Vibrant orange sparks fly from a fire against a dark blue night sky, creating a dramatic visual.

Données personnelles violées ? L’action de groupe pour obtenir réparation

Par Raphaël MORENONLe 4 avril 2025

Table des matières

À l’ère numérique, nos données personnelles sont devenues une monnaie d’échange, une ressource convoitée, mais aussi une source potentielle de vulnérabilité. Chaque jour, nous confions des informations nous concernant à des entreprises, des administrations, des plateformes en ligne. Si la plupart des organisations s’efforcent de respecter les règles, les incidents existent : fuites de données massives exposant des millions d’utilisateurs, utilisation abusive d’informations à des fins commerciales non consenties, manquements aux obligations de sécurité…

Lorsqu’une violation des règles de protection des données affecte un grand nombre de personnes de manière similaire, les conséquences peuvent être multiples : risque accru d’usurpation d’identité, préjudice financier, perte de contrôle sur ses informations, mais aussi un préjudice moral lié au sentiment d’intrusion ou d’impuissance. Face à de tels manquements, agir seul peut sembler une tâche insurmontable. C’est dans ce contexte qu’intervient l’action de groupe spécifique à la protection des données personnelles. Créée par la loi de modernisation de la justice du XXIe siècle (loi J21) en 2016, puis modifiée en 2018 pour intégrer pleinement la réparation des préjudices, cette action offre une voie de recours collectif.

Cet article explore les contours de cette action de groupe : qui peut l’utiliser ? Quels types de violations du droit des données sont concernés ? Quels préjudices peuvent être indemnisés et comment se déroule la procédure ?

Qui peut utiliser cette action de groupe ?

Comme pour les autres actions de groupe, le législateur a défini précisément les acteurs pouvant initier ou bénéficier de cette procédure.

Les victimes : les personnes physiques concernées

L’article 37 de la loi n° 78-17 du 6 janvier 1978 (dite « loi Informatique et Libertés », modifiée pour intégrer le RGPD et l’action de groupe) précise que l’action peut être engagée lorsque « plusieurs personnes physiques placées dans une situation similaire subissent un dommage » lié à un manquement au droit des données.

Seules les personnes physiques dont les données personnelles ont été traitées de manière illicite peuvent donc faire partie du groupe de victimes. Les entreprises ou autres personnes morales, même si leurs données (qui ne sont généralement pas considérées comme « personnelles » au sens strict, sauf exceptions) étaient affectées par un traitement, ne peuvent pas bénéficier de cette action de groupe spécifique. Les victimes doivent, là encore, se trouver dans une « situation similaire » du fait du manquement.

Le responsable : responsable de traitement ou sous-traitant

L’action doit être dirigée contre le ou les auteurs du manquement. L’article 37 vise explicitement « un responsable de traitement de données à caractère personnel ou un sous-traitant ». Ces notions sont définies par le Règlement Général sur la Protection des Données (RGPD) :

  • Le responsable de traitement est l’entité (personne physique ou morale, autorité publique, etc.) qui détermine les finalités et les moyens du traitement des données.
  • Le sous-traitant est celui qui traite les données pour le compte du responsable de traitement.

Le texte utilise le singulier (« un responsable… ou un sous-traitant »), ce qui, interprété strictement, pourrait empêcher d’agir contre plusieurs responsables ou sous-traitants conjointement dans une même action de groupe, même s’ils ont tous contribué au dommage. Cette limitation potentielle est regrettable, car les traitements de données impliquent souvent plusieurs acteurs.

Les demandeurs : un trio d’acteurs habilités

Qui peut saisir la justice pour lancer cette action ? L’article 37, IV de la loi Informatique et Libertés désigne trois catégories d’acteurs :

  1. Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel. Il s’agit des associations spécialisées dans ce domaine. Un agrément spécifique n’est pas requis, mais l’ancienneté et l’adéquation de l’objet social sont vérifiées.
  2. Les associations de défense des consommateurs représentatives au niveau national et agréées (les mêmes 15 associations que pour l’action consommation), mais uniquement « lorsque le traitement de données à caractère personnel affecte des consommateurs ». Leur intervention est donc conditionnée à la qualité des victimes.
  3. Les organisations syndicales (de salariés ou de fonctionnaires représentatives) ou les syndicats représentatifs de magistrats, mais seulement « lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre ». Un syndicat de salariés pourrait ainsi agir si les données des employés d’une entreprise ont été traitées illicitement par l’employeur.

