Le projet de loi de modernisation de la justice au XXIe siècle promulgué le 18 novembre 2016 est le fruit d’une longue procédure parlementaire qui a permis l’extension de l’action de groupe en matière de protection des données à caractère personnel. Initialement prévue en matière de consommation, l’action de groupe a été introduite en droit français par la loi Hamon du 17 mars 2014 et étendue par la suite en matière de santé par la loi Touraine du 26 janvier 2016. Ces dispositions s’inscrivent dans la tendance actuelle de renforcement des droits des personnes en matière de protection des données.

Les dispositions de ce projet de loi sont insérées dans la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Elles prévoient d’une part que l’action de groupe ne peut être exercée que par des associations régulièrement déclarées depuis au moins 5 ans, des associations de défense des consommateurs et des syndicats représentatifs. D’autre part elles prévoient que l’action ne peut être exercée qu’à l’encontre d’un responsable de traitement ou d’un sous-traitant devant les juridictions administratives ou judiciaires dans le seul but de faire cesser un manquement à la loi de 1978.

Alors même qu’il est trop tôt pour apprécier les bienfaits d’une action de groupe en matière de consommation, les pouvoirs publics ont décidé d’élargir substantiellement son champ de procédure ainsi que le nombre des personnes pouvant agir.

Une extension du cadre général de l’action de groupe justifiée par la volonté de garantir le respect de la loi de 1978

La principale ambition de ce texte en matière de données personnelles est de protéger les plaignants qui ont subi un dommage consécutif à un manquement à la loi Informatique et Libertés, comme par exemple une faille de sécurité chez un opérateur ou chez un de ses sous-traitant. S’appliquant à toutes les violations de la loi de 1978, on ne peut qu’apprécier son large champ d’application. Les droits accordés aux individus par la loi Informatique et Libertés sont des droits fondamentaux et les atteintes portées à ces droits peuvent toucher un grand nombre de personne ce qui légitime d’autant plus la protection que tente de leur accorder la procédure d’action de groupe.

La France n’est pas le premier pays de l’Union Européenne à avoir introduit dans sa législation une action de groupe en matière de protection des données personnelles à l’instar de la Belgique ou de l’Allemagne. Depuis septembre 2014, la loi belge a mis en place une action collective qui peut concerner tant un préjudice matériel qu’un préjudice corporel ou moral à l’encontre d’un manquement à la loi sur la protection de la vie privée à l’égard des traitements de données personnelles. En Allemagne, depuis le 24 février 2016 les chambres de commerce et de l’industrie, les associations d’entreprises agréées et les associations de consommateurs peuvent intenter une action collective en justice en cas de violation du droit à la protection des données personnelles.

Le chapitre VI du titre V de la loi de modernisation de la justice du XXIe siècle prévoit le régime applicable aux actions de groupe. Ce dispositif se base sur une extension du cadre général en matière d’action de groupe, établi par les articles 60 et suivants du projet de loi de modernisation, et sur certaines règles spécifiques en la matière. La première de ses particularités étant que cette procédure ne vise qu’à faire cesser un manquement à la loi et ne permet pas une réparation du préjudice.

Cette procédure peut être mise en œuvre lorsque plusieurs personnes se trouvent placées dans une situation similaire et subissent un dommage causé par une même personne physique, une personne morale de droit public ou un organisme de droit privé, et ayant pour cause commune un manquement de même nature à ses obligations légales. La haute juridiction administrative précisait concernant l’intérêt de cette procédure collective que « les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes ».

L’association ou l’organisme pouvant initier l’action de groupe devra adresser une lettre de mise en demeure au responsable de traitement ou au sous-traitant afin de l’enjoindre à cesser ce manquement et si la lettre de mise en demeure ne débouche pas sur la cessation du manquement, l’association ou l’organisme aura 4 mois pour saisir le juge administratif ou judiciaire. Il est intéressant de constater que l’action est ouverte à l’encontre des sous-traitant alors qu’en l’état actuel du droit positif français la seule responsabilité du responsable du traitement peut être engagée. Il semble alors que ce projet de loi anticipe l’entrée en vigueur du règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données qui accentue la responsabilité des sous-traitant.

Ainsi, la reconnaissance du dispositif de l’action de groupe en matière de protection des données personnelles va avoir pour conséquence d’amplifier la menace, pour les entreprises, d’être contrôlées sur leurs activités de traitement de données personnelles. Il est vrai que là où une action individuelle n’avait qu’un faible impact au niveau de l’image de l’entreprise, une action de groupe portée par une association de défense des droits va en revanche avoir une forte influence sur la réputation de l’entreprise qui aurait manqué à ses obligations légales en matière de traitement de données. Ces considérations sont d’ailleurs au premier plan de l’intérêt d’une action de groupe fondée sur une violation des dispositions légales relatives au traitement des données car le texte est bien trop peu ambitieux, comme nous allons le voir, sur les questions qui ont trait à la réparation du préjudice ou à l’utilité de la procédure notamment.

Un dispositif vraisemblablement insuffisant pour les personnes concernées par le traitement des données personnelles.

L’action de groupe, apparue comme un nouvel outil permettant aux personnes concernées de garantir leurs droits, ne semble pourtant pas efficace. Bien que son champ d’application soit large puisqu’il vise tout manquement à la loi de 1978, l’opportunité d’une telle procédure apparaît plus limité que la loi belge par exemple. Pourtant l’unicité de l’action contentieuse prévue par l’action de groupe permet d’offrir une réponse plus adaptée aux problèmes soulevés par le traitement de données personnelles.

La première critique qui peut être faite à ce dispositif, dès lors qu’on se place en faveur de la protection des intérêts des personnes concernées, porte sur le fait qu’il ne permet que d’agir en cessation du manquement à la loi. Il n’est pas ici question de réparer les préjudices subis par ces personnes contrairement à ce que prévoit le cadre général. Ce projet de loi est en ce sens moins ambitieux que le règlement général applicable en 2018 qui laisse la possibilité aux États membres de prévoir la conduite d’actions de groupe y compris pour obtenir réparation du préjudice subi. Le fait que l’action collective soit cantonnée à la cessation d’un manquement risque de rendre anecdotiques les actions de groupe en la matière.

Une deuxième critique émane du fait que l’action ne peut être introduite qu’à l’expiration d’un délai d’au moins 4 mois après la mise en demeure de la part de l’organisme ou de l’association. Ce délai, fixé pour permettre à la personne visée par la mise en demeure de prendre les mesures nécessaires pour faire cesser le manquement, est supérieur au délai que la CNIL accorde pour ses mises en demeure qui est en général de 3 mois, ou même d’un mois (décision de la CNIL n°2016-079 du 26 septembre 2016).

Le Conseil d’État nous expliquait que les personnes concernées par un manquement à la législation en matière de protection de données personnelles étaient peu enclines à saisir la justice. Cependant rien ne présage qu’elles soient plus enclines à saisir des associations ou des organismes pour mener des actions de groupe à leur place alors même qu’elles ne pourront pas obtenir la réparation de leur préjudice sur ce fondement et que la CNIL dispose également d’un pouvoir en la matière qui peut être mis en œuvre dans des délais plus courts. Il est aussi à noter que les associations et les organismes disposent, depuis un arrêt de la chambre criminelle de la cour de Cassation en date du 9 février 2016, d’un autre moyen d’action tout aussi efficace dans ce domaine. Dans cet arrêt, les juges suprêmes ont reconnu aux syndicats professionnels le droit d’exercer tous les droits réservés à la partie civile relatifs à une violation de la loi Informatique et Libertés qui porte un préjudice direct ou indirect à l’intérêt collectif de la profession qu’ils représentent.

Dès lors, l’extension de l’action collective pour cause de manquements à la loi Informatique et Liberté apparaît aux yeux du rapporteur du projet de loi au Sénat comme un dispositif « inabouti » et sans grand intérêt. Il est donc regrettable que ce dispositif ne soit pas le gage d’une plus grande protection des personnes concernées par un traitement de données qui ne respecterait pas la loi.

SOURCES :

METALLINOS (N.), « Introduction d’une action de groupe en matière de violation de la loi Informatique et Libertés », lexis.360.fr, Communication commerce électronique n°11, novembre 2016, comm. 95, consulté le 20 décembre 2016 <https://www.lexis360.fr/Document/protection_des_donnees_a_caractere_personnel_introduction_dune_action_de_groupe_en_matiere_de/i4Hh_HkFfUtLstYHXuRw17wObBd2JEHseND_trl5xuc1?data=c0luZGV4PTEmckNvdW50PTQzNyY=&rndNum=1284849370&tsid=search10_>

FLEURIOT (C.), « L’action de groupe s’ouvre à de nouveaux domaines », Dalloz.fr, publié le 22 novembre 2016 consulté le 20 décembre 2016 <http://www.dalloz.fr.lama.univ-amu.fr/documentation/Document?id=ACTU0181881&ctxt=0_YSR0MT1hY3Rpb24gY29sbGVjdGl2ZSBkb25uw6llIHBlcnNvbm5lbGxlIGxvaSBqdXN0aWNlIGR1IDIxwqd4JHNmPXBhZ2UtcmVjaGVyY2hl&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1UcnVlwqdzJHNvcnQ9wqdzJHNsTmJQYWc9MjDCp3MkaXNhYm89VHJ1ZcKncyRwYWdpbmc9VHJ1ZcKncyRvbmdsZXQ9wqdzJGZyZWVzY29wZT1GYWxzZcKncyR6PTBEQkZDOERCLzZCMTIxRkNCYDZCMTIxRkNCLzI3OEVFRDgy&nrf=0_TGlzdGVEZVJlc3VsdGF0R2xvYmFs>

RICHARD (A.), MORAT (G.), « Action de groupe et violation de la loi Informatique et Libertés », legipresse.com, publié le 13 décembre 2016, consulté le 21 décembre 2016, <http://www.legipresse.com/011-48923-Introduction-de-l-action-de-groupe-en-matiere-de-violation-de-la-loi-Informatique-et-libertes.html>