RGPD : Les victimes d’une fuite de données personnelles pourront être indemnisés

Paula Forteza, 21 juin 2017. Photo Antoine Lamielle.
Paula Forteza, 21 juin 2017. Photo Antoine Lamielle.

Le Conseil national des barreaux (CNB) se félicite d’être à l’origine d’un amendement qui devrait permettre aux victimes participant à une action de groupe, via une association agréée, en cas de manquement d’un responsable de traitement de données à caractère personnel, d’être indemnisées de leur préjudice.

L’article 91 de la loi du 18 décembre 2016Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, J.O., n° 269, 19 nov. 2016, n° 1., codifié en tant qu’article 43 ter de la loi du 6 janvier 1978, dispose en effet en son point II que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente » mais le point III exclut catégoriquement tout indemnisation en prévoyant que « cette action tend exclusivement à la cessation de ce manquement ».

L’institution représentative des quelque 66 000 avocats de France dit donc avoir alerté la députée LREM de la 2e circonscription des Français de l’étranger Paula Forteza, rapporteure pour la commission des lois de l’Assemblée nationale du projet de loi relatif à la protection des données à caractère personnel transposant en droit interne le règlement européen sur la protection des données qui entrera en vigueur le 25 mai 2018, de cette « dérogation incompréhensible au socle processuel commun des actions de groupe » à laquelle il devrait vraisemblablement être mis fin tout prochainement.

Mme Forteza a exposé cette contradiction lors de la séance de mardi dernier et la commission des lois a ensuite adopté un amendement en ce sens permettant d’exercer une action de groupe dans le domaine de la protection des données personnelles « aux fins de réparation du dommage causé par un manquement aux dispositions de la loi "Informatique et libertés" par un responsable de traitement de données à caractère personnel ou un sous-traitant ».