Objets connectés : quand la responsabilité du fait des produits défectueux rencontre la protection des données personnelles
La réglementation sur la sécurité des produits prévoit que le fabricant mette sur le marché un produit sûr. Avec la diversification et la multiplication des objets connectés, il est légitime de s’interroger sur l’applicabilité et l’extension éventuelle du régime de responsabilité du fait des produits défectueux de la Directive 85/374/CEE aux objets connectés. L’entrée en vigueur du Règlement (UE) 2016/679 du 27 avril 2016, dit RGPD, le 25 mai 2018 donne une nouvelle actualité à cette problématique. La combinaison de l’article 1 de la Directive 85/374/CEE rendant le producteur responsable du dommage causé par un défaut de son produit et de l’article 24.1 du RGPD prévoyant que le responsable de traitement doit être en mesure de démontrer que ledit traitement est conforme au Règlement va-t-elle transformer la gestion des données en un nouveau critère de la défectuosité des objets connectés ?
Les concepteurs d’objets connectés qui traitent des données à caractère personnel sont considérés comme responsables du traitement au sens du RGPD. Leur responsabilité est engagée en cas de non-respect des conditions du traitement énoncées par le Règlement.
Le RGPD a multiplié et renforcé les recours possibles des personnes concernées par une violation des règles en matière de données à caractère personnel. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD peut obtenir, du responsable du traitement ou du sous-traitant, réparation du préjudice subi.
Le responsable du traitement ou le sous-traitant est exonéré de responsabilité s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable. Ainsi, la charge de la preuve pèse sur ces deux acteurs qui doivent être en mesure de démontrer que le traitement est conforme à la réglementation. Pour ce faire, le responsable du traitement doit prouver qu’il a mis en œuvre des mesures techniques et organisationnelles de sécurisation appropriées. Par ailleurs, le RGPD exige que le responsable du traitement tienne un registre des activités de traitement effectuées sous sa responsabilité et documente toute violation de données à caractère personnel.
Parallèlement aux actions individuelles, le RGPD prévoit la possibilité pour les personnes concernées de mandater des organismes, organisations ou associations pour exercer notamment leur droit d’obtenir réparation du dommage matériel ou moral en cas de violation de leurs droits. Le Règlement comporte un renvoi exprès au droit national qui doit préciser les modalités d’exercice de ce droit.
Ainsi, l’existence et le régime des actions collectives en matière de protection des données à caractère personnel sont laissés à la discrétion du législateur national. Des régimes distincts, et notamment des règles de procédure plus ou moins protectrices pour les personnes concernées, vont donc cohabiter au sein de l’Union européenne. Dans la mesure où les demandeurs bénéficient d’une option de compétence, ils pourront procéder à un forum shopping et le choix du juge national pourra s’avérer déterminant pour l’issue du litige.
En France, la loi n° 2016-1547 a complété l’article 43 ter de la loi Informatique et Libertés n° 78-17 pour introduire l’action de groupe en matière de protection des données à caractère personnel. Cette action, sans mandat, tend exclusivement à la cessation du manquement allégué et ne permet pas d’obtenir réparation du préjudice subi.
La loi Informatique et Libertés fait actuellement l’objet d’une procédure de révision dans le cadre de l’entrée en application imminente du RGPD. En l’état, l’article 16 du projet de loi modifie l’article 43 ter précité et étend l’action de groupe aux demandes en réparation des préjudices matériels et moraux.
La France pourrait ainsi devenir une juridiction attractive pour les utilisateurs européens d’objets connectés défaillants qui souhaitent exercer un droit à réparation à l’encontre d’un responsable de traitement. A suivre…
Par Christine Gateau, avocate associée, cabinet Hogan Lovells (Paris) LLP, partenaire du Club des Juristes