L'action de groupe a été pendant longtemps ignorée en droit français avant d'être finalement introduite pour la première fois par la loi n° 2014-344 du 17 mars 2014 relative à la consommation (dite "loi Hamon") au bénéfice des consommateurs. Au 26 septembre 2016, seules huit actions de groupe en matière de consommation ont été introduites devant les juridictions françaises.

S'agissant des données à caractère personnel, la consécration de l'action de groupe avait été envisagée à l'occasion des débats parlementaires relatifs à la loi pour la République numérique (dite "loi Lemaire") mais celle-ci a finalement été adoptée le 7 octobre 2016 sans ce dispositif. Par ailleurs, le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après "Règlement GDPR") – qui sera applicable à partir du 25 mai 2018 - prévoit expressément la faculté pour les Etats de recourir à cette possibilité (art. 80 et s.). Le législateur français a donc décidé d'anticiper l'application de ce règlement en consacrant l'action de groupe en matière de données à caractère personnel moyennant quelques ajustements.

La loi n° 2016-1547 du 18 novembre 2016 a créé un nouvel article 43 ter au sein de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite "loi informatique et libertés) qui dispose notamment que "Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente."

Cette nouvelle disposition vise aussi bien le responsable de traitement que les sous-traitants alors même qu'en l'état du droit positif, seuls les responsables de traitement peuvent voir leur responsabilité engagée par les personnes  concernées. En réalité, cette disposition a vraisemblablement été inspirée par la réforme issue du règlement GDPR qui va accentuer la responsabilité des sous-traitants.

En outre, cette nouvelle action de groupe ne pourra être exercée que par les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, par les associations de défense des consommateurs représentatives au niveau national et agréées lorsque le traitement de données à caractère personnel affecte des consommateurs, ou par les organisations syndicales de salariés ou de fonctionnaires représentatives lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Enfin, cette action de groupe qui suppose l'envoi d'une mise en demeure préalable demeurée infructueuse quatre mois avant la saisine du juge compétent, est exclusivement destinée à obtenir à la cessation du manquement. Il n'est donc pas possible via cette nouvelle action de groupe d'obtenir la réparation des préjudices pouvant résulter de l'inobservation de la réglementation applicable aux données à caractère personnel, à l'instar d'autres actions de groupe en droit français ou des actions de groupe aux Etats-Unis qui visent essentiellement à obtenir des dédommagements significatifs. Sur ce point, le législateur français ne s'est malheureusement pas aligné avec le règlement GDPR qui prévoit expressément la possibilité pour les Etats de prévoir un tel mécanisme y compris à des fins d'obtenir la réparation du préjudice des personnes concernées. Même si l'impact en termes d'image d'une action de groupe en matière de données à caractère personnel peut être significatif, cette exclusion nous semble éminemment regrettable.
Le législateur français n'a donc pas su saisir l'occasion qui lui était offerte en garantissant l'effectivité de cette nouvelle action de groupe.

Annabelle Richard et Guillaume Morat, avocats Pinsent Masons