Gouvernance
Action de groupe et données personnelles
Par La rédaction, publié le 01 mars 2017
L’adoption, le 18 novembre 2016, de la loi nº 2016-1547 de modernisation de la justice du XXIe siècle dite loi « Justice 21 », qui a pour finalité « d’améliorer la justice du quotidien et de placer le citoyen au cœur du service public de la justice », étend l’action de groupe à de nouveaux domaines parmi lesquels la protection des données personnelles.
Inspirée du modèle de la « class action » créé aux États-Unis, l’action de groupe, longtemps ignorée par le droit français, est une procédure de poursuite collective permettant à plusieurs personnes, victimes d’un même préjudice de la part d’un professionnel, de se regrouper et d’agir en justice. Elle a été introduite pour la première fois par la loi Hamon du 17 mars 2014, mais limitée aux seuls domaines de la consommation et de la concurrence. Elle a été ensuite étendue en matière de santé par la loi Touraine du 26 janvier 2016, l’adoption de la loi Justice 21 constituant ainsi la seconde extension du champ d’application de l’action de groupe. Désormais, cette procédure pourra également être initiée en cas de discrimination — y compris dans les relations du travail —, de dommage à l’environnement ou de violation de la loi Informatique et Libertés.
UN CHAMP D’APPLICATION LIMITÉ
L’article 91 de la loi Justice 21 complète la loi du 6 janvier 1978 Informatique et Libertés en ajoutant un article 43 ter introduisant une nouvelle action de groupe en matière de données personnelles. Reste que son champ d’application est assez limité, à l’instar des autres cas d’actions de groupe. En effet, l’action est ouverte uniquement « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la loi Informatique et Libertés par un responsable de traitement ou un sous-traitant ». Ainsi, à la différence de ce que la Loi prévoit en matière de discrimination ou d’environnement, l’action ne peut pas tendre à la réparation des préjudices subis, mais a pour objectif exclusif de faire cesser un manquement à la loi Informatique et Libertés. Sur ce point, le législateur français ne s’est pas aligné avec le règlement européen du 27 avril 2016 qui prévoit expressément la possibilité pour les États de prévoir un tel mécanisme y compris dans le but d’obtenir la réparation du préjudice des personnes concernées. En revanche, il convient de constater que l’action peut être engagée tant à l’encontre du responsable de traitement que du sous-traitant, alors même qu’en l’état du droit positif, seuls les responsables de traitement peuvent voir leur responsabilité engagée. Sur la procédure qui pourra être introduite tant devant les juridictions civiles qu’administratives, l’action suppose l’envoi d’une mise en demeure préalable demeurée infructueuse quatre mois avant la saisine du juge compétent. Enfin, seules ont qualité pour agir les associations régulièrement déclarées depuis cinq ans au moins, ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, les associations agréées de défense des consommateurs, et les organisations syndicales de salariés ou de fonctionnaires représentatives.
CE QU’IL FAUT RETENIR
La loi Justice 21 crée une action de groupe en cas de manquement des entreprises aux dispositions de la loi Informatique et Libertés. Si son objet actuellement restreint à la seule cessation d’un manquement peut sembler limité, l’impact négatif en termes d’image qu’une action de groupe pourrait avoir en cette matière n’est pas à négliger.