Enews Legipresse

Recevez la newsletter et entrez dans le Club Légipresse
Valider
Valider l'adresse e-mail pour inscription à l'E-news

Le club Légipresse

Les 2 derniers inscrits
Paloma ACCOT

Etudiant

Vidéos

02/09/2016
Fabrice Arfi, Médiapart

Forum 2015 - Informer n'est pas un délit

Toutes les vidéos
Accueil > Communications électroniques > Action de groupe et violation de la loi Informatique et libertés - Communications électroniques

Interview
/ Tribune


13/12/2016


Action de groupe et violation de la loi Informatique et libertés



La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle a introduit une action de groupe en matière de violation de la loi Informatique et libertés. Maîtres Annabelle Richerd et Guillaume Morat nous présentent ce nouveau dispositif.

Annabelle Richard
Avocat Pincent Masons France LLP
Pas d'autre article de cet auteur pour le moment.
Guillaume Morat
Avocat, Pinsent Masons France LLP
Pas d'autre article de cet auteur pour le moment.
 

Pouvez-vous nous présenter la genèse de ces dispositions ?

Le projet de loi de modernisation de la justice au XXIe siècle a été déposé le 31 juillet 2015 par l'ancienne Garde des Sceaux Christiane Taubira à l'issue d'une réflexion commencée dès 2013.

Cette idée d'introduire des actions de groupe fait suite à un travail de droit comparé avec les législations de pays tels que les Etats Unis ou l'Angleterre connaissant déjà de tels mécanismes. L'analyse comparée des différents systèmes législatifs a pu mettre en exergue les différents avantages de l'action de groupe: " mutualisation des moyens, facilitation de la preuve d'un fait générateur de responsabilité, amélioration de l'accès à la justice".

Si cette dernière a été pendant longtemps ignorée en droit français, elle fut finalement introduite pour la première fois par la loi n° 2014-344 du 17 mars 2014 relative à la consommation (dite "loi Hamon") au bénéfice des consommateurs. Cela n'a toutefois pas donné lieu au raz de marée de procédure que certains craignaient. En effet, au 26 septembre 2016, seules huit actions de groupes en matière de consommation ont été introduites devant les juridictions françaises.

La loi de modernisation de la justice au XXIe siècle avait, quant à elle, pour objectif de poser un cadre général, clair et unique aux actions de groupe dont les domaines précis dans lesquelles elles interviendraient pourraient être décidés ultérieurement.

Le projet de loi initialement déposé n’avait d’ailleurs ouvert cette possibilité qu’en matière de discrimination au travail (articles L. 1134-6 à L. 1134-10 du Code du travail). C’est l’Assemblée nationale qui, en première lecture, a ouvert la possibilité d’intro­duire une action de groupe notamment dans le domaine des données à caractère personnel.

Cette faculté d'étendre l'action de groupe au domaine des données personnelles a été expressément prévu au niveau européen par le nouveau règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "GDPR") adopté en avril dernier.


Quel est l’objet de l’action ainsi instituée ?

La loi de modernisation de la justice au XXIe siècle créé un nouvel article 43 ter au sein de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite "loi informatique et libertés) qui dispose notamment que "Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente."

Les droits accordés aux individus par la loi Informatique et Libertés sont des droits fondamentaux. Les atteintes à ces droits peuvent de surcroît toucher un nombre très important de personnes. Il semble donc logique qu'une protection accrue soit accordée.

Dans un souci de rationalisation et d'efficience, le traitement collectif et unifié par l'unicité de l'action contentieuse permet d'offrir une réponse plus adaptée qu'un traitement individuel donnant lieu à des réponses judiciaires divergentes.


Quelles sont les conditions de fond et procédurales de mise en œuvre de l’action (qui peut agir ? quand ? devant quel juge ? quelle demande ? …) ?

Lorsqu'une personne s'estime victime d'un manquement à la loi Informatique et Libertés, elle devra transmettre sa réclamation à un organisme ou une association répondant à des critères précis, posés par la loi.

Seuls peuvent initier une action de groupe :

- les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel,

- les associations de défense des consommateurs représentatives au niveau national et agréées lorsque le traitement de données à caractère personnel affecte des consommateurs, ou

- les organisations syndicales de salariés ou de fonctionnaires représentatives lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

L'association ou l'organisme devra adresser une lettre de mise en demeure au responsable de traitement ou au sous-traitant afin de l'enjoindre à cesser le manquement. Si la lettre de mise en demeure reste infructueuse, l'organisme ou l'association devra saisir le juge dans un délai de 4 mois.

