2 minutes pour comprendre l’action de groupe en matière de données personnelles
=> Qu’est-ce qu’une action de groupe ? C’est le fait pour plusieurs personnes physiques placées dans une situation similaire et subissant un dommage résultant de la violation d’une loi, d’exercer, par l’intermédiaire d’organismes à but non lucratif, une action commune devant la juridiction compétente.
=> Quels sont ses avantages ? Elle permet de mutualiser les coûts de l’action en justice et incite les personnes à agir, même pour recouvrer de faibles sommes (ce qu’elles n’auraient pas fait si elles avaient été seules).
=> L’action de groupe en matière de données personnelles a été instaurée en 2016 par la loi Justice du XXIè siècle de 2016 qui a modifié la loi Informatique et Libertés (article 43 ter). Telle qu’initialement prévue, cette action ne servait qu’à faire cesser le manquement et non à réparer le dommage subi.
=> Le Règlement pour la Protection des Données Personnelles qui entrera en vigueur en mai 2018 laisse quant à lui la faculté aux Etats membres de prévoir qu’une action de groupe en matière de données personnelles ouvrira un droit à réparation en plus de la cessation du manquement (article 80 RGPD). La France a saisi cette opportunité et modifié l’article 43 ter de la loi Informatique et Libertés en ce sens (article 25 du projet de loi définitif adopté par l’Assemblée Nationale le 14 mai 2018). Désormais, l’action de groupe en matière de données personnelles permet donc de demander non seulement la cessation du manquement mais également la réparation du dommage qui en résulte.
=> Le Sénat a décidé de reporter l’instauration de cette action de groupe réparatrice de 2 ans, afin de laisser le temps aux responsable de traitement de s’adapter au RGPD (les conséquences financières d’une condamnation à réparation prononcée dans le cadre d’une action de groupe étant considérables).
=> La procédure de l’action de groupe prévue en 2016 restera applicable :
- Mise en demeure obligatoire du défendeur (société responsable du traitement informatique litigieux ou sous-traitant informatique)
- Délai de 4 mois avant l’introduction de l’action de groupe
- Seules les organisations agréées en matière de données personnelles sont habilitées à introduire l’action de groupe, (l’article 43 ter – IV de la Loi Informatique et Libertés).
- Information systématique de la CNIL qui peut présenter des observations.
=> Cette action représente un nouveau risque pour les responsables de traitement, qui s’ajoute aux amendes et à l’atteinte à l’image que peut entrainer le non-respect du RGPD.
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !