir réparation du préjudice subi.

Article 80 du Règlement général de la protection des données personnelles

« La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit.
Les États membres peuvent prévoir que tout organisme, organisation ou association visés au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l'autorité́ de contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été́ violés du fait du traitement.» (16)

On peut ainsi espérer que la retranscription du règlement en droit français serve d’ouverture pour établir la possibilité d’obtenir réparation dans le cadre de l’action collective. Il s’agira d’un des grands enjeux de cette transposition.

Notons également que bien que la sanction réelle de l’action de groupe soit uniquement symbolique, l’attaque de l’image de marque de l’entreprise peut avoir une importance dans notre société. C’est cette image qui attire la méfiance ou la confiance des consommateurs. Cette menace sur l’image de marque peut parfois être une raison assez dissuasive pour contraindre les entreprises à respecter la loi et cesser des abus. À titre d’exemple, en 2012, la CNIL a intenté une procédure de sanction contre Google pour des manquements en termes de traitement de données personnelles et, en 2015, a condamné l’entreprise à payer une amende de 150 000€(17). Dans cette condamnation, ce n’était pas tant l’amende, bien limitée, que Google a tenté de contester (sans succès) devant le Conseil d’État, mais l’obligation connexe d’annoncer cette sanction sur sa devanture « google.fr » pendant quelques jours. De la même façon, des responsables de traitement ont pu obtenir auprès du Conseil d’État que lorsque la sanction est rendue publique, celle-ci doit être "anonymisée" après une certaine période(18) preuve de l’importance attachée à ce que leur image ne soit pas définitivement associée à cette sanction.

Enfin, une fois l’action collective aboutie, et la sanction reconnue, celle-ci permet de faciliter le recours individuel qui lui, admet la réparation du préjudice. Il est intéressant d’en avoir conscience même si cette voie d’action n’est pas la plus rapide.

Conclusion

Aujourd’hui bien que la France ait introduit l’action de groupe pour la protection des données personnelles, cette reconnaissance d’un manque est purement symbolique. En effet, l’action de groupe étant limitée à la cessation du dommage, la France continue de laisser aux entreprises la possibilité de faire des abus sans être sanctionnées financièrement par le biais d’un regroupement de petits préjudices au sein d’une action collective.
À ce jour aucune action de groupe n’a encore été faite en matière de protection des données à caractère personnel, la possibilité de voir l’impact réel de cette dernière serait intéressante pour vraiment juger de son efficacité et de son utilité qui sans pouvoir être économique pourrait, néanmoins, être médiatique.

Clara Lacour
Etudiante en droit
Stagiaire au CECIL
clara.lacour@free.fr

(1) « Les principes clés de la protection des données personnelles », CNIL
(2) Pour plus d’information, voir l’entrée Wikipedia.en sur Erin Brockovich ou le film « Erin Brockovich, seule contre tous », 2000, S. Soderbergh.
(3) Article 52 de la constitution portugaise, inscrit par un décret 10/04 de 1976, modifié en dernier lieu par la loi n ° 1/2005 du 12 août 2005
(4) L.A, « Jacques Chirac promet une réforme des « class action » d'ici à la fin de l’année », 25/02/2005, Les Echos
(5) Loi n° 2014-344 du 17 mars 2014 relative à la consommation dite Loi Hamon
(6) Thomas Rivoire, actualisé le 05/10/2016, « Le droit français a-t-il réellement adopté l'action de groupe? »
(7) « L'action de groupe à la française : parachever la protection des consommateurs », Sénat
(8) Xavier Berne, « À l’Assemblée, débats en vue autour de l’action de groupe en matière de données personnelles », 11/07/16, NextInpact
(9) Xavier Berne, « Une action collective en matière de données personnelles introduite dans la loi Numérique », 22/01/16, NextInpact
(10) Ibid
(11) Patrick Hetzel, Assemblée nationale– 2e séance du 12/06/2016
(12) Loi n ° 2016-1547 du [18 novembre 2016 de modernisation de la justice du XXIe siècle]https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033418805&categorieLien=id
(13) Le CECIL (https://www.lececil.org) est néanmoins l’une d’entre elles.
(14) Loi de modernisation de la justice du 21e siècle, article 64, Légifrance, JO du 18/11/16
(15) Cécile Martin et Thibaud Lauxerois, « Action de groupe en matière de données personnelles : les employeurs doi-vent-ils s’en inquiéter ? », 18/01/17
(16) Journal officiel de l'Union européenne du 27/04/16
(17) Louis Adam, « Face à la CNIL, Google se couche », 03/02/15
(18) Voir en ce sens, CE, 10è et 9è ch., 28/09/2017, n°389448, Théâtre national de Bretagne et CE, 10è et 9è ch., 19/06/2017, Optical Center.