Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

arrow_back Retour à tous les articles

Article 80
Représentation des personnes concernées

Textes
officiels
Guidelines Jurisprudence Analyse du
droit européen
Afficher les considérants du Règlement liés à l'article 80 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 80 keyboard_arrow_up

(142) Lorsqu'une personne concernée estime que les droits que lui confère le présent règlement sont violés, elle devrait avoir le droit de mandater un organisme, une organisation ou une association à but non lucratif, constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et qui est actif dans le domaine de la protection des données à caractère personnel, pour qu'il introduise une réclamation en son nom auprès d'une autorité de contrôle, exerce le droit à un recours juridictionnel au nom de personnes concernées ou, si cela est prévu par le droit d'un État membre, exerce le droit d'obtenir réparation au nom de personnes concernées. Un État membre peut prévoir que cet organisme, cette organisation ou cette association a le droit d'introduire une réclamation dans cet État membre, indépendamment de tout mandat confié par une personne concernée, et dispose du droit à un recours juridictionnel effectif s'il a des raisons de considérer que les droits d'une personne concernée ont été violés parce que le traitement des données à caractère personnel a eu lieu en violation du présent règlement. Cet organisme, cette organisation ou cette association ne peut pas être autorisé à réclamer réparation pour le compte d'une personne concernée indépendamment du mandat confié par la personne concernée.

Afficher les considérants de la Directive 95/46 liés à l'article 80 keyboard_arrow_down Cacher les considérants de la Directive 95/46 liés à l'article 80 keyboard_arrow_up

(55) considérant que, en cas de non-respect des droits des personnes concernées par le responsable du traitement de données, un recours juridictionnel doit être prévu par les législations nationales; que les dommages que peuvent subir les personnes du fait d'un traitement illicite doivent être réparés par le responsable du traitement de données, lequel peut être exonéré de sa responsabilité s'il prouve que le fait dommageable ne lui est pas imputable, notamment lorsqu'il établit l'existence d'une faute de la personne concernée ou d'un cas de force majeure; que des sanctions doivent être appliquées à toute personne, tant de droit privé que de droit public, qui ne respecte pas les dispositions nationales prises en application de la présente directive.

Guidelines

Ici viendront les guidelines

Sommaire

Union Européenne

France

Union Européenne

Jurisprudence de la CJUE

C‑319/20 (28 avril 2022) - Meta Platforms Ireland

L’article 80, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

Arrêt de la Cour

Conclusions de l'avocat général

Retour au sommaire

France

Jurisprudence française

CE Fr., n°319545 (5 décembre 2011)

1) En procédant aux investigations prévues à l'article 41 de la loi n°78-17 du 6 janvier 1978 et en indiquant à l'intéressé qu'aucune information le concernant ne figurait dans les fichiers en question, la CNIL a mis un terme à la procédure d'accès indirect engagée. Elle doit être regardée comme satisfaisant entièrement la demande du demandeur.

2) a) Une décision par laquelle la CNIL refuse de donner suite à une demande tendant à ce qu'elle mette en œuvre les pouvoirs d'enquête dont elle peut faire usage sur le fondement de l'article 11 de la loi n° 78-17 du 6 janvier 1978, lorsqu'elle est saisie d'une réclamation, pétition ou plainte relative à la mise en œuvre des traitements de données à caractère personnel, est susceptible de faire l'objet d'un recours pour excès de pouvoir.

b) Toutefois, si l'intéressé se borne à demander à la CNIL de manière générale, de faire respecter la loi du 6 juillet 1978 relative à l'informatique, aux fichiers et aux libertés et de faire « effacer l'ensemble des fichiers contenant des données personnelles collectées par les services consulaires français sans information préalable des personnes concernées », la CNIL ne commet pas d'erreur manifeste d'appréciation en ne donnant pas suite à ces réclamations.

Arrêt rendu

CE Fr., n°398442 (19 juin 2017)

L'auteur d'une plainte n'est pas recevable à demander l'annulation de la sanction prononcée par la CNIL à l'encontre d'un tiers à l'issue de l'instruction de la plainte qu'il a formée, en tant que celle-ci ne serait pas assez sévère. En revanche, l'auteur d'une plainte est recevable à déférer au juge de l'excès de pouvoir le refus de la CNIL de lui fournir les informations relatives aux suites données à sa plainte auxquelles il a droit en application des dispositions de l'article 11 2° c) de la loi n° 78-17 du 6 janvier 1978. Il résulte de ces dispositions que, lorsque la plainte conduit à sanctionner la personne mise en cause, la complète information de son auteur comprend nécessairement, y compris lorsque la sanction a été rendue publique, la communication de la nature des manquements retenus et de la teneur de la sanction prononcée, sous la réserve des secrets protégés par la loi.

