Les grandes entreprises risquent gros en cas de non-respect du RGPD

L’utilisation des class actions en Europe pour attaquer de grandes entreprises pour non-respect du RGPD a commencé et cela augure des amendes très importantes

L’article 80 du RGPD prévoit clairement les actions collectives, en laissant aux États Membres les modalités et procédures sur la base du droit national. Mais aujourd’hui la possibilité d’introduire une action collective, c’est-à-dire que plusieurs citoyens ou consommateurs se mettent ensemble ou confient une action en justice à un organisme qui les représente, n’est pas prévue dans l’arsenal législatif de tous les Etats Membres. 

Mais ce n’est qu’une question de temps car un projet de directive européenne est en préparation qui autorisera ce genre d’actions dans toute l’Europe, et donc le risque pour de grands groupes tels que les GAFA d’être attaqués par des groupes de citoyens européens augmentera.

En quelques mois trois multinationales ont été trainées en justice pour non-respect du RGPD, avec un risque pour elles d’amendes qui pourraient atteindre des centaines de millions de dollars, le RGPD prévoyant des amendes allant jusqu’à 4% du chiffre d’affaire mondial.

• Salesforce attaquée en Hollande pour son usage des cookies
• Oracle attaquée en Hollande pour la même raison
• Youtube attaquée en Angleterre pour le ciblage des enfants

Les décisions sont attendues dans les prochains mois et certaines autres actions en justice sont attendues sous peu. Et n’oublions pas qu’en plus ces sociétés américaines font face aujourd’hui à la suppression du Privacy Shield, l’accord qui autorisait les transferts de données entre les USA et l’Europe, et donc les GAFA et autres entreprises américaines sont face à des plaintes potentielles tout comme les utilisateurs européens de leurs services.

Dans la majorité des pays européens, chaque partie paye ses frais de justice et d’avocat, ceux-ci pouvant être remboursés partiellement ou compensés par des dommages et intérêts. Le coût peut donc être un frein. Mais la répartition des coûts entre un grand nombre de plaignants peut rendre plus fréquente la probabilité d’actions collectives organisées, par exemple, par une organisation de défense des consommateurs.

Les grandes organisations, les multinationales, mais ne l’oublions pas toutes les entreprises, et même les ASBL et les indépendants se trouvent face à deux types de risque :

• Une plainte auprès de l’autorité de protection des données qui se fait en quelques minutes et -sans aucun frais en complétant un formulaire en ligne
• Des actions en justice et en dommage et intérêts qui sont d’autant plus vraisemblables que les actions collectives feront disparaître le frein du cout de celles-ci en répartissant celui-ci entre de nombreux plaignants.