Action de groupe en matière de données personnelles : les employeurs doivent-ils s'en inquiéter ?

Action de groupe en matière de données personnelles : les employeurs doivent-ils s'en inquiéter ?

18.01.2017

Gestion du personnel

La loi de modernisation de la justice introduit dans le droit français une action de groupe en matière de données personnelles. Cécile Martin et Thibaud Lauxerois du cabinet d'avocats Proskauer analysent la portée de cette nouvelle disposition à l'égard des employeurs.

Créée par la loi pour la modernisation de la justice du 21e siècle du 18 novembre 2016, l’action de groupe en matière de données personnelles est presque passée inaperçue. Moins commentée que celle applicable en matière de discrimination ou celles déjà existantes relatives à la consommation (loi "Hamon" du 17 mars 2014) et à la santé (loi "Touraine" du 26 janvier 2016), elle étend pourtant ce nouveau type d’action a un champ du droit en pleine mutation.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

Ainsi, le nouvel article 43 ter de la loi Informatique et Liberté du 6 janvier 1978 prévoit que : "lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente".

Concrètement, que cela signifie-t-il pour les employeurs ?

Dans le cadre de leurs fonctions, que ce soient les bases de données relatives à la gestion des ressources humaines, à la paie, à l’accès aux locaux, aux systèmes d’alerte éthique, ou à la vidéo-surveillance, les employeurs peuvent être amenés à collecter et traiter de nombreuses données personnelles relatives à leurs salariés (nom, prénom, domicile, emploi occupé, numéro de compte bancaire, faits reprochés, déplacements dans l’entreprise…).

Ils sont donc considérés par la loi Informatique et Libertés comme des responsables de traitement et par voie de conséquence, sont concernés par cette nouvelle action de groupe.

Cette action judiciaire peut être exercée à leur encontre par des associations se consacrant à la protection de la vie privée et des données personnelles, des associations de défense des consommateurs, mais aussi par des organisations syndicales représentatives.

Cela signifie donc que les salariés ne peuvent pas directement exercer une telle action à l’encontre de leur employeur et sont dans l’obligation de passer par des tiers, tels que les organisations syndicales, afin par exemple de se plaindre d’une mauvaise utilisation ou gestion de leurs données personnelles par l’employeur. Concrètement, une telle action pourrait être exercée par un syndicat afin par exemple de faire cesser la détention par l’employeur de données relatives à un système de vidéo-surveillance pendant plus d’un mois.

Pour autant, l’on peut douter de l’efficacité et de l’utilité de ce nouveau moyen de droit pour plusieurs raisons :

► Tout d’abord, l’action de groupe répond à un formalisme préalable obligatoire assez long.

Ainsi, l’action judiciaire est précédée, sous peine d’irrecevabilité, d’une mise en demeure adressée à l’employeur. Un délai de quatre mois à compter de la réception de cette mise en demeure se déclenche et permet au responsable de traitement mis en cause de corriger le manquement qui lui est reproché. Ce n’est qu’à l’issue de ce délai, et donc si rien n’a été fait par l’employeur, que l’association ou le syndicat peut introduire une action de groupe en justice.

Or, les salariés disposent déjà de la possibilité de saisir directement la Commission Nationale de l’Informatique et des Libertés (Cnnil) en cas de manquement à la loi Informatique et Libertés, laquelle agit généralement dans un délai plus rapide que les 4 mois prévus pour l’action de groupe.

► Ensuite, l’action groupe "tend exclusivement à la cessation" du manquement.

Le pouvoir du juge est donc limité à celui d’enjoindre au défendeur de cesser ou de faire cesser le manquement établi, et de prendre toutes les mesures utiles à cette fin dans un délai imparti par le juge. Dans ce cadre, le juge peut désigner un tiers pour assister l’employeur dans la cessation du manquement.

L’employeur peut donc se faire enjoindre de faire cesser ledit manquement sous astreinte, mais l’action n’a pas vocation à indemniser les salariés pour le préjudice subi.

Il s’agit là de la grande faiblesse du nouveau texte.

D’ailleurs, en matière de consommation, alors même que l’action de groupe donne lieu à la réparation des « petits préjudices », les premiers bilans sont très mitigés. Neuf actions seulement ont été introduites entre octobre 2014 et décembre 2016 (*), et seule une a été couronnée de succès. Ce manque d’intérêt pratique pour l’action de groupe risque de se réitérer en matière de données personnelles et il est peu probable les associations et syndicats se précipitent pour exercer une action qui n’aurait aucun effet réparateur.

L’intérêt de l’article 43 ter de la loi Informatique et Libertés est d’autant plus incertain pour les organisations syndicales que celles-ci peuvent depuis longtemps, "exercer tous les droits réservés à la partie civile concernant les faits portant un préjudice direct ou indirect à l'intérêt collectif de la profession qu'ils représentent" (article L.2132-3 du code du travail), ce qui inclut la protection des données à caractère personnel des salariés (arrêt du 9 février 2016).

Il ne semble donc pas que les relations sociales puissent être profondément impactées par cette nouveauté.

Néanmoins, ce statu quo pourrait être remis en cause par l’entrée en vigueur à venir en mai 2018 du Règlement général sur la protection des données, qui propose en son article 80 une autre déclinaison de l’action de groupe en mati��re de données personnelles, laquelle aura la vertu d’accorder aux victimes une possibilité de réparation effective du dommage subi.

 

(*) Source : ministère de l’économie, http://www.economie.gouv.fr/cedef/action-de-groupe

Cécile Martin et Thibaud Lauxerois
Vous aimerez aussi