Dès le 25 mai 2018, date d’application du Règlement Général sur la Protection des Données¹ (ci-après le « RGPD »), certaines associations ont immédiatement saisi les autorités de contrôle compétentes afin d’introduire des réclamations.
Les associations se sont emparées de ce nouvel outil qu’est le RGPD pour deux raisons : d’une part, ce texte renforce les droits existants et crée de nouveaux droits au profit des personnes dont les données à caractère personnel sont traitées et, d’autre part, l’Union Européenne a considérablement alourdi les sanctions administratives en cas de violation des dispositions de ce texte par le responsable du traitement ou le sous-traitant. Ces sanctions pécuniaires sont recouvrées par l’Etat dont l’autorité de contrôle a été saisie.
En ce sens, l’article 83 du RGPD prévoit deux niveaux de sanctions administratives :
- Un premier niveau : jusqu’à 10.000.000 d’euros ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
- Un second niveau : jusqu’à 20.000.000 d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Le RGPD précise les différentes voies de recours offertes aux personnes concernées par la violation de leurs données à caractère personnel.
Ainsi, l’article 77 du RGPD consacre un recours administratif devant l’autorité de contrôle : toute personne concernée a le droit d’introduire une réclamation auprès de ladite autorité, si elle considère que le traitement des données à caractère personnel la concernant constitue une violation du RGPD. En France, ladite autorité de contrôle est la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL ») et en Espagne, la Agencia Española de Protección de Datos (ci-après l’« AEPD »).
Parallèlement à ce recours administratif, cette même personne bénéficie de deux recours juridictionnels : le premier contre l’autorité de contrôle, le second contre le responsable du traitement et/ou le sous-traitant. Dans ce dernier cas, l’action doit être intentée devant les juridictions de l’Etat membre dans le ressort duquel l’auteur de la violation dispose d’un établissement.²
En ce qui concerne l’action de groupe proprement dite, l’article 80 du RGPD prévoit un domaine d’intervention extensif au profit des associations, lesquelles sont habilitées à représenter les personnes concernées dans les hypothèses ci-dessous :
- Pour introduire une réclamation en leur nom auprès de l’autorité de contrôle compétente ;
- Pour exercer en leur nom le droit à un recours juridictionnel effectif, tant à l’encontre de l’autorité de contrôle que du responsable du traitement et/ou du sous-traitant ;
- Pour exercer en leur nom le droit d’obtenir réparation, en cas de dommage matériel ou moral, lorsque le droit de l’Etat membre le prévoit.
S’agissant de l’exercice des voies de recours, l’Union Européenne a ainsi choisi de laisser une marge de manœuvre aux Etats membres. Le législateur national peut ainsi créer une action de groupe spécifique en matière de protection des données à caractère personnel.
En France, antérieurement à la date d’application du RGPD, la loi de modernisation de la justice du XXIe siècle³ a instauré une action de groupe spécifique visant à faire cesser tout manquement à la Loi informatique et libertés⁴, dès lors que plusieurs personnes placées dans une situation similaire ont subi un dommage ayant pour cause commune ledit manquement. La portée de cette action, consacrée à l’article 43 ter de la Loi informatique et libertés, a été étendue avec le RGPD, puis la loi du 20 juin 2018⁵ relative à la protection des données personnelles. Outre la cessation du manquement, cette action peut également avoir comme objectif d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, auquel cas des dommages et intérêts pourront être alloués à la personne dont la protection des données personnelles a été violée.
Cette action, exercée devant le juge judiciaire ou le juge administratif, peut être introduite aussi bien par une association ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, que par une association de défense des consommateurs.
