En effet, l’un des reproches que l’on peut faire au RGPD est son approche centrée sur l’individu. Le consentement, qui était déjà très présent dans le droit de la protection des données personnelles, notamment pour l’accès aux données sensibles, devient véritablement la clé de voûte de l’édifice juridique. Un consentement, supposé libre et éclairé, mais dont on sait à quel point il peut bien souvent n’être qu’éclairé à la chandelle, voir plongé dans le noir des CGU, les conditions générales d’usages, incompréhensibles pour le commun des citoyens. Un consentement que l’on doit accorder dans la solitude du dialogue avec l’écran de son ordinateur ou son téléphone mobile. Pour contrebalancer ce biais, le législateur européen a notamment introduit dans le règlement l’obligation de « protection de la vie privée dès la conception » (privacy by design) qui doit amener les organisations, publiques comme privées, à penser leurs choix technologiques et organisationnels, le parcours de l’utilisateur dans le service, de telle manière que celui-ci puisse comprendre quels sont les choix qui s’offrent à lui. Reste à voir comment concrètement ces injonctions se traduiront et jusqu’à quelle point elles permettront une forme de montée en compétence de l’utilisateur sur ses droits numériques.
Quoi qu’il en soit, ce choix du RGPD rejoint une vision libérale de l’encapacitation de la personne que nous décrivions dans un article antérieur, un « empowerment » réduit à sa dimension individuelle, et qui laisse de côté les dimensions collectives et proprement politiques de ce gain en pouvoir d’agir. Mais à y regarder de plus près il est un article du RGPD, l’article 80, qui fait peu de bruit, mais qui apparait comme une véritable opportunité pour rendre au citoyen la capacité de retrouver le chemin du collectif, puisqu’il prévoit que « La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit. ». Cet article vient conforter et amplifier des récentes évolutions de la Loi informatique et liberté. Celle-ci avait déjà accueilli dans son article 43ter l’action de groupe à l’automne 2016 dans le cadre de la Loi de de modernisation de la justice : une association dont l’objet est la défense de la vie privée, une association de consommateur ou encore une organisation syndicale peut représenter devant la justice des collectifs de personnes « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature ».
Avec le règlement européen, plus besoin de la répétition du manquement, une personne seule peut désormais mandater ces mêmes organismes qui pourront agir en son nom devant la CNIL, voire le cas échéant devant une juridiction nationale ou européenne. Ce qui constitue en soi une excellente nouvelle : l’individu sort de sa solitude et peut s’appuyer sur le collectif. Et on salue la cohérence du projet de loi qui étend cette faculté aux associations de consommateurs et organisations syndicales.
Toutefois la révision de la loi Informatique et liberté actuellement destinée à incorporer le règlement, révision qui est actuellement en plein débat parlementaire, souffre d’une lacune de taille : alors que l’article 80 prévoit que l’organisme mandaté puisse obtenir réparation, cette dimension a disparu du projet de loi. Certes les États ont la liberté de reprendre ou non cette faculté. Ce qui signifie que l’action de l’organisme mandaté ne pourra viser qu’à faire cesser le manquement à la loi, sans pouvoir obtenir une réparation du préjudice. Un choix qui fragilise les associations dans le bras de fer qu’elles doivent construire avec les organismes privés ou publics auxquels elles s’attaquent et à leurs armada d’avocats. Les raisons invoquées dans l’étude d’impact semblent bien peu convaincantes : « Compte-tenu du caractère récent de l’introduction de l’action de groupe dans le droit national, il a donc été décidé de ne pas utiliser la marge de manœuvre prévue à l’article 80.2 du règlement. » Comme s’il fallait attendre que l’action de groupe fasse ses preuves pour pouvoir l’améliorer et comme si la loi informatique et liberté était révisée tous les quatre matins et qu’il suffisait d’attendre quelques mois pour l’améliorer. Espérons que le dossier législatif collaboratif consacré au projet de loi lancée par la députée Paula Forteza permettra aux citoyens de demander une action collective pleine et entière et poussera les parlementaires à corriger le tir.
Actualisation 25/01/2018
La députée Paola Forteza a déposé un amendement qui va dans le sens proposé par cet article. Il a été approuvé par la commission des lois. Nous ne pouvons que nous en féliciter !