3

Les actions de groupe

< Rapport d'information >

L’action de groupe, introduite par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle (113), **** est ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 et permet d’obtenir la cessation du manquement. La réparation des préjudices subis du fait de ce manquement fait, en revanche, l’objet d’une action individuelle classique.

Peuvent mener l’action :

– les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;

– celles de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 411-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

– les organisations syndicales représentatives de salariés, fonctionnaires ou magistrats lorsque le traitement affecte les intérêts de ces personnes.

Le paragraphe 1 de l’article 80 du règlement prévoit la possibilité pour les États membres d’adopter des dispositions nationales autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi.

Selon les éléments transmis par la direction __ des affaires civiles et du sceau (DACS) du ministère de la Justice, la mise en œuvre d’une telle procédure ne constitue qu’une possibilité donnée aux États membres ainsi que l’indique clairement le considérant 142 du règlement : « Lorsqu’une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d’un État membre, (…) _pour qu’il introduise une réclamation en son nom auprès d’une autorité de contrôle, exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d’un État membre , exerce le droit d’obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d’introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s’il a des raisons de considérer que les droits d’une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d’une personne concernée indépendamment du mandat confié par la personne concernée. _ ». La DACS considère donc à juste titre que le droit français est en conformité avec le règlement, dans une version minimale.

Par ailleurs, les discussions au sein du groupe d’experts mis en place par la Commission européenne sur la mise en conformité du droit national au règlement ont abordé ce point le 2 décembre 2016. Il en ressort qu’en l’état de leurs réflexions, certains États membres n’envisagent pas de permettre un tel recours, d’autres mettront en œuvre un tel recours uniquement devant les tribunaux et non l’autorité de protection des données à caractère personnel, enfin certains permettront un tel recours devant leur autorité de protection des données.

Cette question devra donc être tranchée par le législateur, qui pourra décider de profiter de l’adaptation de notre législation pour élargir le champ des actions collectives. Vos rapporteurs notent que **** M. Édouard Geffray, secrétaire général de la CNIL, ainsi que de nombreuses personnes auditionnées par la mission, considèrent que l’extension du périmètre de l’action de groupe aux actions tendant à la réparation des préjudices subis, était souhaitable.

< Rapport d'information >