Lexique > Action de groupe (class action)
Lexique IT
Action de groupe (class action)
Afin de faire respecter ses dispositions relatives à la protection des données à caractère personnel et dans la mesure où les violations de données affectent généralement plusieurs personnes concernées, le RGPD (Règlement 2016/679) introduit la possibilité de réaliser des actions de groupe / class actions.
L’action de groupe permet à plusieurs personnes concernées ayant subi un préjudice en lien avec le traitement des données à caractère personnel les concernant de présenter des réclamations conjointes contre le responsable du traitement ou le sous-traitant concerné.
Elle a pour objectif de faire cesser le dommage ayant pour cause un manquement d’un responsable de traitement ou sous-traitant au RGPD et/ou d’engager leur responsabilité afin d’obtenir la réparation des préjudices matériels et moraux subis par la violation de données.
Toutefois, en France seul l’un des organismes suivants est autorisé à introduire l’action de groupe devant les tribunaux (article 37 de la loi Informatique et Libertés) :
- Les associations de protection de la vie privée et des données personnelles déclarées depuis au moins 5 ans;
- Les associations de défense des consommateurs agréées au niveau national;
- Les syndicats représentatifs de salariés ou de fonctionnaires.
Ces associations et syndicats engagent l’action de groupe pour le compte de toutes les personnes concernées par la violation de données, et réclament ainsi en leur nom des dommages et intérêts en réparation du préjudice subi.
L’action de groupe peut être introduite qu’après mise en demeure du responsable de traitement ou du sous-traitant à l’origine de la violation de données de cesser ou de faire cesser le manquement ou de réparer les préjudices subis, et après l’expiration d’un délai de quatre mois à compter de la réception de cette mise en demeure.
Les conditions d’exercice des actions de groupe peuvent différer d’un Etat membre à l’autre.
Ainsi, alors qu’aux Pays Bas, les associations seront évaluées systématiquement à un stade précoce de la procédure (finalement, expérience, gouvernance…), au Royaume-Uni toutes les associations qui remplissent les conditions de l’article 80 du RGPD sont autorisées à agir.
En conséquence, il est important de bien choisir l’Etat membre dans lequel engager l’action de groupe (lieu de résidence de la personne concernée ou lieu d’établissement du responsable de traitement ou sous-traitant).
Point RGPD
« La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un Etat membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un Etat membre le prévoit »
Le Cabinet Bouchara vous accompagne notamment dans :
- L’analyse juridique de votre préjudice en lien avec la violation de données ;
- L’analyse juridique de la faisabilité d’une action de groupe devant les autorités de contrôle européennes et/ou les tribunaux des Etats membres de l’Union européenne ;
- La rédaction et gestion des lettres de mises en demeure, indispensables avant l’introduction de l’action de groupe ;
- La gestion de votre action de groupe (si vous êtes une association ou un syndicat) ;
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.