European Union Data Transfer Mechanisms PDF
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document discusses various mechanisms for transferring data within the European Union. It covers clauses contractuelles types (CCTs), detailing the history and evolution of these mechanisms. It also examines important legal considerations.
Full Transcript
3- L’état de droit, les droits de l’homme, la sécurité / la défense / le droit pénal, l’avis aux autorités publiques aux données a caractère personnel, la jurisprudence, etc. La commission prend un acte d’exécution qui conférera l’adéquation au pays concerné. La commission peut reprendre cette décis...
3- L’état de droit, les droits de l’homme, la sécurité / la défense / le droit pénal, l’avis aux autorités publiques aux données a caractère personnel, la jurisprudence, etc. La commission prend un acte d’exécution qui conférera l’adéquation au pays concerné. La commission peut reprendre cette décision d’adéquation. La commission est censée examiner en permanence les différents critères. Les pays bénéficiant de cette décision d’adéquation : - Corée du sud - Malte - Japon - Jersey - Nouvelle Zélande - Suisse - RU - Uruguay - Etc. Le retrait d'une décision d’adéquation ne procure pas d’effets rétroactifs. Si la décision disparait, les transferts peuvent subsister sur un autre fondement. Si la décision d’adéquation ne prospère pas, utilisation d’autres mécanismes. Section 2: L’existence de garanties appropriées I/ Les mécanismes mineurs Les USA ne bénéficient plus de cette décision d’adéquation. La CJUE a annulé deux fois cette décision de la commission. La première a été annulée le 6 octobre 2015 par l’arrêt Schems I. Puis deuxième décision d’adéquation, encore annulée et déclarée illégal par la CJUE dans un arrêt du 16 juillet 2020, Schems II. Cette décision a modifié la manière d’apprécier les garanties appropriées. 58 La plupart des mécanismes sont présentées à l’art. 46 §2 RGPD. 1- « Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle : a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics; Etc. 2- « Des clauses contractuelles entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données à caractère personnel dans le pays tiers ou l’organisation internationale ». C’est un arrangement ad hoc. 3- « des dispositions à intégrer dans des arrangements administratifs entre les autorités publiques ou les organismes publics qui prévoient des droits opposables et effectifs pour les personnes concernées ». L’AMF a conclu de tels arrangements validés par la CNIL. II/ Les mécanismes majeurs A) Les clauses contractuelles Plutôt que de perdre son temps a utiliser les mécanismes vus plus haut, autant prendre un arrangement standard adopté par la commission européenne qui est considéré comme une garantie appropriée pour les transferts de données. Autrement dit, on insère des clauses dans un contrat. Il existe deux types de clauses contractuelles types (CCT) : - Les clauses contractuelles adoptées par la commission européenne (les plus importantes) ; - Les clauses contractuelles types adoptées par les autorités de protection des données locales adoptées par la commission. Il existe des CCT qui divergent par matières. Il y a des CCT adoptées pour encadrer les transferts internationaux. Aussi, des CCT peuvent être prises pour encadrer la relation entre un sous-traitant et un RT indépendamment de tout transfert de données à l’étranger. 1. L’histoire des CCT Ce mécanisme date de l’ère pré RGPD sous la directive de 1995. Les premières clauses dataient du 15 juin 2001 d’un RT de l’UE vers un RT dans un pays tiers. Puis, en décembre 2001, publication d’une CCT d’un RT de l’UE vers un sous traitant dans un pays tiers. Puis, CCT du 27 décembre 2004 et ces clauses étaient alternatives a celles du 15 juin 2001. En 2010, le 10 février, nouvelle CCT pour régir l’hypothèse de transfert d’un RT de l’UE vers un pays tiers. En 2016, la commission a pris une décision d’exécution qu’elle a du prendre après Schems I. Dans Schems I la CJUE retient que la commission n’avait pas le pouvoir de restreindre le pouvoir des autorités de 59 protection des données, de rechercher si la décision d’adéquation était bien compatible du point de vue de la protection des données. En revanche, l’autorité de contrôle peut enquêter. Donc, la commission a du amender ces CCT pour supprimer ces restrictions qu’elle avait exprimé dans ces CCT. La décision Schems II a considéré qu’en l’absence d’une décision d’adéquation, les CCT, bien que valides au terme des normes posées par le RGPD, étaient sûrement insuffisantes pour assurer les garanties attendues par le RGPD. Donc si dans un pays il y a une menace il faudra prendre des mesures additionnelles à ces CCT pour parvenir à cette protection. 