L’affaire Max Schrems c/ Facebook a fait ressurgir dans le débat la question de l’exercice de class actions en matière de protection des données personnelles. Maximilian Schrems, célèbre avocat autrichien en protection des données personnelles connu pour son combat contre le réseau social Facebook avait conduit une action collective contre le groupe en vertu d’une loi autrichienne. La Cour de Justice de l’Union européenne a affirmé dans une décision rendue le 25 janvier 2018 qu’il pouvait poursuivre le groupe Facebook en Autriche mais ne pouvait pas engager une action collective pour d’autres citoyens européens dont les lois de leurs Etats d’origine ne prévoient pas l’exercice d’une telle action.
Qu’en est-il en France ?
La loi pour la modernisation de la justice du XXIème siècle adoptée le 18 novembre 2016 a introduit dans le système judiciaire français la possibilité d’exercer une action collective en matière de protection des données personnelles. Bien loin du modèle américain de la class action, l’action de groupe peut être menée par les associations agréées et régulièrement déclarées depuis cinq ans au moins et dont l’objet statutaire est relatif à la défense de la protection des données personnelles.
Le champ d’application des dispositions de la loi Hamon du 17 mars 2014 relatives à l’action collective a été étendu aux préjudices immatériels.  Le préjudice moral étant toujours source de difficultés quand il s’agit de le quantifier, le texte prévoit seulement la possibilité de faire cesser un manquement. Le demandeur à l’action peut également demander la publicité de l’ordonnance du juge par le défendeur jugé responsable.
Récemment, la législation française relative aux actions de groupe en matière de données personnelles pourrait prendre un nouveau tournant avec l’introduction d’une action en réparation. Maître Olivier Itéanu, avocat en droit des nouvelles technologies, et le député La République en Marche, Eric Bothorel, sont à l’origine d’une proposition d’amendement en la matière qui a été adoptée par l’Assemblée nationale le 23 janvier 2018. C’est finalement l’amendement de la députée Paula Forteza qui a été adoptée par le Sénat le 12 mars 2018 dans le cadre du projet de loi adaptant le Règlement sur la Protection des Données. L’article 43 ter relatif aux class actions dans la loi Informatique et Libertés de 1978 sera modifié afin d’assortir cette action de groupe d’un droit à réparation des « préjudices matériels et moraux subis ».
En outre, un autre amendement également adopté le même jour vient encadrer les conditions relatives à l’octroi de l’agrément aux associations.
A quoi peut-on s’attendre avec l’entrée en vigueur du Règlement Général sur la Protection des données (RGPD) ?
Le RGPD ne prévoit pas d’action de groupe bien qu’il ait vocation à remettre l’utilisateur au cœur de la gestion de ses données personnelles. En revanche, son article 80 permet aux victimes d’un usage abusif de données personnelles de mandater des organismes telles que des organisations ou associations agissant dans le domaine de la protection des données personnelles afin de réclamer la réparation du préjudice subi auprès de la CNIL.
Toutefois, un amendement a été adopté par le Sénat le 12 mars 2018 prévoyant que l’action de groupe prévue par la loi française en matière de données personnelles peut également être exercée en cas de manquement aux dispositions du RGPD.
Par ailleurs, le Sénat a apporté d’importantes modifications au projet de loi relatif à la protection des données personnelles notamment la fixation de la majorité numérique. Le texte n’a pas encore été adopté définitivement. Il ne reste donc plus qu’à suivre de près le déroulement des évènements.
 
 
 

A propos de Kahina OUAMRANE