Quelles sont les entreprises qui ont fait l’objet de plaintes collectives depuis la mise en place du RGPD ?

A la suite d’une fuite de données ou suite à des demandes d’exercice des droits sur leurs données personnelles restées sans suite, il est possible pour les particuliers d’adresser une plainte à la CNIL ou d’exercer un recours juridictionnel, au pénal et au civil, devant les juridictions d’un Etat membre. Cette action peut se faire individuellement, ou via une association afin d’intenter une action collective.

Quelles conditions pour une action collective ?

L’article 80 du Règlement européen pour la protection des données (RGPD) dispose que « la personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif ». En conséquence, certaines entités, telles que les associations de consommateurs, peuvent intenter une action au nom des personnes concernées. L’article 80 du RGPD a été transposé en droit français à l’article 43 ter de la loi relative à l’informatique, aux fichiers et aux libertés. Cet article impose trois conditions aux associations pour qu’elles puissent exercer une action collective, elles doivent notamment être régulièrement déclarées depuis cinq ans minimum avec en objet statutaire la protection de la vie privée et la protection des données à caractère personnel.

Grâce à cet article, une personne seule peut donc mandater une association agréée afin qu’elle dépose un recours contre un organisme. L’action de groupe ne requiert donc pas qu’il y ait une répétition du manquement et que plusieurs personnes s’en plaignent. C’est à l’association de juger si une action de groupe est nécessaire ou non à la suite d’une plainte faite auprès d’elle. Pour qu’une action de groupe soit recevable, elle devra en outre agir dans l’intérêt public et avoir dans ses statuts la protection des données des individus.

Quels sont les organismes visés par les plaintes collectives ?

En France – et dans l’Union Européenne en général – ce sont les GAFAM qui font particulièrement l’objet de plaintes collectives. Et compte tenu du montant des sanctions, elles sont prises au sérieux par la CNIL : la sanction de 50 millions d’euros de la CNIL contre Google est l’une des premières à avoir été rendue publique. Cette sanction est la conséquence directe d’une plainte collective a l’initiative de l’organisation française de défense des libertés numériques La Quadrature du Net (LQDN) et l’association None Of Your Business (NOYB . Après six semaines de campagne pour inciter les citoyens à rejoindre son action de groupe contre les GAFAM, La Quadrature du Net a déposé cinq plaintes à la CNIL le 28 mai. 12 000 personnes se sont jointes à cette campagne contre Facebook, Google (Gmail, Youtube et Search), Apple, Amazon et Linkedin. Pour l’instant, seule l’entreprise Google a fait l’objet d’une sanction CNIL.

Plaintes collectives contre Google

Mai 2018 : La Quadrature du Net et None of Your Business

La CNIL a infligé une sanction de 50 millions d’euros contre Google en janvier 2019, en application du RGPD, pour manque de transparence, information insatisfaisante et absence de consentement valable pour personnalisation de publicité. Cette décision découle de plaintes collectives de la part de l’association La Quadrature du Net (mandatée par près de 10 000 personnes pour saisir la CNIL) et de l’association None Of Your Business en date du 28 mai 2018. Dans ces deux plaintes, les associations reprochaient à Google de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité. Cette sanction a été confirmée par le Conseil d’Etat en juin 2020.

Juin 2019 : UFC-Que choisir

Dans le prolongement de l’amende de la CNIL contre Google, l’association UFC-Que choisir a lancé une action de groupe contre Google, devant le Tribunal de Grande Instance de Paris, pour violation du RGPD. L’association dénonce l’exploitation illégale des données personnelles de ses utilisateurs, particulièrement ceux détenant un équipement Android avec un compte Google, et demande de les indemniser à hauteur de 1000 € chacun. Près de 200 personnes auraient demandé à engager une procédure. L’association a précisé avoir vainement tenté d’aboutir à un accord amiable avec Google.

Juin 2020 : Civil Liberties Union for Europe

L’organisation non gouvernementale « Civil Liberties Union for Europe » (Liberties), épaulée par plusieurs partenaires, dont la Ligue des droits de l’Homme a déposé plusieurs plaintes dans différents pays membres de l’Union européenne sur le fondement du RGPD. Les pays concernés sont notamment la Bulgarie, la République tchèque, l’Estonie, l’Allemagne, ou encore la Hongrie. Une plainte a également été déposée auprès de la CNIL en France. L’ONG invite notamment les internautes à rejoindre le recours via un formulaire de plainte

En cause, les systèmes de Real-Time Bidding (RTB) ou enchères en temps réel et la fonctions « Authorized Buyers » de Google, des fonctionnalités qui permettent la transmission des données personnelles des internautes à plusieurs centaines d’entreprises. Ce système peut concerner des données très personnelles : Google récolte dans le cadre de son ciblage publicitaire des données relatives à l’orientation sexuelle, aux appartenances ethniques et religieuses et des données de santé. L’ONG Liberties reproche aux parties prenantes de ne pas informer les personnes concernées de manière claire et univoque, et pointe l’absence de contrôle et de sécurisation des données et leurs fluxs.  Une enquête contre « Authorized Buyers » a d’ores et déjà été ouverte par l’autorité de contrôle compétente irlandaise.

Plaintes collectives contre Android, Instagram, Whatsapp et Facebook

Le 25 mai 2018, le jour même de l’entrée en application du nouveau règlement général sur la protection des données (RGPD), vendredi 25 mai, l’association None Of Your Business a déposé quatre plaintes contre des entreprises du numérique auprès des autorités de protection des données personnelles de Belgique (pour Instagram), de Hambourg (WhatsApp), d’Autriche (Facebook) et de France (Android). L’association leur reproche de forcer le consentement des utilisateurs et donc l’absence de consentement libre.

Plainte collective contre Apple

Juin 2019 : UFC-Que choisir

Le tribunal judiciaire de Paris a condamné Apple suite à une plainte de l’association de défense de consommateurs française UFC-Que Choisir sur les conditions d’utilisation de son logiciel d’écoute iTunes et de son service de streaming musical Apple Music. L’association accusait l’entreprise de prélever abusivement des données de ses utilisateurs, comme leur adresse IP ou leur localisation, sans préciser l’utilisation qu’il en faisait. Apple a ainsi été condamné à verser 20 000 euros à titre de dommages et intérêts, ainsi que 10 000 euros de frais de justice à l’association UFC-Que Choisir.

Plainte collective contre Uber

Juin 2020 : la Ligue des droits de l’Homme (LDH)

L’association la Ligue des droits de l’Homme (LDH) a décidé de lancer, pour le compte d’un collectif de chauffeurs émanant notamment du syndicat INV et avec le concours du cabinet d’avocats Metalaw, une action collective contre Uber en France auprès de la CNIL. La LDH reproche notamment à Uber de ne pas donner à ses employés un exercice effectif de leurs droits.

Plainte collective contre Doctissimo

Juin 2020 : l’ONG Privacy International

L’ONG Privacy International accuse Doctissimo de permettre à ses partenaires de centraliser les données des visiteurs par le biais de trackers, afin de constituer des profils détaillés à leur sujet. Ces profils seraient ensuite vendus à des éditeurs à des fins de ciblage publicitaire. Elle craint également que ces profils puissent être fournies à d’autres organismes tels que des agences de notation de crédit. La CNIL a été saisie.