2. Les CCTs du 21 juin 2021 La commission européenne a tenté une approche différente. Il en existait des différentes selon leur nature. Avant, ces CCT ne couvraient que ces deux hypothèses. Alors, la commission européenne a adopté des CCT qui se présentent sous la forme modulaire. Il y a un jeu de CCT avec un menu de clause à l’intérieur. Dorénavant, il y a aussi l’hypothèse des transferts entre sous traitants (l’un dans l’UE vers un sous traitants de pays tiers). L’exportateur de données doit garantir que l’importateur est capable de garantir les CCT et la protection de données au regard des pratiques du pays de destination. Des garanties additionnelles vont venir sécuriser l’application des CCT. L’adoption de CCT ne va pas entraîner la conformité. Il faut réaliser ces CCT et le RT (le sous traitant qui exploite les données) devra appliquer ces CCT. Comment déterminer si le RT doit faire des mesures additionnels pour faire le transfert de données ? Nouvelles lignes directrices pour éclairer les RT sur les garanties additionnelles qu’il convient de prendre. Ces lignes directrices contiennent une annexe 3 qui donne une liste des sources d’informations qu’il faut prendre en compte pour déterminer si le pays destination présente des dangers ou pas. L’annexe 2 présente des sources : - Résolution et rapports intergouvernemental (comme l’ONU) ; - Rapports et analyses des réseaux compétents ; - La jurisprudence / décisions nationales ; - Les mandats canaris (warrant canary). Aussi, il va falloir « adopter des mesures supplémentaires ». Le CEDP suggère qu’il faudrait prendre des mesures techniques pour empêcher les autorités d’identifier les personnes concernées. Pour cela, suggestion du CEPD : 1- Limiter les transferts aux seules fins de stockage des données. 2- Les données pseudonymisées : séparation des données sur la personne et des données sur l’identification de la personne. 60 3- Le traitement dit « fractionné » de données. Cela consiste a diviser les données qui doivent être traitées et d’envoyer ces morceaux de données a différents RT dans différents pays. Donc, on ne peut pas identifier la personne mais peut travailler. Les mesures contractuelles additionnelles : devront être supplémentaires à celles qui existaient déjà dans les CCTs. - Obligation faite à l’importateur de données d’énumérer lui même les lois et pratiques de son pays. Obligation de l’importateur lui-même d’énumérer spécifiquement les lois et pratiques de son pays qui permettraient l’accès aux autorités publiques (pour cstt le + éclairé possible - Obligation de l’importateur de certifier qu’il n’a pas créé de portes dérobées ou apporté de modifications qui faciliteraient l’accès d’une autorité publique aux données. - Obligation de l’exportateur de notifier son incapacité à se conformer à sa situation compte tenu d’un changement de situation. Les mesures organisationnelles : L’idée est de mettre en place des procédures pour canaliser la demande potentielles des organisations gouvernementales. Ex : adopter des voies hiérarchiques claires, développer des procédures de formation spécifiques pour le personnel, documenter et enregistre les demandes d’accès, adopter des meilleures normes et pratiques promus par les OI ou l’UE. La décision Schrems 2 a jeté un pavé dans la marre. Complexité des mesures sup B) Les règles d’entreprise contraignantes On les trouve dans la pratique souvent nommées suivant leur dénomination anglais « BCR » : « banding corporate rules ». Comme les clauses contractuelles types, c’est un mécanisme antérieur au RGPD, directive de 95, mais c’est l’ancêtre du RGPD, G29 qui avait suggéré que ça pouvait un moyen d’assurer la sécurité des données importées a l’étranger. Article 4.20 RGPD « les règles internes relatives a la protection des données (...) au sein d’un groupe d’entreprises ou d’un groupe d’entreprises engagées dans une activité économique conjointe. Ce mécanisme a été conçu au regard des groupes d’entreprises établis dans plusieurs pays. Certains sur les territoires d’états membres, et d’autres, qui vont recevoir les données, dans un ou plusieurs pays tiers. Danone a sa maison française, et des filiales dans le monde entier. Le principe c’est de dire pourquoi pas des règles intra-groupes pour gérer des données, sorte de VPN pour traiter les données en circuit fermé au sein de l’entreprise, et voici les règles que l’on va appliquer. → Un ensemble de règles internes de protection des données pour un groupe pour la libre circulation des informations entre l’Europe et les entités du groupe situées en dehors de l’Europe. Ce mécanisme peut aussi être utilisé au sein de ce groupe d’entreprise pour créer une sorte de charte de conformité interne au RGPD. Entreprise tellement grande, on a créé des règles d’entreprise contraignante car tout le monde dans l’entreprise aura le même référentiel pour traiter les données. 