protection des données personnelles

Les données à caractère personnel sont un sujet clé de la vie numérique et de l’économie digitale. A la suite d’un nombre non négligeable de scandales, leur protection a progressivement pris une dimension toute particulière.

On peut citer à titre d’exemple : le vol de données Uber ayant conduit la CNIL à infliger au géant américain une amende record de 50 millions d’euros ; ou encore l’affaire Cambridge Analytica, société de profilage politique, soupçonnée d’avoir compilé, au moyen d’un quizz de personnalité, les données personnelles de près de 87 millions d’utilisateurs Facebook.

Pour autant face à ces situations les moyens mis à disposition des individus pour assurer effectivement le contrôle et la protection de leurs données à caractère personnel paraissent insuffisants.

1. Quid de l’action de groupe en France ?

De manière générale, l’action de groupe se définit comme « une action judiciaire diligentée par un représentant d’un groupe, désigné par la loi, afin que ledit groupe, suite au dommage de masse causé par les manquements d’un professionnel, puisse obtenir une réparation judiciaire » [1]. En d’autres termes, elle permet à un titulaire, spécialement déterminé par la loi, d’agir afin d’obtenir réparation des préjudices subis par un groupe de personnes aux torts d’un seul et même protagoniste.

A l’aube des années 1980, en l’absence d’instrument juridique en mesure de prendre acte et de sanctionner « les litiges de masse », la doctrine française commence à réfléchir à l’introduction de l’action de groupe en droit français[2]. Cependant, fort des dissensions et alternances politiques, le gouvernement français a longtemps craint l’introduction d’un tel mécanisme[3].

L’action de groupe a finalement été consacrée pour la première fois par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon ». Elle a ensuite été étendue à diverses sphères du droit, notamment en droit de la santé[4], en droit de l’environnement[5], en matière de discrimination au travail[6], ainsi qu’en matière de données personnelles.

2. Quel est le cadre juridique français de l’action de groupe en matière de données personnelles ?

De la demande de cessation à l’action en réparation

L’action de groupe en matière de données personnelles a été introduite en France par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci a introduit dans la loi du 6 janvier 1978 dite « Informatique et Libertés » (LIL)[7], l’article 43 ter (désormais abrogé en raison d’une version plus récente du texte). L’objectif était de permettre aux personnes victimes de manquements aux obligations de protection des données personnelles, d’en demander la cessation devant la juridiction compétente.

Après la réforme législative du 20 juin 2018 relative à la protection des données personnelles, le champ de cette action de groupe a été élargie. Cette réforme insère dans la LIL un nouvel article 37[8], permettant d’une part de demander la cessation du manquement, et / ou d’autre part « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir réparation des préjudices matériels ou moraux subis ».

Conformément à l’article 37 de la LIL, lu en combinaison avec les articles 60 et suivants de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, cette action de groupe peut être respectivement portée devant la juridiction civile[9] ou la juridiction administrative[10] compétente. Le demandeur à l’action doit en informer la Cnil, afin que celle-ci puisse présenter des observations.

Il s’agit là de modifications opérées sous l’impulsion du droit de l’Union européenne et notamment du Règlement général sur la protection des données à caractère personnel du 27 avril 2016 dit « RGPD ». L’action de groupe est effectivement prévue par le RGPD, qui permet aux personnes physiques ayant subi un dommage matériel ou moral du fait de la violation d’obligations posées par le Règlement, d’obtenir réparation du préjudice subi.

Les conditions de l’action

Le fait générateur de l’action de groupe en matière de données personnelles est restreint : l’action ne peut être exercée que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature » aux dispositions du RGPD ou à celles de la loi du 20 juin 2018 relative aux données personnelles (LIL, art. 37 II).

Par ailleurs, en vertu de l’article 37 IV. de la LIL, seuls peuvent exercer une telle action :

« Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel» ;
« Les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs» ;
« Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre».

Il est important de noter, que l’action de groupe doit être précédée d’une mise en demeure en vue de faire cesser le manquement ou de réparer le(s) préjudice(s) subi(s). Ce n’est qu’à l’issue de l’expiration d’un délai de 4 mois, à compter de la réception de la mise en demeure, que l’action de groupe pourra être introduite devant la juridiction compétente[11].

3. Quelles sont les actions en cours ?

Alors même que les scandales portant sur l’utilisation massive et abusive des données à caractère personnel se multiplient, la France compte à ce jour un nombre restreint d’actions de groupe :

Internet Society France (ISOC France) c/ Facebook :

En novembre 2018, l’ONG annonçait vouloir engager la première action de groupe indemnitaire en matière de données personnelles[12].

Par une lettre de mise en demeure, l’ISOC France a alerté la plateforme de sept « atteintes récurrentes aux libertés et à la vie privée » de ses utilisateurs. L’internet Society reproche notamment au géant américain de collecter des données sensibles (l’orientation sexuelle, les opinions politiques et les croyances religieuses), de ne pas demander le consentement libre et éclairé des utilisateurs Facebook et WhatsApp ou encore l’absence de sécurisation efficace des données personnelles[13].

En l’absence de réponse, l’ONG a décidé de porter l’affaire devant les tribunaux français. Selon l’Agence France Presse (AFP), l’ISOC France a déclaré vouloir introduire une assignation devant le tribunal de grande instance de Paris au cours du mois de septembre 2019[14].

UFC-Que choisir c/ Google:

Le 26 juin dernier, UFC-Que choisir a introduit une action de groupe contre le géant de l’internet, pour collecte et exploitation de données utilisateurs contraires aux obligations posées par le RGPD.

Cette action concerne principalement les utilisateurs de produits Android. L’association pointe notamment du doigt le processus de création de compte : « nous considérons que le consentement des utilisateurs n’est pas obtenu de façon légale, notamment au travers de cases pré-cochées camouflées ». Selon elle, les utilisateurs n’auraient pas conscience de « l’intrusion massive » dans leur vie privée notamment au travers des données de géolocalisation et à fortiori de la finalité de cette collecte.

L’organisme a assigné Facebook devant le Tribunal de grande instance de Paris et est en attente d’une décision sur la responsabilité de Google dans le cadre de la collecte et du traitement des données personnelles de ses utilisateurs.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

[1] S. GUINCHARD, CHAINAIS et FERRAND, Procédure civile. Droit interne et droit de l’Union européenne, 2014, coll. Précis, Dalloz, n° 404

[2] Commission de refonte du droit de la consommation, sous la direction de J. CALAIS-AULOY, 1985

[3] Action de groupe – Sonia BEN HADJ YAHIA – Juin 2015, n°2 et suivants

[4] Article 184 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

[5] Article L142-3-1 du code de l’environnement.

[6] Articles L.1134-6 à L.1134-10 du Code du travail.

[7] La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle est venu modifier la loi Libertés et Informatiques.

[8] Article 37 de la LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[9] Article 60 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[10] Article 85 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[11] Article 64 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.