Après une adoption définitive le 14 octobre dernier, la loi de modernisation de la justice au XXIème siècle a été publiée le 19 novembre 2016. Aux nombreuses modifications apportées à l’appareil judiciaire, vient s’ajouter une action de groupe en matière de protection des données à caractère personnel [1].
Transposition en droit français de la class action américaine, l’action de groupe a fait son apparition avec la loi relative à la consommation du 17 mars 2014 [2]. Désormais, cette procédure s’étend à l’ensemble des violations de la loi Informatique et Libertés, que ce soit par un responsable de traitement ou un sous-traitant [3]. Quel impact va-t-elle avoir sur votre entreprise et comment vous y préparer ?
L’action de groupe concerne une liste exhaustive d’organisations qui peuvent l’exercer au nom de « plusieurs personnes physiques placées dans une situation similaire (et qui) subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions » de la loi Informatique et Libertés [4]. En pratique, toute personne impliquée dans un traitement de donnée à caractère personnel, qu’il s’agisse des destinataires à qui les données sont communiquées ou des personnes visées par le traitement pourront donc exercer une telle action à l’encontre votre entreprise, que vous soyez responsable de traitement ou sous-traitant.
Ces associations doivent être « déclarées depuis cinq ans au moins (et avoir) pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel » ou agir en tant qu’« associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs »[5]. Aujourd’hui, pourront ainsi se porter représentantes pour ce type d’action des associations de consommateurs agréées telles que l’UFC Que Choisir, mais aussi, à partir de 2018, la Quadrature du Net, dont l’objet est depuis 2013, de mener des « actions pour la défense des libertés individuelles sur internet »[6].
Le régime général de l’action de groupe, devant une juridiction civile ou administrative, « peut être exercée en vue soit de la cessation du manquement (…) soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices subis, (ou à ces) deux fins » [7]. L’action spécifique liée aux violations des données à caractère personnel, quant à elle, se limite exclusivement à la cessation du manquement [8].
Cela signifie donc que l’action de groupe exclusive à la protection des données personnelles ne servira que pour faire cesser le préjudice – à défaut de le réparer – ou même à « négocier avec le défendeur l’indemnisation des préjudices subis par chacune des personnes constituant le groupe » [9]. Les avocats, limités à la seule représentation des associations et de réception des demandes d’indemnisation pour les litiges relevant du droit de la consommation [10] seront donc exclus de cette procédure spécifique.
Cette nouvelle action de groupe offre donc en réalité moins de garanties que pour les autres domaines dans laquelle elle s’exerce, même si celles-ci sont non négligeables : d’une part, une visibilité médiatique plus importante qu’un recours individuel, nécessaire pour faire réaliser l’impact qu’une telle violation entraîne à l’égard des intéressés et, d’autre part, l’annonce d’une sanction qui, si elle est avérée, ne manquera pas d’alerter les autorités de contrôle sur les manquements des entreprises visées. En effet, au-delà des nouvelles sanctions amenées par la loi pour une République numérique et le Règlement européen sur la protection des données vient s’ajouter un enjeu lié à l’image de l’entreprise, pour laquelle la protection des données et la sécurité constituent un avantage concurrentiel certain. Les pertes fréquentes et massives de données par les grandes entreprises, souvent de manière non chiffrée, feront apparaître comme plus fiables celles qui y échappent, jusqu’à preuve du contraire. Un plan de conformité est donc désormais partie intégrante de votre stratégie d’entreprise et reflète l’importance que vous accordez aux données de vos clients.
Avec la coresponsabilité entre responsables de traitement et la responsabilité individuelle du sous-traitant prévues par le Règlement, les effets de l’action de groupe devront en outre être pris en compte dans tous vos contrats et ce, quel que soit votre statut. La cessation du préjudice oblige à la fois le responsable de traitement à disposer d’une marge contractuelle suffisante pour contraindre le sous-traitant à faire cesser le préjudice et à l’inverse d’une garantie suffisante pour ce dernier pour s’en dégager lorsqu’il a été en mesure de démontrer qu’il a rempli l’ensemble de ses obligations contractuelles.
Il est regrettable que le législateur n’ait pas décidé d’aligner l’action de groupe en matière de protection des données à caractère personnel sur celle prévue en droit de la consommation. Au risque de minimiser le préjudice réel subi, aligné partiellement sur la violation de la vie privée, l’orientation en matière de protection des données suivie par le législateur plaide pour une politique de cessation du préjudice, à défaut d’une cessation du risque. Pour votre entreprise, il s’agit là d’un répit qui vous assure une tranquillité relative dans la mise en conformité au nouveau Règlement dont l’entrée en vigueur est prévue le 25 mai 2018. L’action de groupe est donc une « action pour le groupe » moins qu’une action groupée d’individus. Les justiciables les plus déterminés continueront, eux, d’emprunter les voies contraignantes de la justice traditionnelle.
Si la législation venait à changer, l’estimation du préjudice pour une action de groupe sur les données personnelles pourrait ainsi amener votre entreprise à payer, en plus des amendes de la CNIL, des dommages-intérêts en théorie illimités. Dans le cadre d’un litige avec un contrat d’assurance vie impliquant des consommateurs qui a vu le prononcé d’une condamnation pour les sociétés AXA et AGIPI, l’association Consommation Logement Cadre de Vie a par exemple estimé leur préjudice total entre 300 et 500 millions d’euros [11]. L’affaire n’en est à ce jour qu’à la recevabilité de l’action.
Avec la montée en puissance de l’action de groupe, une évolution législative dans ce sens est donc à prévoir. C’est l’une des raisons pour lesquelles il est indispensable aujourd’hui pour votre entreprise d’évaluer son niveau de conformité et d’en assurer, au besoin, le suivi continu des risques. Cela pour éviter de payer demain le prix d’une sanction très élevée.
Pour avoir une idée globale de votre niveau de conformité au nouveau Règlement européen sur la protection des données, accédez ici à nos questionnaires en ligne.
[1] Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle – Article 91
[2] Loi n° 2014-344 du 17 mars 2014 relative à la consommation | Article 1 et suivants
[3] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 43 ter I
[4] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 43 ter II
[5] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 43 ter IV 1° et 2°
[6] LA QUADRATURE DU NET – S T A T U T S : Article 3 – Objets : nouveauxstatuts-AG21032015.pdf
[7] Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle – Article 62 | Legifrance
[8] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Article 43 ter III
[9] Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle – Article 68
[10] Code de la consommation – Article L623-10
[11] La CLCV lance une action de groupe sur le contrat d’assurance-vie CLER – Association de consommateurs et usagers CLCV