61 → Peut également être utilisé comme un mécanisme de conformité interne au RGPD (indépendamment d’un transfert international). La procédure : création d’un projet de BCR par le groupe puis transfert a l’autorité de protection des données (APD) compétente. Cette APD va donner son vis, suggérer des modification, puis ensuite au reste des APD, et enfin au CEPD. On fait toute la hiérarchie des gens importants dans le contrôle de l’opportunité et de la validité de ces règles contraignantes. Ce n’est que la que la CNIl pourra valider les règles d’entreprise contraignantes. 2 ans se seront écoulés environ. Pour créer des règles d’entreprises contraignantes aujourd’hui on peut s’appuyer sur des lignes directrices du G29 qui résultent des BCR-C (responsable de traitement) et BCR-P (sous traitant). Et donc finalement quelles sont les conditions de validité, pour que des BCR soient valables ? Il y a plusieurs critères requis pour l’approbation : - Les BCR doivent être conçues comme contraignantes ; - Ils doivent être appliquée par toutes les entités concernées par le groupe ; - Ils doivent donner expressément des droits aux personnes concernées (prévoir tous les droits articles 15 et suivants du RGPD, et prévoir comment la personne concernée peut les mettre en oeuvre) ; - Il y a un contenu minimal a respecter, spécifié a l’article 47 § 2 RGPD (Il faut prévoir l’application de l’ensemble des principes généraux du RGPD / préciser tous les transferts internationaux a effectuer/ contenir l’acceptation par l’entité importatrice de sa responsabilité en cas d’infraction/ doit aussi y avoir des procédures de plaintes/ les BCR devront aussi contenir les procédure de vérification de la conformité/ on doit notifier l’autorité de contrôle européenne si on a des doutes sur la comptabilité d’un droit étranger avec le respect de la protection des données). L’arrêt Schrems II ne reste pas sans conséquence: des Règles d’Entreprises Contraignantes existantes doivent être relues à la lumière de Schrems II et être complétées si nécessaire. Actuellement sont dotés de BCR : Intel, HP, Ebay, Philips... C) Les codes de conduite Les codes de conduite c’est le dernier gros outil de type garanties appropriées qui peut être mobilisé. Les codes de conduite ont un point commun avec les certification: mécanisme qui a la base est conçu pour montrer sa conformité au RGPD. C’est pour montrer qu’on respecte le RGPD dans un champ déterminé. → Les codes de conduite « standard » visent a démontrer la conformité au RGPD. Ils sont des guides avancés et détaillés de mise en oeuvre du RGPD, spécifiques a des secteurs particuliers.C’est ce qui a été fait avec le projet CISPE cloud, code de conduite pour les cloud service providers « comment appliquer le RGPD dans ce champ d’activité très précis, très technique ». 62 Une fois que le code de conduite est approuvé il a le mérite d’exister. Ce n’est pas comme un code de loi, ça on l’adopte, il existe, mais n’est pas directement contraignant si on entre dans son champ d’activité. Ça ne s’applique pas directement a nous, il faut qu’on décide de s’y soumettre, y adhérer. L’adoption d’un code par une APD ou l’EDPB ne rend pas le code contraignant dans le secteur couvert par le code. Cependant, il devient obligatoire pour toute entreprise qui décide de s’y conformer. Le RGPD prévoit que les codes de conduire peuvent également être utilisés comme un mécanisme de garanties appropriées. Nous avons maintenant des lignes directrices 04/2021 sur les codes de conduite en tant qu’outils pour les transferts (2022). « selon le CEPD ». Les Codes sont destinés a être respectés par les importateurs de données. Les exportateur de données peuvent néanmoins les utiliser comme guide de bonnes pratiques sans y adhérer. Les importateurs et exportateurs, surtout l’importateur qui doit s’engager a respecter le code,. Ils sont tenus tous deux par les contrats de s’engager de manière contraignante a appliquer les mesures prévues par le code. Ces mesures de sauvegarde vont requérir qu’ils collaborent. Le RGPD prévoit que les codes de conduite peuvent également être utilisés comme un mécanisme de garanties appropriées : - Les lignes directives contiennent une liste de contrôle des éléments prévisibles qui sont nécessaires pour obtenir un transfert international,... plus des éléments « originaux » tels que - L’existence d’un programme de formation approprié