RGPD : faut-il avoir peur des class actions ?
Plus de deux ans après l’entrée en application du RGPD, l’été 2020 a été marqué par la médiatisation de plusieurs actions de groupe.
Les 101 plaintes déposées par NOYB, l’organisation autrichienne à but non lucratif créée en 2017 par le militant Max Schrems, ont fait grand bruit.
En Angleterre et aux Pays-Bas, Oracle et Salesforce font l’objet d’une action collective qui pourrait leur coûter 10 milliards d’euros pour avoir utilisé abusivement les données personnelles des consommateurs à des fins de ciblage publicitaire en ligne.
Le réseau hôtelier Marriott International est la cible d’une action collective faisant suite à une faille de sécurité portant sur les données de 500 millions de clients, une des plus grosses failles de sécurité de l’histoire de l’informatique.
Surtout, sous l’égide de l’article 80 du RGPD et plus de deux ans après son entrée en application, les actions collectives relatives à la protection des données pourraient bien se généraliser.
NOYB MET LA PRESSION SUR LES ENTREPRISES EUROPÉENNES ET AMÉRICAINES ET ENTEND BIEN LA MAINTENIR
L’action engagée par NOYB, l’organisation autrichienne à but non lucratif créée par le militant Max Schrems, vise 101 sites européens dans trente états membres de l’Union européenne, dont six sites français.
NOYB a déposé plainte contre les transferts de données personnelles vers les États-Unis, opérés en violation de l’arrêt « Schrems 2 » rendu par la CJUE. Cette décision invalide le Privacy Shield et oblige les responsables de traitement à s’assurer que les transferts de données personnelles soient encadrés et qu’il existe des garanties suffisantes de protection des droits et libertés fondamentaux des personnes.
Comme l’a souligné Maximillian Schrems, « L’activation de Google Analytics et de Facebook Connect à l’origine des transferts ne sont pas indispensables au fonctionnement des pages web ; ces services auraient donc pu être remplacés ou a minima désactivés ».
Une partie des plaintes ont été déposées directement auprès de l’autorité de contrôle concernée en fonction de l’établissement du responsable de traitement. L’autorité autrichienne a aussi été saisie en fonction du domicile des personnes concernées. Dans le cadre du « guichet unique », NOYB envisage de transmettre ces plaintes à une autorité de contrôle principale.
Par ailleurs, les plaintes visent aussi Google et Facebook aux États-Unis pour avoir poursuivi ces transferts de données désormais illicites.
NOYB entend bien faire appliquer la décision de la CJUE relative aux transferts de données : à cet effet, l’organisation prévoit d’augmenter progressivement la pression sur les entreprises récalcitrantes.
LA FONDATION THE PRIVACY COLLECTIVE S’ATTAQUE À ORACLE ET À SALESFORCE POUR LEURS PRATIQUES DE TRACKING ET DE PROFILAGE AUTOMATISÉ
L’action collective dénonce l’utilisation illicite de cookies pour collecter des données sur les visiteurs des sites Web à tout instant et à grande échelle et pour les croiser avec des informations supplémentaires afin de créer le profil de chaque internaute. Elle reproche un profilage des consommateurs à leur insu, sans qu’ils soient suffisamment informés, ce qui ne permet pas aux personnes concernées d’éviter le traitement ou d’exercer un contrôle sur la manière dont leurs données personnelles sont traitées. En outre, dans la mesure où le profil d’une personne peut comprendre des catégories particulières de données sensibles, les personnes devraient donner leur consentement explicite pour que ces informations soient traitées.
Christiaan Alberdingk Thijm, avocat principal dans cette affaire affirme que « c’est l’une des plus grandes affaires de traitement illicite de données à caractère personnel de l’histoire de l’internet ; presque tous les Néerlandais qui consultent des informations en ligne sont affectés par les pratiques d’Oracle et de Salesforce« .
The Privacy Collective réclame une somme de 500 euros pour chaque utilisateur qui n’a pas consenti au traitement de ses données personnelles. Le regroupement des deux actions collectives intentées par la fondation, au Royaume-Uni et aux Pays-Bas, pourraient dépasser les 10 milliards d’euros en raison des millions de personnes qui ont potentiellement fait placer ces cookies sur leurs outils.