Arrêt rendu

Retour au sommaire

Le GDPR

L’article 80 précise et complète la faculté de représentation par une association, déjà prévue par la Directive. Ainsi, le Règlement prévoit qu’une association (sans but lucratif et active dans la protection des droits des personnes concernées) peut être mandatée par une personne concernée pour non seulement introduire une réclamation auprès d’une autorité de contrôle au sens de l’article 77, mais également un recours juridictionnel contre une décision d’une autorité de contrôle (article 78) ou contre un responsable de traitement ou un sous-traitant (cfr. article 79).

La version finale du Règlement ajoute que l’association est également investie du droit de réclamer une compensation prévue par l’article 82 pour le compte de la personne concernée, s’il apparait que le traitement lui a causé un préjudice et que le droit de l’État membre le permet.

Les États membres peuvent  investir les associations chargées de la protection des droits et des libertés dans le cadre de traitement de données à caractère personnel d’importants pouvoirs d’action. Si l’État fait usage de cette disposition, ces associations pourraient d’initiative (c’est-à-dire indépendamment de tout mandat d’une personne concernée) introduire une réclamation auprès de l’autorité de contrôle sur le territoire de l’État membre où elles ont été constituées (art. 77) ou diligenter un recours juridictionnel contre une décision de l’autorité de contrôle (art. 78) ou contre un responsable de traitement ou un sous-traitant (art. 79), si elles considèrent que les droits d'une personne concernée n'ont pas été respectés parce que le traitement des données à caractère personnel n'a pas eu lieu en conformité avec le Règlement (§ 2).

La Directive

La Directive prévoyait déjà la possibilité qu’une association se charge d’introduire une réclamation auprès d’une autorité de contrôle pour le compte d’une personne se plaignant d’une atteinte à ses droits et libertés dans le cadre d’un traitement de données à caractère personnel (cfr. art. 28(6) de la Directive).

Belgique

En droit belge, l’article 31 prévoit uniquement que la Commission examine les plaintes signées et datées qui lui sont adressées. Cette disposition ne mentionne pas la possibilité pour le plaignant d’être représenté par une association. Le Règlement d’ordre intérieur de la CPVP prévoit à cet égard que les plaintes visées à l’article 31 de la loi du 8 décembre 1992 doivent être signées par le plaignant et datées.

France

En droit français, selon les articles 11 de loi Informatique et Libertés et Libertés, ainsi que selon l’article 47 du Règlement intérieur de la CNIL, est considérée comme une plainte toute demande formée par une personne physique ou morale susceptible d’être contraire aux textes dont l’application est confiée à la CNIL.

Difficultés probables

Dans son principe, cette évolution des pouvoirs reconnus aux associations de défense des droits des personnes concernées est fondamentale. On peut légitimement croire que cette mesure participera efficacement à garantir l’effectivité des droits reconnus aux personnes concernées par un traitement de données à caractère personnel.

En effet, le constat est sans appel : des procédures juridictionnelles existent déjà pour les personnes concernées ; toutefois il est très rare qu’une personne y recoure, compte tenu notamment des frais à engager dans une procédure judiciaire. En d’autres termes, à l’heure actuelle, le jeu n’en vaut pas la chandelle.

Cependant, cette évolution risque d’engendrer de nombreux problèmes d’implémentation. S’agissant de la possibilité pour lesdites associations d’introduire une procédure indépendamment d’un mandat de la personne concernée, il s’agit uniquement d’une faculté à prévoir ou non par les États membres et des disparités dans la protection des personnes concernées apparaîtront donc d’État à État sur ce point.

Ensuite, il faudra que de telles associations existent et soient actives dans la protection des données, ce qui supposera souvent une importante évolution des mentalités.

Règlement
1e 2e

Art. 80

1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d'un État membre, dont les objectifs statutaires sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l'autorité de contrôle qui est compétente en vertu de l'article 77, et d'exercer les droits visés aux articles 78 et 79 s'il considère que les droits d'une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Proposition 1 close

1. Tout organisme, organisation ou association visé à l’article 73, paragraphe 2, est habilité à exercer les droits prévus aux articles 74 et 75 au nom d’une ou de plusieurs personnes concernées.

2. Chaque autorité de contrôle a le droit d'ester en justice et de saisir une juridiction en vue de faire respecter les dispositions du présent règlement ou d'assurer la cohérence de la protection des données à caractère personnel au sein de l’Union.

3. Lorsqu'une juridiction compétente d’un État membre a des motifs raisonnables de croire qu'une procédure parallèle est en cours dans un autre État membre, elle prend FR 100 FR contact avec la juridiction compétente de cet autre État membre pour obtenir confirmation de l’existence de cette procédure parallèle

4. Lorsqu'une procédure parallèle dans un autre État membre porte sur la même mesure, décision ou pratique, la juridiction peut surseoir à statuer.

