Archives de Tag: meublé

L’action de groupe : arme efficace contre l’utilisation abusive des données personnelles ?

Les données à caractère personnel sont un sujet clé de la vie numérique et de l’économie digitale. A la suite d’un nombre non négligeable de scandales, leur protection a progressivement pris une dimension toute particulière.

On peut citer à titre d’exemple : le vol de données Uber ayant conduit la CNIL à infliger au géant américain une amende record de 50 millions d’euros ; ou encore l’affaire Cambridge Analytica, société de profilage politique, soupçonnée d’avoir compilé, au moyen d’un quizz de personnalité, les données personnelles de près de 87 millions d’utilisateurs Facebook.

Pour autant face à ces situations les moyens mis à disposition des individus pour assurer effectivement le contrôle et la protection de leurs données à caractère personnel paraissent insuffisants.

1. Quid de l’action de groupe en France ?

De manière générale, l’action de groupe se définit comme « une action judiciaire diligentée par un représentant d’un groupe, désigné par la loi, afin que ledit groupe, suite au dommage de masse causé par les manquements d’un professionnel, puisse obtenir une réparation judiciaire » [1]. En d’autres termes, elle permet à un titulaire, spécialement déterminé par la loi, d’agir afin d’obtenir réparation des préjudices subis par un groupe de personnes aux torts d’un seul et même protagoniste.

A l’aube des années 1980, en l’absence d’instrument juridique en mesure de prendre acte et de sanctionner « les litiges de masse », la doctrine française commence à réfléchir à l’introduction de l’action de groupe en droit français[2]. Cependant, fort des dissensions et alternances politiques, le gouvernement français a longtemps craint l’introduction d’un tel mécanisme[3].

L’action de groupe a finalement été consacrée pour la première fois par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon ». Elle a ensuite été étendue à diverses sphères du droit, notamment en droit de la santé[4], en droit de l’environnement[5], en matière de discrimination au travail[6], ainsi qu’en matière de données personnelles.

2. Quel est le cadre juridique français de l’action de groupe en matière de données personnelles ?

  • De la demande de cessation à l’action en réparation

L’action de groupe en matière de données personnelles a été introduite en France par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci a introduit dans la loi du 6 janvier 1978 dite « Informatique et Libertés » (LIL)[7], l’article 43 ter (désormais abrogé en raison d’une version plus récente du texte). L’objectif était de permettre aux personnes victimes de manquements aux obligations de protection des données personnelles, d’en demander la cessation devant la juridiction compétente.

Après la réforme législative du 20 juin 2018 relative à la protection des données personnelles, le champ de cette action de groupe a été élargie. Cette réforme insère dans la LIL un nouvel article 37[8], permettant d’une part de demander la cessation du manquement, et / ou d’autre part « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir réparation des préjudices matériels ou moraux subis ».

Conformément à l’article 37 de la LIL, lu en combinaison avec les articles 60 et suivants de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, cette action de groupe peut être respectivement portée devant la juridiction civile[9] ou la juridiction administrative[10] compétente. Le demandeur à l’action doit en informer la Cnil, afin que celle-ci puisse présenter des observations.

Il s’agit là de modifications opérées sous l’impulsion du droit de l’Union européenne et notamment du Règlement général sur la protection des données à caractère personnel du 27 avril 2016 dit « RGPD ». L’action de groupe est effectivement prévue par le RGPD, qui permet aux personnes physiques ayant subi un dommage matériel ou moral du fait de la violation d’obligations posées par le Règlement, d’obtenir réparation du préjudice subi.

  • Les conditions de l’action

Le fait générateur de l’action de groupe en matière de données personnelles est restreint : l’action ne peut être exercée que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature » aux dispositions du RGPD ou à celles de la loi du 20 juin 2018 relative aux données personnelles (LIL, art. 37 II).

Par ailleurs, en vertu de l’article 37 IV. de la LIL, seuls peuvent exercer une telle action :

  • « Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel» ;
  • « Les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs» ;
  • « Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre».

Il est important de noter, que l’action de groupe doit être précédée d’une mise en demeure en vue de faire cesser le manquement ou de réparer le(s) préjudice(s) subi(s). Ce n’est qu’à l’issue de l’expiration d’un délai de 4 mois, à compter de la réception de la mise en demeure, que l’action de groupe pourra être introduite devant la juridiction compétente[11].

3. Quelles sont les actions en cours ?

Alors même que les scandales portant sur l’utilisation massive et abusive des données à caractère personnel se multiplient, la France compte à ce jour un nombre restreint d’actions de groupe :

  • Internet Society France (ISOC France) c/ Facebook :

En novembre 2018, l’ONG annonçait vouloir engager la première action de groupe indemnitaire en matière de données personnelles[12].

Par une lettre de mise en demeure, l’ISOC France a alerté la plateforme de sept « atteintes récurrentes aux libertés et à la vie privée » de ses utilisateurs. L’internet Society reproche notamment au géant américain de collecter des données sensibles (l’orientation sexuelle, les opinions politiques et les croyances religieuses), de ne pas demander le consentement libre et éclairé des utilisateurs Facebook et WhatsApp ou encore l’absence de sécurisation efficace des données personnelles[13].

En l’absence de réponse, l’ONG a décidé de porter l’affaire devant les tribunaux français. Selon l’Agence France Presse (AFP), l’ISOC France a déclaré vouloir introduire une assignation devant le tribunal de grande instance de Paris au cours du mois de septembre 2019[14].

  • UFC-Que choisir c/ Google:

Le 26 juin dernier, UFC-Que choisir a introduit une action de groupe contre le géant de l’internet, pour collecte et exploitation de données utilisateurs contraires aux obligations posées par le RGPD.

Cette action concerne principalement les utilisateurs de produits Android. L’association pointe notamment du doigt le processus de création de compte : « nous considérons que le consentement des utilisateurs n’est pas obtenu de façon légale, notamment au travers de cases pré-cochées camouflées ». Selon elle, les utilisateurs n’auraient pas conscience de « l’intrusion massive » dans leur vie privée notamment au travers des données de géolocalisation et à fortiori de la finalité de cette collecte.

L’organisme a assigné Facebook devant le Tribunal de grande instance de Paris et est en attente d’une décision sur la responsabilité de Google dans le cadre de la collecte et du traitement des données personnelles de ses utilisateurs.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

[1] S. GUINCHARD, CHAINAIS et FERRAND, Procédure civile. Droit interne et droit de l’Union européenne, 2014, coll. Précis, Dalloz, n° 404

[2] Commission de refonte du droit de la consommation, sous la direction de J. CALAIS-AULOY, 1985

[3] Action de groupe – Sonia BEN HADJ YAHIA – Juin 2015, n°2 et suivants

[4] Article 184 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

[5] Article L142-3-1 du code de l’environnement.

[6] Articles L.1134-6 à L.1134-10 du Code du travail.

[7] La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle est venu modifier la loi Libertés et Informatiques.

[8] Article 37 de la  LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[9] Article 60 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[10] Article 85 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[11] Article 64 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[12] Communiqué de l’ISOC France en date du 9 novembre 2018.

[13] Lettre recommandée avec accusé de réception adressée à Facebook France, Facebook Ireland LTD, Facebook Inc.

[14] Article de presse en date du 26 mars 2019 rédigé par l’AFP et publié sur CB News.

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

Les données personnelles : un enjeu capital pour les sociétés de l’économie numérique

Quel utilisateur ne s’est jamais demandé ce qu’il advenait des informations transmises en ayant recours à des applications ou des sites internet ? Cette question est parfaitement naturelle puisque de (très) nombreux éléments sont communiqués par les utilisateurs lors de leur inscription (identité, coordonnées…) et de l’utilisation (achats, localisation…) des plateformes numériques. Cette transmission de données pose également de nombreux enjeux juridiques primordiaux pour les entreprises de l’économie numérique.

Pour mémoire, le régime juridique français applicable aux données personnelles résulte de la combinaison de règles nationales (au premier rang desquelles la loi informatique et libertés n°78-17 du 6 janvier 1978) et européennes (la directive européenne 95/46/EC du 24 octobre 1995 était la première norme clé en la matière). La multitude des règles adossée à l’évolution exponentielle d’internet et à au développement de « l’économie des plateformes » rendent cette matière primordiale. Pour l’appréhender dans plus de détails, il convient de rappeler les quelques principes clés :

  • Les règles s’appliquent aux « données personnelles » : cette notion fait référence à toute information relative à une personne physique identifiée ou pouvant l’être par référence à un ou plusieurs éléments qui lui sont propres.
  • La collecte de données doit avoir une finalité déterminée (les personnes doivent savoir à quoi leurs données vont servir) et une pertinence (seules les données nécessaires à la réalisation de l’objectif doivent être collectées).
  • Toutes les données ne peuvent pas être collectées (par exemple, il existe des restrictions concernant le type de données ou il est nécessaire d’avoir le consentement de la personne).
  • Les personnes dont les données sont collectées ont des droits (être informées de la collecte mais également pouvoir accéder, modifier, s’opposer à l’utilisation de leurs données).

Ces principes doivent être mis en œuvre par les entreprises qui procèdent à la collecte et au traitement des données. Le droit des données personnelles impose de nombreuses obligations aux entreprises, en particulier d’effectuer des démarches vis-à-vis de l’autorité de contrôle en matière de protection des données personnelles (en France il s’agit de la Commission Nationale de l’Informatique et des Libertés – CNIL) mais aussi prendre des mesures en interne pour respecter ces règles (par exemple, désigner un responsable des données ou encore assurer la sécurité des données collectées).