A LA SUITE D’UNE FUITE MASSIVE DE DONNÉES PERSONNELLES DE CLIENTS ENTRE 2014 ET 2018, MARRIOTT FAIT L’OBJET D’UN RECOURS COLLECTIF AU ROYAUME UNI
L’action a été rendue publique le mercredi 19 août 2020 et regroupe aujourd’hui des millions de personnes. Il est reproché à l’exploitant du groupe hôtelier de ne pas avoir réussi à faire preuve de diligence raisonnable lors de l’achat de l’outil de gestion des réservations et de ne pas avoir fait davantage pour sécuriser les systèmes d’informations. L’objet de la class action contre le Marriott réside donc dans un grave défaut de sécurité des données personnelles.
Si cette action collective aboutie, Marriott pourrait faire face à des frais de compensation colossaux et totalement inédits en matière de protection des données personnelles.
LES CONDITIONS JURIDIQUES DE L’ACTION DE GROUPE : OPT-IN VS. OPT-OUT
Le RGPD donne le droit à la personne concernée « de mandater un organisme, une organisation ou une association à but non lucratif et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, d’introduire une réclamation, d’exercer les droits des personnes et d’obtenir réparation en son nom ».
Le RGPD laisse la liberté aux États membres de déterminer les modalités permettant aux personnes concernées d’engager des poursuites en vue d’obtenir réparation contre les abus.
Au sein de l’Union européenne, sept autres pays se sont dotés de mécanismes d’action collective.
En France, depuis la loi du 20 juin 2018, l’action collective couvre la réparation des préjudices matériels et moraux subis en raison d’un manquement aux obligations incombant à un responsable de traitement ou à un sous-traitant tel que prévu par la loi française de protection des données et par le RGPD. Les conditions d’une telle action sont les suivantes :
- Au moins deux personnes doivent estimer être victimes du même manquement aux obligations de protection des données personnelles ;
- La violation de données faisant objet de l’action de groupe doit être postérieure à l’entrée en vigueur du RGPD (25 mai 2018) ;
- Les particuliers doivent s’adresser soit aux associations régulièrement déclarées depuis cinq ans au moins et ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel, soit aux associations de défense des consommateurs représentatives agréées au niveau national ou encore aux syndicats représentatifs de salariés ou de fonctionnaires.
Selon le droit français, chaque personne participant à une action de groupe a le droit d’être indemnisée individuellement. L’indemnisation doit correspondre au préjudice économique subi ; il s’agit de réparer le préjudice vécu par la personne concernée.
Au Royaume Uni, comme dans la plupart des pays anglophones, la procédure repose sur un mécanisme d’ »opt-out ». Ainsi, les personnes ayant des intérêts communs sont systématiquement incluses dans la catégorie des demandeurs à moins qu’elles ne se retirent. Par opposition, en France, la personne concernée doit manifester sa volonté par un acte positif en adhérant au groupe qui engage la responsabilité de l’organisme.
Avec un système d’« opt-in », aucun justiciable n’est engagé contre sa volonté ou sans le savoir et les droits de la défense sont respectés.
VERS UNE ACTION COLLECTIVE TRANSEUROPÉENNE
Lors des négociations du Parlement européen et du Conseil le 22 juin dernier, un accord sur l’accès des consommateurs européens aux recours collectifs a été approuvé afin de permettre aux individus de mieux faire valoir collectivement leurs droits en cas d’infraction au droit de l’Union. L’objet de cet accord est la construction d’un projet de directive relative aux actions représentatives dans le domaine de la protection des intérêts collectifs des consommateurs. Cette directive devra déterminer les conditions de qualification des entités habilitées à intenter les actions collectives au niveau des États membres (actions représentatives nationales) et celles habilitées à intenter des actions dans tout autre État membre (actions représentatives transfrontières). Ces nouvelles règles introduiront ainsi un modèle harmonisé d’action collective dans l’Union européenne.
L’action collective s’appliquera aux domaines des services financiers, des voyages et tourisme, de l’énergie, des télécommunications, de l’environnement et santé mais aussi à la protection des données.