[CR] Atelier européen sur la protection des données personnelles du 25 avril

Le 25 avril s’est tenu un atelier de la société civile européenne sur la réparation du préjudice résultant d’une atteinte au droit fondamental à la protection des données à caractère personnel. Cet atelier, organisé dans le cadre des Ateliers de l’avenir du numérique, s’inscrit également dans la démarche du projet de class-action E-Bastille.

Etaient présent.e.s à la réunion :

  • Lucien Castex, ISOC France, Université Sorbonne Nouvelle (France)
  • Gloria González Fuster, Vrije Universiteit Brussel (Belgique)
  • Karolina Iwańska, Fundacja Panoptykon (Pologne)
  • Nick McAleenan, Solicitor, JMW (UK)
  • Arthur Messaud, La Quadrature du Net (France)
  • Julien Rossi, Université de technologie de Compiègne (France)
  • Tim Walree, Radboud Universiteit (Pays-Bas)
  • David Martin BEUC, Bureau européen des unions de consommateurs (UE)
  • Alexis Fitzjean Ó Cobhthaigh, Avocat, Les exégètes amateurs (France)
  • Laura Vael, Avocat, Initiative eBastille (France)

Le­ règlement général sur la protection des données (RGPD), applicable à compter du 25 mai 2018, ouvre de nouvelles perspectives aux associations de défense des libertés numériques. Son article 80(1) leur permet en effet de représenter les personnes concernées devant les tribunaux contre les responsables de traitement qui ne respectent leurs droits à la protection des données. Outre demander la cessation du manquement, tel que l’arrêt d’un traitement de données personnelles illicite, dans certains Etats membres de l’Union européenne, il leur est également possible de demander la réparation du dommage subi.

Mais comment alors estimer le préjudice subi suite à la violation de ses droits à la protection des données ? Peut-on demander réparation du simple non-respect d’une règle du RGPD ? Ou bien faut-il démontrer que cette infraction a causé des dommages matériels ou immatériels ?

Il est déjà possible dans certains pays pour un individu de poursuivre en justice un organisme pour le non-respect du droit de la protection des données personnelles, et de demander la réparation du préjudice subi. Ainsi, en Autriche, une personne s’est vue accorder 750 € de dédommagement pour avoir été inscrite à tort dans un fichier tenu par un établissement d’évaluation de score de crédit. La CEDH, dans l’affaire Romet contre Pays-Bas, a accordé 9000 € d’indemnisation pour des dommages moraux infligés au requérant à cause du non-respect de son droit à la protection des données à caractère personnel. Dans d’autres cas, cette indemnisation peut être rejetée, ou bien réduite à l’euro symbolique.

Pour un.e citoyen.ne, demander la réparation du préjudice subi en matière de données personnelles devant un tribunal civil peut s’avérer une aventure d’autant plus coûteuse qu’incertaine. La possibilité d’une action de groupe sera de nature à faciliter l’accès des personnes concernées à la justice.

En Grande Bretagne, des salariés de la compagnie britannique Morrisons ont trouvé leurs données RH mises en ligne. Quelques 5000 d’entre eux ont mandaté l’avocat Nick McAleenan, présent lors de l’atelier, qui a présenté les détails de l’affaire. Une telle affaire pionnière en la matière devrait faire des émules avec les possibilités ouvertes par l’article 80 du RGPD.

Dans ce cadre, certains considèrent qu’une demande en réparation du préjudice ne soit pas souhaitable, car ce préjudice dépend de circonstances individuelles difficiles à prendre en compte dans un recours collectif. Dans ce cas, une demande d’injonction ordonnant la cessation du traitement déloyal de données personnelles assortie d’une astreinte est une piste étudiée par certaines associations comme la Quadrature du Net. D’autres voient au contraire dans la possibilité d’obtenir l’indemnisation du préjudice pour des milliers voire des millions de personnes concernées une arme de dissuasion massive au bénéfice des citoyens. Le projet le plus connu en la matière est celui de l’association NOYB de Max Schrems en Autriche. En France, l’initiative eBastille s’inscrit également dans cette approche de responsabilisation, propre au RGPD, et porte un effort de sensibilisation et d’éducation des usagers.

Les discussions riches qui ont eu lieu pendant l’atelier ont donné lieu à une première restitution lors de la table ronde organisée dans le cadre de la Trust & Privacy Night à Station F.


Documents – European Civil Society Workshop on the Compensation of Data Protection Harms took place in Paris, on April 25th, 2018.

In english

Policy Brief (in English)

Summary results (in English)