Il est curieux que cette nouvelle disposition de la loi Informatique et Libertés permette une action à la fois contre le responsable de traitement et le sous-traitant alors même qu'en l'état du droit positif, seuls les responsables de traitement peuvent voir leur responsabilité engagée par les personnes  concernées. En réalité, cette disposition a vraisemblablement été inspirée par la réforme issue du GDPR qui va accentuer la responsabilité des sous-traitants. Néanmoins, avant l'entrée en vigueur du GDPR en mai 2018, il est incertain que des actions contre les sous-traitants puissent être engagées.

Par ailleurs, l'action de groupe en matière de données personnelles n'a pour seul objet que d'obtenir cessation d'un manquement, une infraction à la loi Informatique et Libertés.

Il n'est pas possible d'obtenir, par ce biais, la réparation des préjudices pouvant résulter de l'inobservation de la réglementation applicable aux données à caractère personnel, à l'instar d'autres actions de groupe en droit français ou des actions de groupe aux Etats-Unis qui visent essentiellement à obtenir des dédommagements significatifs.

Sur ce point, le législateur français n'est pas allé au bout de la logique du GDPR qui prévoit expressément la possibilité pour les Etats de prévoir un tel mécanisme y compris à des fins d'obtenir la réparation du préjudice des personnes concernées.


Quels sont les pouvoirs du juge en la matière ?

On l'a vu, le juge, qui aura été saisi, a pour seule mission de faire cesser le manquement perpétré par le responsable de traitement ou le sous-traitant. Dans cette optique, celui-ci pourra donc enjoindre au défendeur de cesser ou de faire cesser ledit manquement et de prendre, dans un délai qu'il aura fixé, toutes les mesures utiles à cette fin.

Par ailleurs il peut assortir cette injonction d'une astreinte ce qui incitera d'autant plus les responsables ou les sous-traitants à faire cesser le manquement. Toutefois, cette astreinte sera liquidée au bénéfice du Trésor Public et non à celui des personnes concernées.


Pourquoi saisir le juge plutôt que la CNIL ?

La CNIL reste bien entendu compétente pour traiter des violations de la réglementation applicable à la protection des données personnelles.

Néanmoins, cette action judiciaire à ceci en plus qu'elle permet à des personnes s'estimant lésées de faire front commun et ainsi d'avoir plus de poids face à des "géants du Net". L'intérêt est donc le traitement collectif contre le traitement individuel.

Par ailleurs, l'individu qui s'estime lésé n'ira pas, lui-même saisir directement le juge mais déléguera en quelque sorte cette tâche à l'organisme ou l'association qui s'occupera, elle, des suites à donner aux réclamations reçues (traitement, lettre de mise en demeure, saisie du juge…). Les particuliers ont donc l'avantage de se sentir moins dépassés par les aspects procéduraux et d'être donc moins réticents engager une action.

Nous ne pensons pas qu'il faille voir de concurrence entre les actions qui peuvent être mises en œuvre individuellement auprès de la CNIL et l'action de groupe. Ces deux types d'action vont se compléter.


Partagez-vous l’opinion du rapporteur du projet de loi au Sénat qui a qualifié le dispositif d’  « inabouti » ?

Il s'agit peut-être d'un jugement sévère.

Le législateur français a, avec cette loi, anticipé sur l'entrée en vigueur du GDPR. Par ailleurs, nous avons encore peu de recul, en droit français, sur l'action de groupe.

Il n'est donc pas nécessairement incongru que le législateur ait souhaité limiter, peut-être dans un premier temps, les conditions de mise en œuvre de ce type d'action.


Propos recueillis par Amélie Blocman

13 décembre 2016 - Légipresse N°344
1634 mots
> Commenter
Ajouter un commentaire
Titre du commentaire :
Message :
Envoyer
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer de meilleurs services et de meilleures performances, des fonctionnalités de partage, des informations et des publicités adaptées à vos centres d’intérêts, et les statistiques de visites. Pour en savoir plus sur notre politique d'utilisation des cookies.
X Fermer ce message
Powered by Walabiz