En Espagne, la Ley Orgánica de Protección de Datos⁶ ne contient pas de disposition spécifique en la matière. Pour l’heure, ce sont donc les associations de défense des consommateurs, qui sont mandatées pour saisir l’AEPD en cas de violation des dispositions du RGPD. Une fois l’action de groupe introduite, l’AEPD adopte une délibération dans un délai de six mois, celle-ci pouvant être contestée au moyen d’un recours administratif présenté devant la « Audiencia Nacional ».Dans l’attente de la promulgation du projet de Loi Organique de Protection des Données, le processus à mettre en œuvre en cas de violation des normes relatives à la protection des données des données à caractère personnel, est actuellement réglementé par le Décret Royal 5/2018, applicable depuis le 31 juillet dernier.⁷
Ces dernières semaines, trois associations européennes ont usé de la faculté offerte par l’article 80 du RGPD et ont saisi les autorités de contrôle respectives pour violation de certaines de ses dispositions par les géants américains du Web. Est notamment mis en cause le non-respect des dispositions du RGPD relatives à l’information des utilisateurs et au recueil de leur consentement préalablement au traitement de leurs données à caractère personnel. Les associations considèrent qu’en l’absence de consentement libre, éclairé et spécifique, les données à caractère personnel des utilisateurs sont traitées de façon illicite. En effet, d’un point de vue pratique, aucun choix n’est laissé aux utilisateurs : s’ils n’acceptent pas que leurs données à caractère personnel soient traitées, ils ne peuvent pas utiliser le service ni naviguer sur le site internet.
Le 30 mai dernier, l’organisation de consommateurs et usagers (ci-après l’ « OCU »)⁸, qui est une organisation espagnole de consommateurs, a introduit une action de groupe à l’encontre de Facebook, afin de défendre les intérêts de l’ensemble des utilisateurs espagnols, l’objectif étant d’obtenir 200 euros de compensation par utilisateur. Pour ce faire, l’OCU invoque le défaut d’information des utilisateurs et l’absence de recueil de leur consentement.
En France, la Quadrature du Net, a annoncé avoir déposé cinq réclamations à l’encontre des GAFA⁹ et de LinkedIn. Ces réclamations ont été introduites auprès de la CNIL, à l’encontre de chacune de ces sociétés américaines et pour le compte de 12.000 personnes.
Pour sa part, Max SCHREMS, avocat autrichien et militant pour la protection des données, réclame des dommages et intérêts à hauteur de 3,9 milliards de dollars à Facebook et 3,7 milliards de dollars à Google. La réclamation a été présentée par l’intermédiaire de son organisation non gouvernementale, dénommée NOYB.¹⁰ A l’instar de l’action introduite par l’OCU en Espagne, c’est une fois de plus le consentement préalable et explicite des utilisateurs des réseaux sociaux qui est en cause.
Ainsi, ces premières actions de groupe soulèvent une question épineuse : quelle forme que doit revêtir le recueil du consentement des utilisateurs ? Aux termes des dispositions du RGPD, dès lors que le traitement a pour base juridique le consentement, celui-ci doit être donné moyennant un acte positif clair, par exemple, en cochant une case lors de la consultation d’un site internet. A contrario, le consentement n’est pas caractérisé en cas de silence, de cases cochées par défaut ou d’inactivité. De la même façon, les clauses stipulant que la continuation de l’utilisation du service vaut acceptationne sont pas suffisantes.
Ces réclamations ont été présentées dans différents Etats membres et de ce fait, les autorités de contrôle seront certainement amenées à coopérer, étant rappelé que la coopération est réglementée et encouragée par le RGPD. Ces affaires sont l’occasion d’expérimenter l’application cohérente et uniforme des dispositions du RGPD. Sur ce point, il convient de rappeler que l’une de ses finalités est de parvenir à une harmonisation des normes en matière de protection des données à caractère personnel sur l’ensemble du territoire européen. Le législateur français a d’ailleurs tout récemment réglementé ce processus : un chapitre VII bis a été inséré dans la Loi informatique et libertés du 6 janvier 1978.¹¹
Ces actions de groupe constituent les prémices d’un mouvement qui s’amorce. Les citoyens européens souhaitent être informés du traitement de leurs données à caractère personnel et, le cas échant, être en mesure d’exercer leurs droits si besoin est, collectivement.
M&B Avocats
¹Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
²Articles 78 et 79 du RGPD
³Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle
⁴Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
⁵Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
⁶Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal
⁷Real Decreto-Ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa europea de protección de datos
⁸Organización de consumidores y usuarios
⁹Acronyme utilisé pour désigner les Géants du Web : Google, Apple, Facebook, Amazon
¹⁰Acronyme utilisé pour désigner l’organisation créée par Max SCHREMS, None of your business
¹¹ Articles 49 à 49-5 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, créés par la loi par la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles