L'action de données personnelles

L’action de groupe « données personnelles » fut introduite avec la loi de modernisation de la justice du XXIe siècle. Elle est prévue à l’article 37 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (V. Ord. n° 2018-1125, 12 déc. 2018, art. 1er, entrée en vigueur le 1er juin 2019).

A l’origine ne pouvait poursuivre que la cessation de manquements mais par la suite, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a étendu son champ d’action pour permettre de réclamer la réparation de préjudices.  Lorsque l’action tend à la réparation des préjudices subis, elle ne peut être engagée que si le fait générateur du dommage est postérieur à l’entrée en vigueur du RGPD, le 24 mai 2018.

L’action de groupe « données personnelles » vise la cessation de manquements, par des injonctions de faire ou de ne pas faire, aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la loi informatique et libertés, et/ou la réparation des préjudices matériels et moraux subis par des personnes physiques (placées dans une situation similaire). Ainsi, par exemple, l’action de groupe peut poursuivre la cessation d’atteintes au droit d’information, d’opposition, d’accès, de rectification et de communication des informations nominatives contenues dans des fichiers informatisés, ou encore à la faculté d’exercer ces droits par voie électronique ainsi que la réparation des préjudices qui en découlent. Il en va de même de l’accès à des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées.

Le groupe peut être constitué de personnes physiques identifiées ou identifiables – ou ses héritiers.

La qualité pour agir est reconnue à trois types d’organisations :

• les associations déclarées depuis 5 ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel ;

• les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

• les organisations syndicales de salariés ou de fonctionnaires représentatives au sens du Code du travail. 

L’action de groupe vise le « responsable du traitement » et/ou le « sous-traitant », au sens du RGPD. 

L’indemnisation s’exerce dans le cadre de la procédure individuelle de réparation.

À ce jour, deux actions de groupe auraient été engagées :

• Internet Society France contre la société Facebook pour non-respect du règlement général de la protection des données (RGPD) ;

• UFC-Que choisir contre Google au motif que le consentement des utilisateurs pour la collecte et le traitement des données personnelles, notamment à des fins de publicités ciblées, n’est pas obtenu dans le respect du règlement général de la protection des données.

D’autres actions collectives

Une action collective est prévue à l’article 38 de la loi n° 2018-493 du 20 juin 2018 adaptant la loi informatique et libertés du 6 janvier 1978 au nouveau cadre juridique européen, selon l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel).

Il s’agit d’une action en représentation conjointe, suivant l’article 80.1 du RGPD et repose sur des conditions moins rigoureuses que l’action de groupe. En effet, si dans sa rédaction issue de la loi du 20 juin 2018 précitée, les associations pouvant être mandatées étaient celles respectant les mêmes conditions que l’action de groupe, c’est-à-dire ayant 5 ans d’ancienneté, l’ordonnance du 12 décembre 2018 a supprimé cette condition. Dès lors, pour exercer une action de groupe, partant sans mandat ab initio, l’association doit avoir 5 ans d’ancienneté, alors que pour exercer une action collective reposant sur des mandats ou devant la CNIL, cette condition n’est plus requise en justice. Cinq actions « collectives » ont été exercées par la Quadrature du Net jusqu’en décembre 2019 et rendues publiques, dont une dans la continuité de la sanction de 50 millions d’euros appliquée par la CNIL à Google. Le rapport du juin 2020, précité, p. 21, quant à lui, mentionne sept actions.

Pour connaître les actions de groupe engagées, v. Registre