Le présent amendement a pour objet de créer une action collective ayant vocation à faire cesser les violations de la législation sur les données personnelles subies par une multitude de personnes. 

L’objectif est de permettre des représentations et actions en justice collectives. Le mécanisme de création de valeur à partir des données est collectif. Seules une représentation et des actions collectives peuvent pallier le déséquilibre actuel des forces entre consommateurs et opérateurs.

Selon le rapport du Conseil d’Etat de 2014, les personnes affectées par une méconnaissance de la législation sur les données personnelles sont peu enclines à saisir la justice. L’enjeu pour chaque personne est en règle générale limité et le préjudice difficile à évaluer. En revanche, l’enjeu collectif peut être très important, par exemple dans le cas d’une faille de la sécurité ou d’une cession non autorisée de données personnelles affectant des centaines de milliers voire des millions de personnes. C’est pour apporter une réponse à ce type de situation, dans lequel une multitude de personnes sont concernées par un litige de faible enjeu pour chacune, que la loi du 17 mars 2014 relative à la consommation a créé la procédure d’action de groupe.

En l’état, cette procédure ne peut cependant s’appliquer que de manière limitée aux litiges ayant pour objet la protection des données personnelles. L’action de groupe ne peut viser que la réparation de « préjudices patrimoniaux résultant des dommages matériels subis par les consommateurs ». Or, les préjudices liés à la méconnaissance de la législation sur les données personnelles peuvent rarement être ainsi qualifiés : il s’agit plus souvent de préjudices moraux liés à l’atteinte à la vie privée. En outre, les personnes ayant été lésées par l’utilisation de leurs données personnelles ne sont pas toujours des consommateurs, dès lors qu’il n’existe pas nécessairement de relation contractuelle commerciale entre eux et le responsable du traitement de leurs données : il en va par exemple ainsi lorsque les données sont collectées par un data broker ou par une régie publicitaire travaillant pour un site visité par l’internaute.

On pourrait penser à assouplir les conditions de l’action de groupe dans le domaine de la protection des données personnelles, en l’étendant aux préjudices moraux ainsi qu’aux personnes n’ayant pas la qualité de consommateur à l’égard de l’acteur qui a utilisé leurs données personnelles. Cette voie risquerait cependant de se heurter à la difficile évaluation des préjudices moraux liés à l’utilisation des données personnelles ; c’est d’ailleurs cette difficulté qui a conduit le Parlement à restreindre l’action de groupe aux préjudices patrimoniaux dans la loi du 17 mars 2014. Il parait donc plus pertinent de créer une voie d’action spécifique, qui serait qualifiée d’action collective pour la distinguer de l’action de groupe, dont l’objet serait de faire cesser la violation de la législation sur les données personnelles et non de réparer les préjudices individuels qu’elle a causés. La loi devrait définir les personnes habilitées à exercer cette action collective, la juridiction compétente et les prérogatives de celle-ci.

Une action collective, distincte de l’action de groupe, est destinée à faire cesser les violations de la législation sur les données personnelles. Cette action est exercée devant le tribunal de grande instance par les associations agréées de protection de consommateurs ou de défense de la vie privée et des données personnelles agréées en application de l’article L.411-1 du code de la consommation.