Article 80 du RGPD : Représentation des personnes concernées

Texte original du RGPD

1. La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit.

2. Les États membres peuvent prévoir que tout organisme, organisation ou association visé au paragraphe 1 du présent article, indépendamment de tout mandat confié par une personne concernée, a, dans l’État membre en question, le droit d’introduire une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77, et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés du fait du traitement.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Article 28 

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté).

Article 37

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

I- Sous réserve du présent article, le chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et le chapitre X du titre VII du livre VII du code de justice administrative s’appliquent à l’action ouverte sur le fondement du présent article.

II- Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature aux dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente au vu des cas individuels présentés par le demandeur, qui en informe la Commission nationale de l’informatique et des libertés.

III – Cette action peut être exercée en vue soit de faire cesser le manquement mentionné au II, soit d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins.

Toutefois, la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018.

IV- Peuvent seules exercer cette action :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel ;

2° Les associations de défense des consommateurs représentatives au niveau national et agréées en application de l’article L. 811-1 du code de la consommation, lorsque le traitement de données à caractère personnel affecte des consommateurs ;

3° Les organisations syndicales de salariés ou de fonctionnaires représentatives au sens des articles L. 2122-1, L. 2122-5 ou L. 2122-9 du code du travail ou du III de l’article 8 bis de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre.

Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle et au chapitre X du titre VII du livre VII du code de justice administrative.

Article 38

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Toute personne peut mandater une association ou une organisation mentionnée au IV de l’article 37, une association ou une organisation dont l’objet statutaire est en relation avec la protection des droits et libertés lorsque ceux-ci sont méconnus dans le cadre d’un traitement de données à caractère personnel, ou une association dont cette personne est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux, aux fins d’exercer en son nom les droits prévus aux articles 77 à 79 et 82 du règlement (UE) 2016/679 du 27 avril 2016. Elle peut également les mandater pour agir devant la Commission nationale de l’informatique et des libertés, contre celle-ci devant un juge ou contre le responsable de traitement ou son sous-traitant devant une juridiction lorsqu’est en cause un traitement relevant du titre III de la présente loi.

Analyse des 3 textes qui précèdent 

La directive 95/46 CE prévoyait déjà que toute autorité de contrôle pouvait être saisie non seulement par une personne physique ou morale, mais aussi par une association la représentant (article 28(4)).

Cette disposition visait à faciliter l’accès à la protection juridique en permettant à des associations dédiées de défendre les personnes concernées lorsqu’elles estiment leurs droits violés.​

En droit français, l’article 11 de la Loi Informatique et Libertés reconnait la possibilité pour une association régulièrement déclarée de former plainte auprès de la CNIL au nom d’une personne concernée.

Les articles 37 et 38 précisent la possibilité d’action collective (actions de groupe) par certaines associations de défense de la vie privée ou de consommateurs, ainsi que leur mandat pour agir en justice célibataire ou en représentation.​

Cette loi organise ainsi un cadre national complet pour la représentation collective ou individuelle renforcée des droits des personnes dans le domaine de la protection des données.

Le RGPD en son article 80 affine et élargit cette représentation, donnant explicitement aux personnes concernées le droit de mandater une organisation ou association à but non lucratif, active dans la protection des droits des individus, pour introduire réclamation, exercer des recours juridictionnels (articles 77, 78, 79) et réclamer réparation (article 82).

En outre, il permet aux États membres d’attribuer à ces organismes le droit d’agir d’office, sans mandat préalable, pour défendre les droits des personnes à l’échelle nationale.

Cette disposition consacre donc un droit collectif renforcé et harmonisé au niveau européen, favorisant une protection proactive et effective des droits relatifs aux données personnelles.

Jurisprudences 

Européennes 

C-757/22 (11 juillet 2024) – Meta Platforms Ireland (Action représentative)

Cette décision affirme que pour exercer une action représentative au titre de l’article 80, par exemple une action collective, l’entité habilitée doit seulement démontrer qu’elle considère que les droits d’une personne concernée ont été violés « du fait du traitement » des données personnelles.

La Cour précise que cette condition est remplie lorsque l’entité justifie que la violation découle d’une méconnaissance par le responsable du traitement des obligations d’information, par exemple celles prévues par l’article 12 du RGPD qui impose la transparence sur la collecte des données.

L’arrêt favorise ainsi une interprétation large et facilitatrice des actions collectives, renforçant le rôle des associations dans la défense des droits des personnes concernées au plan européen.

Françaises 

CE Fr., n°319545 (5 décembre 2011)

Cette décision concerne une procédure d’accès indirect aux données personnelles, qui s’est terminée par un refus de la CNIL de fournir des informations.

Le Conseil d’État a considéré que la CNIL a rempli sa mission en indiquant qu’aucune donnée personnelle ne figurait dans les fichiers, concluant à la satisfaction de la demande du requérant.

Cette décision illustre le rôle de la CNIL dans la gestion des plaintes relatives aux données personnelles, un aspect fondamental de la faculté de représentation et de défense des droits des personnes concernées sous l’article 80.

Elle montre aussi le cadre dans lequel les personnes peuvent s’appuyer sur une autorité indépendante pour exercer leurs droits, ce qui s’inscrit dans l’esprit des dispositions sur la représentation collective par des organismes habilités.

CE Fr., n°398442 (19 juin 2017)

L’arrêt traite de la recevabilité d’un recours pour excès de pouvoir contre une sanction de la CNIL visant un tiers.

Il établit que l’auteur de la plainte peut contester le refus de la CNIL de fournir des informations relatives au traitement de sa plainte, ce qui est un prolongement du droit d’accès et de recours administratifs des personnes concernées.

La décision souligne que l’information complète, y compris la nature des fautes et des sanctions, doit être communiquée à la personne ayant formé la plainte, garantissant ainsi la transparence nécessaire à l’exercice des droits.

Cette jurisprudence reflète la dimension concrète du droit de représentation et de recours en droit français qui correspond aux exigences de l’article 80 du RGPD

Recommandations 

À ce jour, aucune ligne directrice, recommandation ou interprétation officielle n’a été publiée par les autorités de contrôle ou par le Comité européen de la protection des données (CEPD) concernant cette disposition du Règlement (UE) 2016/679 (RGPD).