2

L’action de groupe : introduire des modalités de réparation

< Rapport d'information de la commission des affaires européennes >

L’action de groupe constitue un recours très récent dans l’arsenal juridique national. Introduit dans un premier temps par la loi n° 2014-344 du 17 mars 2014 relative à la consommation, il était limité à la défense de groupes de consommateurs par une association de consommateurs agréée au niveau national. Applicable aux cas de vente de biens ou de fournitures de service, l’action de groupe devait être initiée par les consommateurs lésés, obtenant réparation par la suite en se signalant auprès de l’organisme condamné ou de l’association de consommateurs requérante.

Le champ d’application de l’action de groupe a été ouvert par la suite à d’autres domaines, tels que la santé (49), mais aussi à la lutte contre les discriminations, aux actions ayant une incidence sur l’environnement, et enfin, aux données personnelles (50). Toutefois, dans ce dernier domaine, si l’action de groupe permet à « plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant », l’action ne peut viser exclusivement que la cessation du manquement. Il n’est donc pas possible d’introduire un recours en responsabilité à raison de la violation des données personnelles des utilisateurs d’un service de la société d’information (51).

Le RGPD prévoit plusieurs types de recours en cas de violation des dispositions relatives aux protections des données personnelles des utilisateurs ainsi que des nouveaux droits qu’il consacre. Inscrits dans le chapitre VIII, l’article 77 prévoit un droit d’introduire une réclamation auprès d’une autorité de contrôle, l’article 78 un droit à un recours juridictionnel effectif contre une autorité de contrôle et l’article 79 un droit à recours juridictionnel effectif contre un responsable de traitement ou un sous-traitant, à chaque fois à raison d’une violation des droits inscrits dans le règlement.

Le projet de loi prend en compte, dans son article 16 , les conséquences de l’ouverture de ces voies de recours en complétant la loi n° 78-17, qui prévoit déjà au 2 °c) de son article 11 la possibilité pour toute personne concernée de déposer une réclamation, une pétition ou une plainte auprès de la CNIL. Outre la possibilité introduite à l’article 1er du projet de loi, pour la CNIL, de présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement ainsi qu’à la loi n° 78-17 modernisée, le choix opéré par le Gouvernement a consisté à ouvrir l’action de groupe obligatoire, prévue à l’article 80.1 du règlement, aux associations qui étaient déjà mentionnées au IV de l’article 43 ter de la loi du 6 janvier 1978. C’est par ce biais que peuvent être exercés les droits susmentionnés inscrits aux articles 77, 78 et 79 du règlement.

Le Gouvernement a renoncé par-là même à la possibilité d’introduire un recours en réparation pour compléter le dispositif prévu par la loi de modernisation de la justice au XXIe siècle(52) .

La possibilité d’une action en réparation est pourtant ouverte dans plusieurs États membres. Ainsi, aux Pays-Bas, depuis 1993, les associations et les fondations peuvent engager une action en justice aux fins d’une réparation collective. Depuis 2005 et la promulgation de l’Acte des Actions Collectives, celles-ci peuvent de plus aboutir à une indemnisation commune. Ces actions de groupe, qui ne sont pas limitées à un domaine en particulier, doivent être issues d’un accord extrajudiciaire préalable entre les représentants des responsables du dommage et les représentants des victimes. Cet accord permet de fixer une indemnisation commune, avant son homologation par le juge. La jurisprudence des tribunaux néerlandais a fait évoluer le champ d’application de cette action de groupe, puisque des plaignants étrangers peuvent s’ajouter à une action, dès lors qu’un seul plaignant est domicilié aux Pays-Bas. D’autres types d’actions de groupe en responsabilité existent dans d’autres États membres, sous diverses modalités, comme en Italie ou au Royaume-Uni.

Les représentants de l’association UFC-Que Choisir ont expliqué à votre rapporteure le caractère crucial d’une telle action de groupe, et militent pour l’adjonction d’un préjudice moral en cas de violation de la protection des données personnelles. En effet, « dès lors que les critères de mise en application de l’action de groupe sont définis de manière très stricte, une simple action de groupe en cessation, telle qu’elle est inscrite aujourd’hui dans la loi, ne sert à rien. »

Cet ensemble laisse craindre à votre rapporteure une certaine inégalité dans les droits auxquels peuvent prétendre les citoyens européens au titre du RGPD. Elle regrette donc fortement le fait que le gouvernement n’ait pas profité de la révision de la loi n° 78-17 pour introduire une action de groupe en responsabilité, comme l’y autorise l’article 80.1 du règlement.

Votre rapporteure regrette également que le Gouvernement n’ait pas saisi l’opportunité offerte par l’article 80.1 du règlement pour adapter le droit existant. L’actuel article 43 ter de la loi n° 78-17 permet certes un droit de recours contre un responsable de traitement tel qu’il est inscrit à l’article 79 du règlement, mais sans mise en cause de la responsabilité, et n’introduit aucune possibilité de recours en responsabilité à l’égard de l’autorité publique de contrôle. De même, aucun organisme agréé ne peut introduire de réclamation au sens de l’article 77 du règlement.

En tout état de cause, votre rapporteure souhaite que la possibilité de mener des actions de groupe en réparation soit intégrée au projet de loi.

< Rapport d'information de la commission des affaires européennes >