pour mettre en oeuvre le code ; - La gestion des conséquences du retrait d’un membre du code ; - Il faut trouver « la garantie qu’au moment de l’adhésion au code, le responsable de traitement/ traitement du pays tiers n’a aucune raison de croire que les lois applicables au traitement des données a caractère personnel dans le pays tiers de transfert l’empêchent de remplir ses obligations en vertu du code et de mettre en oeuvre, le cas échéant, avec l’exportateur, des meures supplémentaires pour assurer le niveau de protection requis par le droit de l’EEE ». Pour adhérer a un code de conduite, la on peut simplement être purement Sud Américain et adhérer a un code de conduite, pas besoin d’avoir une entité en Europe (différence avec les règles d’entreprises contraignantes). La différence avec les clauses c’est que la on a fait une situation générale avec les codes de conduite, peuvent envisager + de situations dans un secteur donné. D) Les certifications Mécanismes majeurs en devenir. C’est un mécanisme de protection des données transférées a l’étranger qui était quelque peu flou. Pourquoi ? Les certifications sont un mécanisme introduit par le RGPD. Donc on n’a aucun recul. La 63 deuxième raison pour laquelle c’était brumeux, c’est que s’ils sont cités comme des moyens d’encadrer les transferts, leur vocation principale est avant tout de démontrer la conformité des traitements réalisés par quelqu’un au RGPD, indépendamment des transferts a l’étranger. De plus, c’est peu utilisé, même dans cette dernière fonction. A la base, les certifications « standard » visent a démontrer la conformité au RGPD sur des traitements particuliers. Par exemple, démontre qu’un produit, un service, un processus, ou un système de données a été évalué comme étant conforme aux critères d’une norme préétablie. Il va exister une certification qui se propose de certifier les gens qui en font de profession la signature électronique par exemple. Ces normes sont spécialisées, si l’entreprise a cette certification, elle peut présenter cela comme une garantie, on peut avoir « confiance en elle ». Il faut que le référentiel de certification existe en premier lieu. Très peu existe. Un exemple réel c’est Age Check, certification Scheme. C’est un mécanisme de certification. Un référentiel de bonne pratique a été créé. Donc les critères de la norme qui va certifier ont d’abord été approuvé par une APD ou directement par le CEPD. Donc pour certifier quelqu’un, il faut que la norme existe d’abord. C’est l’APD ou le CEPD qui vont approuver les « questions ». Elles seront créées par une société qui veut faire profession de faire passer des normes aux autres qui vont suggérer le questionnaire. Ensuite, c’est ce certificateur qui va faire passer ces certifications (business). Ce certificateur devra aussi avoir été approuvé par une APD. Les gens se certifient entre eux. Comment, qui va proposer une norme de certification pour les transferts internationaux des données? Le CEPD a lancé récemment en 2022 une consultation sur un projet de lignes directives pour les certifications utilisées comme outil de garantie appropriée. En 2018 on avait déjà des lignes directives sur la certification. Bien que la personne chargée d’obtenir la certification soit l’importateur, c’est l’exportateur de données qui reste le principal responsable de la non-conformité aux exigences du RGPD. Si le sous traitant américain a obtenu le badge de transfert des données, on pourrait penser que c’est sa responsabilité, mais non c’est le responsable de traitement qui est responsable de la sécurité des données. Les critères de certification comprennent des exigences relatives à l’évaluation du cadre juridique pertinent du pays tiers. Ça complique les choses, on aurait pu penser qu’un mécanisme de certification fonctionnerait pour tout le monde mais non, le degré de sécurité pour envoyer des données aux EU, ne sera pas les memes que pour envoyer a un autre pays du point de vue de la sécurité d’accès des autorités publiques. La plupart des critères a certifier sont a peu près les memes que ces que l’on trouve exigées pour les CTTs.. (mécanisme de recours, mécanismes de protection additionnel etc... tout l’attirail nécessaire pour satisfaire a l’idée général que des fait le RGPD d’un transfert de données à l’étranger). L’exportateur et l’importateur de données doivent conclure un accord par lequel ils s’engagent contractuellement a appliquer, respecter les garanties appropriées prévues par le mécanisme de certification. 