Ce domaine  connait un développement fulgurant puisque les données personnes sont majeures dans les modèles économiques des entreprises numériques et que les atteintes aux droits des personnes qui peuvent en résulter sont importantes. C’est ainsi que l’Union Européenne a modernisé son arsenal juridique concernant les données personnelles en adoptant le règlement 2016/679 le 27 avril 2016 (un article plus détaillé est en préparation). Si son entrée en vigueur est fixée au 25 mai 2018, la loi pour une République Numérique du 7 octobre 2016 a anticipé une partie des évolutions en (i) renforçant le pouvoir de sanction de la CNIL (jusqu’à 3 millions d’euros) et (ii) en donnant de nouveaux droits pour les personnes physiques (droit à l’effacement des données par les entreprise ou encore l’information des personnes sur la durée de conservation de leurs données).

Ces questions étant au cœur de l’économie numérique, il est impératif que les sociétés du secteur prennent connaissance de ces règles et adoptent les mesures permettant d’être en conformité. La date d’entrée en vigueur du règlement (mai 2018) laisse du temps pour anticiper mais chaque entreprise de l’économie numérique doit garder dans sa feuille de route.

Droit du Partage continuera à suivre ces sujets.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes

Airbnb, Abritel, Homelidays & autres : (nouveau) renforcement du cadre juridique

Le succès des plateformes permettant la location de courte durée de logement est immense comme en témoigne les récents records d’activité et de réservations. Cependant, cette augmentation de la fréquentation de ces nouveaux services n’est pas sans faire réagir les acteurs traditionnels, au premier rang desquels l’Union des Métiers et des Industries de l’Hôtellerie (UMIH) ou encore le Groupement National des Chaînes Hôtelières, qui ont fortement milité pour l’instauration d’un cadre juridique plus contraignant pour ces nouveaux usages.

La loi pour une République Numérique du 7 octobre 2016 (n°2016-1321) a épousé ce mouvement de durcissement du cadre juridique en faisant évoluer le régime juridique de la location meublée touristique (laquelle est définie comme « la location d’un logement destiné de manière répétée pour de courtes durées à une clientèle de passage qui n’y élit pas domicile« ). Les deux principales évolutions imposées par cette loi sont :

  1. la nécessité d’un enregistrement préalable : l’article L. 324-1-1 du Code du tourisme prévoit que toute personne qui offre à la location un meuble de tourisme doit en avoir fait la déclaration auprès de la mairie de la commune du lieu de situation du logement, sauf si celui ci constitue la résidence principale du loueur. Pour les communes de plus de 200.000 habitant, l’enregistrement du changement d’usage du logement peut être effectué par une déclaration réalisée grâce à un téléservice, dont les modalités de mise en oeuvre devaient être déterminé par un décret d’application.
  2. le devoir de surveillance de la plateforme : en plus d’une obligation d’information concernant les obligations du loueurs, les plateformes doivent veiller à ce qu’un logement proposé à la location (ou à la sous location) par leur intermédiaire ne soit pas loué plus de 120 jours par an lorsqu’il s’agit de la résidence principale. Au delà, le logement ne pourra plus être loué via la plateforme. Il était prévu qu’un décret fixe les modalités de contrôle et de sanction des manquements à cette obligation de vigilance.

Le décret concernant l’enregistrement préalable vient d’être publié au journal officiel du 30 avril 2017 (voir ici le texte complet) et celui concernant la surveillance des plateformes est en préparation. En ce qui concerne le premier texte, il est désormais précisé les informations qui doivent être fournies à l’occasion de la déclaration au moyen d’un téléservice. Une fois ces informations transmises, un numéro de délcaration sera délivré par la commune au loueur, ce qui servira d’élément clé pour le suivi du logement.

Il s’agit de la première étape d’un contrôle des municipalités sur l’activité des propriétaires louant leurs logements par l’intermédiaire de plateformes (la seconde étape concernant l’obligation de vigilance des plateformes devra être précisément analysée). Si ces récents renforcement des contraintes juridiques ont été applaudis par les acteurs dit « traditionnels », des difficultés de mises en oeuvre de ces mécanismes se manifesteront  puisque cela représente une augmentation (i) des formalités pour les particulers et (ii) du travail pour les collectivités locales en charge de ces contrôles.

Les débats sur l’évolution du cadre juridique des plateformes numériques continueront à être vifs et Droit du Partage vous tiendra informé.

Poster un commentaire

Classé dans Evolution du cadre juridique, Logement & locations courte durée