La loi du 17 mars 2014 relative à la consommation dite « loi Hamon » introduit l’action de groupe en droit français. Cette action, validée par le Conseil constitutionnel, est réservée aux associations de défense des consommateurs agréées qui ne pourront agir qu’en vue d’obtenir « la réparation des préjudices patrimoniaux résultant des dommages matériels subis par les consommateurs » fondée sur un manquement au droit de la consommation et au droit des pratiques anticoncurrentielles. Le décret d’application précisant les modalités d’introduction de l’action de groupe est à venir.

Cet article a pour objet de s’interroger sur l’éventualité d’une action de groupe contre un responsable de traitement fondée sur une faille de sécurité. La faille de sécurité peut consister en une violation des données personnelles au sens de l’article 34 bis de la loi «Informatique et Libertés ».  Cette question se pose notamment parce que des failles de sécurité ont été révélées et qu’elles impliquent potentiellement un grand nombre de consommateurs (800 000 clients par exemple pour la faille de sécurité affectant les données traitées par un opérateur historique de téléphonie). Elle peut également consister en une violation des mesures de sécurité mises en oeuvre par un responsable de traitement, en application de l’article 34 de la loi «Informatique et Libertés »,  occasionnant la divulgation de données personnelles.

Qu’est-ce qu’une violation de données personnelles ?

Une violation de données personnelles, au sens de l’article 34 bis de la loi, est caractérisée par « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques » (intrusion dans les bases de données d’un fournisseur d’accès, faille sur un site d’un opérateur mobile par exemple).

Elle doit être notifiée à la Cnil voire aux personnes concernées. Cette obligation pèse sur les seuls fournisseurs de services de communications électroniques c’est-à-dire sur les opérateurs déclarés à l’Autorité de régulation des communications électroniques et des postes (ARCEP) en vertu de l’article L.33-1 du Code des postes et des communications électroniques. Les conditions de mises en oeuvre de cette obligation ont été précisées par un décret du 30 mars 2012 et un règlement européen du 24 juin 2013.

L’action de groupe fondée sur une faille de sécurité : l’exemple américain

Les « class action » fondées sur une faille de sécurité (« data breach ») se multiplient outre-Atlantique depuis quelques années. Certaines des actions menées aboutissent, d’autres se concluent par des transactions d’autres encore sont rejetées. Les juges fondent leurs décisions sur l’existence ou non d’un dommage subi par les plaignants consécutif à la fuite de leurs données personnelles. Par exemple, le vol d’un ordinateur contenant les données personnelles de salariés créait, selon le juge, une menace crédible de préjudice et ainsi suffisait à accueillir l’action des salariés (Krottner v. Starbucks Corp., Dec. 14, 2010). En revanche,  l’action de groupe des citoyens de l’Etat de Californie a pu être rejetée par un juge à défaut de démonstration par les plaignants de ce que la perte des données alléguée leur avait causé un préjudice, menaçait de leur causer un préjudice ou qu’un tiers avait eu accès à leurs données personnelles (Whitaker v. Health Net of California,  Jan. 19, 2012).

Toutefois, une décision singulière est à noter. En effet, le 28 février 2014, un juge de l’Etat de Floride a validé l’accord, conclu entre une compagnie d’assurance maladie et des clients, qui prévoyait une indemnisation de ces derniers à auteurs de 3 millions de dollars (Curry and Moore v. AVMED Inc., Feb. 28, 2014). En l’espèce, en 2009, deux ordinateurs portables non protégés avaient été volés à la société donnant ainsi accès aux noms, au numéro de sécurité social et aux données de santé concernant près de 1,2 millions de clients. Une « class action » avait alors été introduite en 2010 sur le fondement de la violation par la compagnie d’assurance des règles spécifiques de l’Etat de Floride sur la protection des données de santé après qu’un plaignant ait découvert qu’un compte bancaire avait été ouvert et une carte bancaire émise sous son nom et que son adresse avait été modifiée. Cette décision est singulière car certaines parties à l’action de groupe, qui n’avaient subi aucune usurpation d’identité et qu’ils ne pouvaient justifier d’aucun préjudice, pourront bénéficier d’une part des fonds alloués.

Les failles de sécurité : un fondement à l’action de groupe à la française ?

L’action de groupe fondée sur la violation des données personnelles au sens de la loi «Informatique et Libertés ». Comme indiqué, la notion de violation de données personnelles et l’obligation de notification qui en découle sont limitées aux opérateurs fournissant un ou plusieurs services de communication électroniques. Par conséquent, si une action de groupe est introduite par une association de défense des consommateurs sur ce fondement, elle ne pourra viser que ces opérateurs à l’exclusion des autres.

Ensuite, il faudrait démontrer que les consommateurs subissent un préjudice dont la cause est un manquement, de l’opérateur mis en cause, à ses obligations légales ou contractuelles dans le cadre d’un contrat de vente ou de fourniture de services ou que le préjudice résulte d’une pratique anticoncurrentielle. Or, dans le cadre d’un contrat de téléphonie mobile, contrat de fourniture de service, l’opérateur a une obligation légale de notifier une violation de données personnelles  à la Cnil « sans délai » et aux abonnés dont les données sont susceptibles d’être affectées par la faille de sécurité. Par suite, manquerait à son obligation l’opérateur dont la notification pourrait être jugée tardive ou qui n’exécuterait pas cette obligation. Les consommateurs devraient alors faire la preuve d’un préjudice résultant de l’absence de notification ou d’une notification tardive.

L’action de groupe fondée sur un manquement à l’obligation de sécurité au sens de la loi «Informatique et Libertés ». L’obligation de sécurité au sens de l’article 34 de la loi impose au responsable de traitement « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » indépendamment de l’existence de tout lien contractuel avec la personne dont les données sont collectées. Or, l’action de groupe telle que définie dans le Code de la consommation requiert précisément un tel lien contractuel (vente ou fourniture de services).

L’éventualité d’une action de groupe sur le fondement des failles de sécurité semble se heurter à la définition de l’action de groupe en droit français.