64 Finalement, le mécanisme de certification est un moyen pour l’importateur de données de prendre les choses en main. Vendeur de dire aux clients « regardez je suis certifié », c’est pour inspirer la confiance vis a vis des personnes dont on va traiter les données. Section 3 : Dérogations pour situations particulières Le RGPD prévoit une 3eme situation, ou on ne peut ne se prévaloir d’une décision d’adéquation ni d’une garantie. L’article 49 essaie de faire un compromis entre les exigences du RGPD, et la réalité. On ne peut pas toujours déployer tous les mécanismes du RGPD qui requiert une certaine taille, avec des spécialistes etc... Ce réalisme c’est celui de l’article 49, qui a l’air très accommodant, c’est un souci, et forcement pour une autorité de contrôle ça ne fait pas rire du tout, elle ne veut pas que les gens pensent que article 49 donc on ne met pas en oeuvre les autres mécanismes. Il suffit de voir les fondements de l’article 49 pour ces transferts : La volonté de préserver le droit des personnes concernées lorsque leurs données sont transférées a l’étranger et des procurations pratique de commodité et de contrôle de la réalité dans certaines situations... → Des fondements accommodants : • consentement de la personne concernée « après avoir été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de décision d’adéquation et de garanties appropriées ». • Nécessité pour l’exécution d’un contrat ou d’une mesure pré-contractuelle demandée par la personne concernée • Nécessite pour la conclusion ou l’exécution d’un contrat conclu dans l’intérêt de la personne concernée entre le responsable du traitement et une autre personne physique ou morale • Nécessite pour des motifs importants d’intérêt public • Nécessite pour la constatation, l’exercice, ou la défense de droits en justice • Nécessité pour la sauvegarde des intérêts vitaux de la personne concernée ou d’autres personnes, lorsque la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement. • Transfert effectué a partir d’un registre destiné a fournir des informations au public. Le CEPD a mobilisé toutes les ressources pour réduire au max le champ de l’application de l’article 49. → Tout ça c’est dérogation pour situation particulière. Il faut donc définir avant ça une situation particulière. → Ensuite, le considérant 111 utilise le mot « occasionnel » pour décrire certains cas de l’article 49. → La dérogation finale de l’article 49.1 exige des interêts légitimes impérieux. 65 L’article 49.1 ne peut être utilisé que pour des transferts occasionnels et non répétitif. C’est l’interprétation qu’en donne le CEPD, qui s’impose tant que la cour de justice n’aura pas statué elle même, et puis elle n’aura surement pas une interprétation plus ouverte. De plus, il faut que ce soit lu en conjonction avec le principe de nécessité, qui est nécessaire pour chaque cas dans les lignes directives. Le deuxième § de l’article 49 prévoit la dérogation ultime : « Lorsqu'un transfert ne peut pas être fondé sur une disposition de l'article 45 ou 46, y compris les dispositions relatives aux règles d'entreprise contraignantes, et qu'aucune des dérogations pour des situations particulières visées au premier alinéa du présent paragraphe n'est applicable, un transfert vers un pays tiers ou à une organisation internationale ne peut avoir lieu que si ce transfert ne revêt pas de caractère répétitif, ne touche qu'un nombre limité de personnes concernées, est nécessaire aux fins des intérêts légitimes impérieux poursuivis par le responsable du traitement sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personne concernée, et si le responsable du traitement a évalué toutes les circonstances entourant le transfert de données et a offert, sur la base de cette évaluation, des garanties appropriées en ce qui concerne la protection des données à caractère personnel. Le responsable du traitement informe l'autorité de contrôle du transfert. Outre qu'il fournit les informations visées aux articles 13 et 14, le responsable du traitement informe la personne concernée du transfert et des intérêts légitimes impérieux qu'il poursuit. » Pour réunir toutes ces conditions il faut vrmt le vouloir, prouver que aucun des autres cas, internet légitime impérieux, pas respectif, ne touche que peu de personne, qu’on va revenir la personne concernée, qu’on va lui expliquer etc... Le CEPD exige que le responsable de traitement démontre sérieusement qu’aucune des autres options n’était réalisable, insiste sur le caractère de l’intérêt impérieux, et informe l’autorité du contrôle du transfert. 