Cette ouverture à plusieurs types d’acteurs (associations spécialisées, de consommateurs, syndicats) est intéressante, mais chacun est cantonné à agir dans le cadre de son objet ou de son public cible.

Quels manquements au droit des données personnelles sont couverts ?

Le fait générateur de cette action de groupe est très précisément défini. L’article 37 de la loi Informatique et Libertés vise un dommage ayant pour cause commune « un manquement de même nature aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 [RGPD] ou de la présente loi [Informatique et Libertés] ».

Uniquement les violations du RGPD et de la Loi Informatique et Libertés

L’action ne peut donc être fondée que sur la violation d’une ou plusieurs règles contenues dans ces deux textes fondamentaux de la protection des données personnelles. Cela couvre un très large éventail de manquements possibles :

  • Collecte de données sans base légale appropriée (absence de consentement valable, non-respect de l’intérêt légitime…).
  • Manquement à l’obligation d’information des personnes concernées.
  • Non-respect des droits des personnes (droit d’accès, de rectification, d’opposition, d’effacement…).
  • Violation des principes de minimisation des données, de limitation des finalités ou de durée de conservation.
  • Manquement aux obligations de sécurité ayant entraîné une fuite de données.
  • Transfert illégal de données hors de l’Union Européenne.
  • Non-respect des règles spécifiques aux données sensibles.
  • Etc.

En revanche, la formulation semble exclure les manquements à d’autres obligations, même si elles touchent aux données personnelles. Par exemple, la violation d’une clause contractuelle de confidentialité non directement liée à une obligation RGPD/LIL, ou la violation d’une règle issue d’un simple décret d’application (comme le décret n° 2019-536) pourraient, selon une interprétation stricte, ne pas ouvrir droit à l’action de groupe spécifique « données personnelles », même si elles causent un préjudice. Il faudrait alors envisager d’autres voies d’action.

« Cause commune » et « manquement de même nature »

Comme pour l’action environnementale, le texte exige que les dommages aient une « cause commune » résultant d’un « manquement de même nature ». Cela signifie que l’ensemble des victimes du groupe doit avoir subi un préjudice découlant du même type de violation des règles de protection des données par le même responsable ou sous-traitant. Par exemple, toutes les victimes d’une même fuite de données due à une faille de sécurité spécifique, ou toutes les personnes dont les données ont été utilisées pour une finalité non consentie dans le cadre d’une même campagne marketing.

Cela n’interdit pas nécessairement que le manquement se soit répété dans le temps, mais il doit être de « même nature » pour toutes les victimes incluses dans le groupe défini par le juge.

Quels préjudices peuvent être indemnisés ?

Initialement, lors de sa création en 2016, cette action de groupe ne permettait que de demander la cessation du manquement. La loi de 2018 relative à la protection des données personnelles a corrigé cela et ouvert la voie à la réparation des préjudices.

L’article 37, III de la loi Informatique et Libertés précise que l’action peut tendre « à engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis ».

  • Préjudices matériels ET moraux : C’est une différence notable avec l’action consommation (limitée au matériel) et l’action santé (limitée au corporel). Ici, les deux grandes catégories de préjudices sont explicitement visées :
    • Matériels : Il peut s’agir de pertes financières directes consécutives à la violation (par exemple, frais bancaires suite à une usurpation d’identité rendue possible par une fuite de données, coût d’un changement de numéro de téléphone si nécessaire…).
    • Moraux : C’est souvent le préjudice principal en matière de données personnelles. Il recouvre l’atteinte à la vie privée, le sentiment d’intrusion, l’anxiété générée par la perte de contrôle de ses données ou le risque d’utilisation malveillante, l’atteinte à la réputation… Le RGPD lui-même (article 82) reconnaît le droit à réparation pour tout dommage matériel ou moral subi du fait d’une violation du règlement.
  • Exclusion probable du dommage corporel : La formulation (« matériels et moraux ») suggère, par opposition à d’autres textes, que les dommages corporels qui pourraient découler (très indirectement) d’une violation de données ne sont pas couverts par cette action spécifique. Il faudrait alors se tourner vers d’autres fondements (action santé si un produit est en cause, ou action en responsabilité classique).
  • Préjudices individuels : Même si le texte ne le précise pas aussi clairement que pour l’action consommation, l’objectif reste bien la réparation des préjudices subis individuellement par chaque personne physique membre du groupe.

Comment se déroule la procédure ?

L’action de groupe « données personnelles » suit le cadre procédural commun défini par la loi J21 et le Code de procédure civile, mais avec quelques points importants :

  • Action en cessation possible : L’action peut toujours, comme à l’origine, viser à obtenir du juge qu’il ordonne au responsable ou au sous-traitant de cesser le manquement aux règles de protection des données (article 37, III loi Informatique et Libertés).
  • Mise en demeure préalable OBLIGATOIRE : Avant de saisir le tribunal pour une action en réparation ou en cessation, l’association ou le syndicat demandeur doit mettre en demeure le responsable/sous-traitant de cesser le manquement et/ou de réparer les préjudices. L’action en justice ne peut être introduite qu’à l’expiration d’un délai de 4 mois après réception de cette mise en demeure (article 64 loi J21). Le non-respect de cette étape entraîne l’irrecevabilité de l’action.
  • Procédure judiciaire : L’action est portée devant le Tribunal Judiciaire compétent (celui du lieu où demeure le défendeur).
  • Liquidation individuelle des préjudices : Le régime « droit commun J21 » s’applique, mais l’article 37 de la loi Informatique et Libertés renvoie explicitement à la procédure individuelle de réparation (articles 69 à 71 de la loi J21). Cela signifie que la procédure « collective » de liquidation (négociation globale par l’association) n’est pas applicable ici. Chaque victime devra faire valoir individuellement sa demande d’indemnisation auprès du responsable, puis éventuellement saisir le juge si l’indemnisation est refusée ou contestée (potentiellement via l’association mandatée).
  • Application différée dans le temps : Point très important : si l’action en cessation du manquement est possible depuis la loi J21 (pour les manquements postérieurs au 20 novembre 2016), l’action en réparation des préjudices n’est ouverte que pour les dommages dont le fait générateur (le manquement) est postérieur au 24 mai 2018 (article 37, III loi Informatique et Libertés). Cette date correspond à l’entrée en application effective du RGPD. Les préjudices causés par des manquements antérieurs ne peuvent donc pas être réparés via cette action de groupe.

La protection de vos données personnelles est un droit fondamental consacré par le RGPD et la loi Informatique et Libertés. Si vous suspectez qu’une entreprise ou une organisation a violé vos droits et ceux de nombreuses autres personnes (par exemple, suite à une communication de la CNIL ou à la révélation d’une fuite de données), l’action de groupe peut constituer un recours pour faire cesser l’illégalité et obtenir réparation. Contactez notre cabinet pour discuter de votre situation.

Sources

  • Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée, notamment son Article 37)
  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD)
  • Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle (Articles 60, 62 et s.)
  • Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
  • Code de procédure civile (Articles 849 et s.)
Avatar de Raphaël MORENON

Raphaël MORENON

Associé fondateur de notre société, Raphaël consacre la totalité de son activité au droit du crédit, au droit bancaire et aux procédures civiles d'exécution. Acteur de la formation professionnelle des avocats, il intervient auprès de plusieurs Ecoles des avocats et dispense de nombreuses formations de référence dans le domaine de la saisie immobilière.

Consulter ses publications

Vous souhaitez échanger ?

Notre équipe est à votre disposition et s’engage à vous répondre sous 24 à 48 heures.

07 45 89 90 90

Contact

Vous êtes avocat ?

Consultez notre offre éditoriale dédiée.

Dossiers

> La pratique de la saisie immobilière> Les axes de défense en matière de saisie immobilière

Formations professionnelles

> Catalogue> Programme

Poursuivre la lecture

fr_FRFR
en_GBEN fr_FRFR