Les actions de groupe en matière de données personnelles : beaucoup de bruit pour rien ?

500 000
Depuis sa création en 2014, 500 000 Français ont déjà fait recours à
l'action de groupe.

La loi de modernisation de la justice du XXIe siècle du 18 novembre 2016 a étendu le domaine de l’action de groupe à la protection des données personnelles. Un nouvel article 43 ter de la loi Informatique et Libertés a ainsi été créé pour permettre l’introduction d’une action de groupe lorsque des personnes physiques se trouvant dans une situation similaire ont subi un dommage causé par un manquement à la loi Informatique et Libertés.

L’objectif de cette action de groupe en matière de données personnelles

La réforme du 18 novembre 2016 a créé un outil supplémentaire dans le but d’assurer une meilleure protection des données personnelles. La nouvelle action de groupe en la matière ouvre en effet la possibilité de faire cesser tout manquement à la loi Informatique et Libertés pour les personnes qui en sont victimes. Cette procédure pourrait pousser les entreprises à plus de vigilance dans le traitement des données personnelles dont elles sont responsables, craignant que leur image ne soit ternie par une action de groupe médiatisée. Ce nouveau moyen d’action pourrait donc avoir un effet dissuasif pour les entreprises qui préfèreront anticiper les effets préjudiciables d’une telle action de groupe. Elle offre aux potentielles victimes un meilleur accès à la justice grâce à un moyen d’action collectif plus fort qu’une simple action individuelle n’ayant qu’un faible impact.

Une action de groupe en matière de données personnelles à la portée limitée

Telle qu’introduite par la loi du 18 novembre 2016, l’action de groupe dans le domaine des données personnelles dispose toutefois d’un champ d’application relativement restreint. En effet, elle ne pourra en aucun cas aboutir à l’indemnisation des victimes d’atteinte à leurs données personnelles, puisqu’elle ne peut tendre qu’à la cessation de l’atteinte.

Par ailleurs, l’action de groupe ne pourra pas être introduite directement par les personnes victimes d’un manquement à la loi Informatique et Libertés. Seuls pourront engager une telle action :

-    des associations de défense des consommateurs représentatives au niveau national lorsque le manquement affecte des consommateurs ; 
-    des syndicats lorsque sont concernés les intérêts des personnes qu’ils représentent ; et
-    des associations de protection de la vie privée ou des données à caractère personnel.

S’agissant de ces dernières, elles ne pourront agir qu’à condition d’être déclarées depuis au moins cinq ans, ce qui limite les possibilités d’action d’associations récentes ou créées depuis la réforme dans le but de protéger les données personnelles. 

Bien que la loi du 18 novembre 2016 s’inscrive dans une volonté d’améliorer la protection des données personnelles, ses effets risquent d’être assez limités pour les personnes victimes d’atteintes à leurs données personnelles, surtout en l’absence de possibilité d’engager collectivement la responsabilité des entreprises et par conséquent d’obtenir réparation de leur préjudice.

François Herpe

François Herpe est associé du cabinet Cornet Vincent Ségurel depuis 2007 et responsable de l’équipe Propriété Intellectuelle et Industrielle, Nouvelles technologies de l’information et de la communication (NTIC). Ses domaines d'expertise est le contentieux portant sur des droits de propriété industrielle (brevets, marques, dessins et modèles, etc.) et intellectuelle (droit d’auteur, copyright, base de données, droits voisins, production audiovisuelle et cinématographique, etc.). Il intervient également dans des contentieux complexes de concurrence déloyale et de parasitisme, et dans les contentieux informatiques ou de l’internet. Il est diplômé du DJCE (Rennes, 1997), de la faculté de droit de Nantes, et titulaire du certificat de spécialité en Droit de la Propriété Intellectuelle.