66 Chapitre 5 : Quelques aspects contentieux du RGPD I. Considérations générales sur le contentieux RGPD A) Les actions prévues par le RGPD Le RGPD prévoit 3 catégories d’action: L’article 77 : droit d’introduire une réclamation auprès d’une autorité de contrôle, si traitement de données a caractère personnel en violation du règlement. L’article 78 : droit de former un recours juridictionnel effectif contre une autorité de contrôle (c’est si on est le responsable de traitement, art. 78.1 : remise en cause d’une décision juridiquement contraignante de l’autorité de contrôle ; art. 78.2 : absence de traitement diligent de la réclamation qui a été faite a l’autorité de contrôle, qui a engagée sa responsabilité en ne répondant pas aux requêtes des personnes concernées). L’article 79 : le droit de former un recours juridictionnel effectif contre un responsable de traitement ou un sous-traitant si droits violés par un traitement de DCP en violation du règlement. Ça n’arrive pas souvent en France, on va voir la CNIL généralement. Mais pourtant on peut faire ça pour avoir une mesure restaurative. La CNIL ne peut pas prononcer des D&I. On doit aller devant un juge si on veut des D&I. Avec cet article 79 vient l'article 82 qui réaffirme et détaille le droit a réparation conte le responsable de traitement ou le sous traitant. B) Les personnes susceptibles de mener ces actions A c ti o n Manda collective t ? possible Titulaire Articl Action e ? Oui(art Oui(ar Personne . 80.2) t . 80.1) concernée 77 Introduire une réclamation auprès d’une autorité de contrôle si traitement de données à caractère personnel en violation du règlement Oui(art Oui(ar Personne 78 Former un recours juridictionnel effectif contre . 80.2) t . 80.1) concernée une autorité de contrôle Personne Remise en cause d’une décision juridiquement p h ysiqueo contraignante de l’autorité de contrôle u morale Absence de traitement diligent de la réclamation qui lui a été faite Oui(art Oui(ar Personne . 80.2) t . 80.1) concernée 79 Former un recours juridictionnel effectif contre un RT ou un ST si droits violés par un traitement de DCP en violation du règlement Toute personne 82 Réaffirme et détaille droit à réparation contre RT ou ST La possibilité de mandat = la personne concernée a le droit de mandater un organisme, une organisation, une association à but non lucratif pour qu’il introduise une action en son nom, exerce en son nom les droits 67 visés et exerce en son nom le droit d’obtenir réparation. Il doit y avoir une démarche active pour bénéficier d’un tel mandat (ce qui n’est pas le cas en pratique). Exemple d’une action de La Quadrature du net contre Amazon qui invite toute personne résidant en France à lui donner un mandat pour agir contre Amazon. Elle a récolté environ 10 000 mandats d’agir. Les termes semblent indiquer que le mandataire ne peut être qu’une personne morale. L’action collective = initiée par un organisme sans qu’on lui ait demandé quoique ce soit, sans mandat : il le fait quand même « au nom » d’autres personnes, dans l’intérêt d’autres personnes. L’article 80.2 dispose que les Etats membres « peuvent prévoir » : l’existence d’une action de groupe ne peut être que nationale et dépendante de la volonté des législateurs européens. L’action de groupe est optionnelle. Le droit français reconnait cette action de groupe. C) L’action de groupe en droit français De plus, une action collective peut être intentée. C’est en d’autres termes une action de groupe. (Class action aux EU). Pour les 3 types d’actions visées, ça peut être intenté. C’est une action ou on ne démarre pas par un mandat, par une personne concernée qui va dire représentez moi. On est dans le cadre d’un organisme qui lui même constatant que des gens subissent de manière générique tel type de dommage, prenne la décision d’initier seul une action de groupe. Je commence a agir contre Google au titre de ce que je sais qu’il cause des dommages a pleins de personnes, je vais devant le juge, je présente des cas. Et la le juge, va regarder ces used case, et va définir des cases. Ces gens rentrant dans ces cases, ils ont le droit a 100 € de réparation pour cette violation. C’est la qu’une fois que le juge a dit ça, l’organisme qui a agit dit « venez rejoindre l’action de groupe, car je prends les choses en charge et vous allez toucher indemnisation ». Ces personnes vont se joindre a l’action en cours de route pour toucher le bénéfice en DI qui aurait été reconnu par le juge. La spécificité de l’action de groupe en droit français n’est reconnu que dans le 3eme cas. Il n’existe que des actions de groupe que pour les actions de l’article 79. Pas possible pour les articles 77 ou 78, car le RGPD ne fait que prévoir des possibilités d’action de groupe. Donc on aurait pu, mais le droit francisas la loi informatique et liberté n’ouvre que l’article 79, qui est l’action en responsabilité contre un responsable de traitement ou sous traitant. 68