5. Les États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l'adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés.

Proposition 2 close

1. La personne concernée a le droit de mandater un organisme, une organisation ou une association, qui a été valablement constitué conformément au droit d'un État membre et dont les objectifs statutaires comprennent la protection des droits et des libertés des personnes concernées à l'égard de la protection de leurs données à caractère personnel, pour qu'il ou elle introduise une réclamation en son nom et exerce en son nom les droits prévus aux articles 73, 74 et 75.

1 bis. (...)

2. Les États membres peuvent disposer que tout organisme, organisation ou association visé au paragraphe 1, indépendamment de tout mandat confié par une personne concernée (...), a, dans l'État membre en question, le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente conformément à l'article 73 et d'exercer les droits prévus aux articles 73, 74 et 75 s'il ou elle considère que les droits d'une personne concernée n'ont pas été respectés parce que le traitement des données à caractère personnel n'a pas eu lieu en conformité avec le présent règlement.

3. (…)

4. (…)

Directive close

Art. 28

(…)

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d'une demande relative à la protection de ses droits et libertés à l'égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

France

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 37

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s'appliquent à l'action ouverte sur le fondement du présent article.

II. - Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l'informatique et des libertés.

III. - Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d'engager la responsabilité de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

IV. - Peuvent seules exercer cette action :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel ;

2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l'article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l'article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Lorsque l'action tend à la réparation des préjudices subis, elle s'exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et au chapitre X du titre VII du livre VII du code de justice administrative.

Art. 38

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Toute personne peut mandater une association ou une organisation mentionnée au IV de l'article 37, une association ou une organisation dont l'objet statutaire est en relation avec la protection des droits et libertés lorsque ceux-ci sont méconnus dans le cadre d'un traitement de données à caractère personnel, ou une association dont cette personne est membre et dont l'objet statutaire implique la défense d'intérêts en relation avec les finalités du traitement litigieux, aux fins d'exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du 27 avril 2016. Elle peut également les mandater pour agir devant la Commission nationale de l'informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu'est en cause un traitement relevant du titre III de la présente loi.

Ancienne loi
en France
close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 11

Version initiale

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

(…)

c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en oeuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci ;

(cfr. art. 47 du règlement intérieur de la CNIL  Adopté par la commission réunie en séance plénière le 4 juillet 2013)

Art. 43 ter

Modifié par la loi n°2018-493 du 20 juin 2018

I.-Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s'appliquent à l'action ouverte sur le fondement du présent article.

II.-Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l'informatique et des libertés.

III.-Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d'engager la responsabilité de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

IV.-Peuvent seules exercer cette action :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet statutaire la protection de la vie privée et la protection des données à caractère personnel ;

2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l'article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l'article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l'ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Lorsque l'action tend à la réparation des préjudices subis, elle s'exerce dans le cadre de la procédure individuelle de réparation définie au chapitre X du titre VII du livre VII du code de justice administrative et au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

Art. 43 quater

Créé par la loi n°2018-493 du 20 juin 2018

Toute personne peut mandater une association ou une organisation mentionnée au IV de l'article 43 ter aux fins d'exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle peut également les mandater pour agir devant la Commission nationale de l'informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu'est en cause un traitement relevant du chapitre XIII de la présente loi

Belgique

Loi du 30.07.2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel

Art. 220

§ 1er. La personne concernée a le droit de mandater un organe, une organisation ou une association à but non lucratif, pour qu’il introduise une réclamation en son nom et exerce en son nom les recours administratifs ou juridictionnels soit auprès de l’autorité de contrôle compétente soit auprès de l’ordre judiciaire tels que prévus par les lois particulières, le Code judiciaire et le Code d’Instruction criminelle.

§ 2. Dans les litiges prévus au paragraphe 1er, un organe, une organisation ou une association sans but lucratif doit:

1° être valablement constituée conformément au droit belge;

2° avoir la personnalité juridique;

3° avoir des objectifs statutaires d’intérêt public;

4° être actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel depuis au moins trois ans.

§  3. L’organe, l’organisation ou l’association sans but lucratif fournit la preuve, par la présentation de ses rapports d’activités ou de toute autre pièce, que son activité est effective depuis au moins trois ans, qu’elle correspond à son objet social et que cette activité est en relation avec la protection de données à caractère personnel.

Ancienne loi
en Belgique
close

Art. 31

§ 1er Sans préjudice de toute action devant les tribunaux et sauf si la loi en dispose autrement, la Commission examine les plaintes signées et dates qui lui sont adressées. Ces plaintes peuvent avoir trait à sa mission de protection de la vie privée à l'égard des traitements de données à caractère personnel ou à d'autres missions qui lui sont confiées par la loi.

(…).

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK