Des développements récents laissent penser que les actions collectives en matière de protection des données gagnent en popularité dans l’UE, à l’image de leur essor déjà bien établi ailleurs dans le monde. Une action collective est un mécanisme procédural qui permet à un groupe de personnes, physiques ou morales, d’intenter une action conjointe pour faire valoir des demandes similaires. Dans l’UE, ces procédures restent relativement rares, surtout en comparaison avec leur usage généralisé aux États-Unis. Toutefois, la complémentarité entre actions collectives et droit de la protection des données, combinée à l’activisme croissant d’organisations prêtes à initier ce type de procédures, pourrait bien devenir une source sérieuse de préoccupations pour les entreprises.
Dans l’UE, les actions collectives sont appelées « actions représentatives ». Leur cadre juridique commun est fixé par la Directive sur les actions représentatives (la « Directive »). Celle-ci vise à permettre aux consommateurs de défendre leurs intérêts collectifs par le biais d’actions introduites par des entités représentatives. Son champ d’application reste cependant limité : seules des organisations agréées, appelées entités qualifiées, sont autorisées à agir, et uniquement dans des cas de violations contractuelles présumées ou de non-respect de législations spécifiques, telles que MiFID II ou le Règlement Général sur la Protection des Données (« RGPD »). Jusqu’à présent, cette Directive n’a pas entraîné une augmentation marquante du nombre d’actions représentatives, sauf dans les États membres où ces procédures étaient déjà relativement fréquentes, comme les Pays-Bas ou le Portugal. En Belgique, le succès limité est généralement attribué à un manque de financement et d’incitations financières pour les entités représentatives. Les actions représentatives en matière de protection des données semblent toutefois constituer une exception à cette tendance générale.
Les organisations de protection des données montent au créneau
En octobre 2024, peu après la transposition de la Directive en Belgique, l’ONG néerlandaise Stichting Onderzoek Marktinformatie (« SOMI ») a introduit une action représentative devant les tribunaux belges à l’encontre de TikTok, alléguant des violations structurelles du droit des consommateurs et de la protection des données, notamment concernant les mineurs. Cette affaire belge s’inscrit dans une initiative plus large menée par SOMI, qui a également introduit des actions similaires aux Pays-Bas et en Allemagne, pour un montant total de plusieurs dizaines de milliards d’euros de dommages et intérêts.
SOMI ne sera vraisemblablement pas la seule organisation de protection des données à s’engager dans cette voie. Ce 14 mai encore, l’ONG autrichienne noyb, cofondée par le célèbre défenseur de la vie privée Max Schrems, a adressé une mise en demeure à Meta. Celle-ci fait suite à l’annonce par Meta de son intention d’utiliser, à compter du 27 mai, les données personnelles des utilisateurs européens d’Instagram et de Facebook pour entraîner ses nouveaux systèmes d’intelligence artificielle. Dans sa mise en demeure, noyb menace de recourir à des actions en cessation, voire à des actions en réparation sur la base de la Directive, si Meta ne revient pas sur sa position. Il y a fort à parier que ce ne sera pas un cas isolé : Max Schrems a, à maintes reprises, souligné l’intérêt stratégique des actions représentatives pour faire respecter les droits en matière de protection des données.
Protection des données et actions représentatives : une combinaison explosive ?
L’essor des actions représentatives dans le domaine de la protection des données semble résulter de leur forte complémentarité. Les violations en matière de protection des données affectent souvent un grand nombre de personnes, toutes potentiellement victimes d’un préjudice similaire, ce qui constitue une condition-clé pour le succès de ce type d’actions. Ces procédures permettent en effet de regrouper des demandes individuelles dans une seule instance, ce qui réduit significativement les risques procéduraux et les coûts pour les victimes potentielles, d’autant plus que ces frais sont en principe entièrement pris en charge par l’entité représentative. Des réclamations qui, prises isolément, n’auraient pas été poursuivies en raison d’un coût disproportionné, peuvent ainsi être portées devant les tribunaux.
La particularité du droit de la protection des données réside aussi dans sa capacité à échapper, plus que d’autres domaines juridiques, aux obstacles financiers inhérents aux actions représentatives. La Directive interdit en effet que les membres du groupe supportent une partie des frais de procédure, ce qui transfère l’intégralité du risque financier à l’entité représentative. Or, les organisations actives dans le domaine des données personnelles, comme SOMI ou noyb, sont souvent financées par des dons. Elles ne dépendent donc pas du résultat des procédures pour couvrir leurs coûts. Cette indépendance financière leur permet d’agir de manière plus assertive, avec un potentiel réel pour changer la manière dont les droits en matière de protection des données sont respectés dans l’UE.
Quelle suite attendre ?
Les actions représentatives pourraient bien s’imposer comme un mode de recours courant en matière de protection des données au sein de l’Union européenne, même si leur impact réel reste encore à évaluer. Il sera essentiel d’observer de près comment les juridictions et les entités représentatives traitent ces dossiers à l’avenir. En attendant, un solide programme de conformité demeure le moyen le plus efficace pour les entreprises de limiter le risque de litiges liés à la protection des données.
