On croyait l’action de groupe pour la protection des données personnelles égarée dans les méandres de loi République Numérique mais c’était sans compter sur de facétieux législateurs : cette dernière a finalement été adoptée le 12 octobre dernier dans le cadre de la loi pour la Justice du 21 ème siècle.
Abracadabra…
Tribune par Candice Liebaert, Directrice Juridique Insight France – A l’issu de longs débats*, les actions de groupe en France trouvent enfin une existence légale en matière judiciaire et administrative. Pour rappel, la loi Hamon n’avait ouvert la class action que pour la réparation des préjudices matériels dans le cadre du Code de la Consommation. Cette possibilité de la class action se voit donc ouverte à la protection des données à caractère personnel où les dommages relèvent de… l’immatériel.
Concrètement…
Seules les personnes physiques subissant un dommage dont la cause commune résulte d’un manquement aux dispositions de la loi Informatique et Libertés pourront agir. On ne peut ici s’empêcher de penser à la class action contre Yahoo. Tout comme dans cette affaire, il sera désormais possible d’intenter une action à défaut de respect des règles de notification de failles de sécurité. Dans le cas présent, il est notamment reproché l’apparente indifférence du groupe face à la sécurité et la protection des données des utilisateurs en n’intimant pas à ces derniers de reconfigurer leurs comptes.
Il ne sera donc possible d’agir qu’au travers de certaines associations (« ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel » et déclarées depuis au moins cinq ans, ou agréée au niveau national au sens de l’article 811-1 du Code de la consommation, ou encore une organisation syndicale de salariés ou de fonctionnaires quand cela « affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre »).
Une illusion d’action de groupe ?
Force est de s’interroger si le pouvoir législatif est allé au cœur de la substantifique moelle de la class action. Rappelons simplement qu’en matière de protection des données personnelles, on ne pourra obtenir que la cessation d’un manquement, mais en aucun cas sa réparation. Aucune indemnisation ne sera donc possible pour les victimes par ce biais : il faudra donc porter plainte individuellement devant la CNIL.
Seules certaines associations pour qui la protection des données personnelles touche à leur objet comme la Quadrature du Net pourraient exercer de pareilles actions, étant entendu que cette dernière ne pourrait le faire avant 2018… pour respecter les cinq années d’existence légale.
Cette class action qui n’en est apparemment pas vraiment une, laisse un goût doux amer notamment à la Présidente de la CNIL pour qui « Le législateur n’a visiblement pas souhaité aller au bout des propositions qui lui avaient été faites. Nous le regrettons, parce qu’aussi bien au niveau national qu’au niveau du G29, c”est un nouvel outil qui nous paraissait utile et correspondant à des attentes assez fortes de la part des consommateurs et des utilisateurs français et européens ».
Ce tour de passe-passe législatif semble peu satisfaisant pour les défenseurs de la protection des données, qui reste le parent pauvre de l’action de groupe puisqu’il sera possible d’obtenir une indemnisation dans d’autres secteurs (environnement et santé). Sans réparation financière, il est donc difficile d’imaginer les utilisateurs se mobiliser pour intenter cette action qui n’aura pour but que la mise en conformité.
Bref, la Erin Brockovitch de la donnée personnelle à la française ne se révélera pas demain…
*Le projet a été présenté au Conseil des ministres le 31 juillet 2015.