Article 79 RGPD : recours juridictionnel contre le responsable

L’article 77 RGPD ouvre la voie administrative devant la CNIL ; l’article 78 celle du contentieux contre l’autorité de contrôle ; l’article 79 ouvre la voie la plus directe : assigner le responsable de traitement ou le sous-traitant devant le juge civil. Cette voie a longtemps été marginale en France ; elle est devenue centrale depuis la refonte de l’action de groupe par la loi n° 2024-364 du 22 avril 2024 et la stabilisation de la jurisprudence indemnitaire par la CJUE depuis l’arrêt Österreichische Post (C-300/21, 4 mai 2023). Voici son analyse paragraphe par paragraphe, après vingt ans de conseil en droit des données.

Ce que dit l’article 79 du RGPD

L’Art. 79 s’intitule « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant ». Il compte deux paragraphes :

• l’Art. 79(1) consacre un droit autonome au recours juridictionnel effectif, sans préjudice des recours administratifs (notamment celui de l’Art. 77) ;
• l’Art. 79(2) organise la compétence territoriale, en offrant à la personne concernée une option entre le for du défendeur et le for de sa résidence habituelle.

C’est une voie distincte de l’Art. 78 (recours contre les décisions de la CNIL devant le Conseil d’État) et de l’Art. 82 (responsabilité civile et indemnisation), même si elle s’articule étroitement avec eux. L’Art. 79 ouvre l’action ; l’Art. 82 fonde la demande indemnitaire ; l’Art. 80 permet l’action collective via mandat à un organisme à but non lucratif. La CJUE C-132/21 NAIH du 12 janvier 2023 a expressément confirmé que ces voies se cumulent — la personne concernée peut agir simultanément en réclamation Art. 77, en référé Art. 79, et en indemnisation Art. 82, sans que l’une éteigne l’autre.

Art. 79(1) : un droit autonome au recours juridictionnel effectif

Le paragraphe 1 dispose : « Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

Trois éléments structurent ce droit.

Premier élément : l’autonomie du recours juridictionnel. La rédaction « sans préjudice » signifie que le recours civil contre le responsable existe indépendamment de toute saisine préalable de la CNIL. La personne concernée n’est pas tenue d’épuiser la voie administrative avant d’agir en justice ; elle peut même saisir le juge alors qu’une procédure CNIL est en cours, ou ne pas saisir la CNIL du tout. La CJUE C-132/21 NAIH du 12 janvier 2023 l’a clairement affirmé : les recours des Art. 77, 78 et 79 « peuvent être exercés concurremment et indépendamment l’un de l’autre, le droit national devant déterminer la manière dont ces voies de recours s’articulent ». Cette autonomie distingue le RGPD d’autres régimes (par exemple le contentieux fiscal, où la réclamation préalable conditionne la saisine du juge).

Deuxième élément : la qualité pour agir. L’Art. 79 réserve l’action à la « personne concernée » au sens de l’Art. 4(1) — la personne physique identifiée ou identifiable dont les données font l’objet du traitement. Les personnes morales sont exclues du champ direct, sauf rares hypothèses où elles sont elles-mêmes concernées (entreprises individuelles, professions libérales identifiables nominativement). L’Art. 80(1) étend toutefois cette qualité aux organismes à but non lucratif mandatés par la personne concernée, et l’Art. 80(2) permet aux États membres d’autoriser ces organismes à agir sans mandat — option exercée en France par la loi du 22 avril 2024. Voir mon analyse de l’action de groupe RGPD.

Troisième élément : l’objet du recours. L’Art. 79(1) couvre toute violation des droits conférés par le règlement. La rédaction est large et englobe :

• la violation des droits des personnes (Art. 12 à 22) — droit d’accès, rectification, effacement, limitation, portabilité, opposition, décisions automatisées ;
• la violation des principes (Art. 5) — licéité, loyauté, transparence, finalité, minimisation, exactitude, durée de conservation, sécurité ;
• la violation des bases légales (Art. 6, Art. 9) — défaut de consentement, finalité non couverte par l’intérêt légitime, traitement de données sensibles sans exception ;
• la violation des règles de transfert (Art. 44 à 49) — transferts hors UE sans garanties appropriées ;
• les manquements à la sécurité (Art. 32) et aux obligations de notification (Art. 33 et Art. 34).

L’expression « du fait d’un traitement » est importante : le manquement reproché doit avoir un lien avec un traitement au sens de l’Art. 4(2). Un manquement purement organisationnel sans rattachement à un traitement identifié (par exemple un défaut de désignation de DPO Art. 37 sans répercussion sur un traitement particulier) relèvera plus naturellement de l’action de la CNIL Art. 77 que de l’action civile Art. 79.

Art. 79(2) : la compétence territoriale — option de la personne concernée

Le paragraphe 2 organise les règles de compétence : « Toute action contre un responsable du traitement ou un sous-traitant est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement. Une telle action peut alternativement être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de la puissance publique. »

C’est une règle de protection de la personne concernée, qui dispose d’une option entre deux fors.

Premier for : le pays d’établissement du défendeur. La notion d’établissement renvoie à l’Art. 4(16) et à la jurisprudence CJUE (notamment C-191/15 Verein für Konsumenteninformation du 28 juillet 2016 et C-507/17 Google LLC du 24 septembre 2019) : un établissement suppose une activité réelle et effective, exercée au moyen d’une installation stable, peu importe le siège social statutaire. Une filiale française d’un groupe américain dont le RGPD vise les traitements peut donc être assignée en France au titre de cet établissement, même si le responsable juridique formel est la maison-mère.

Second for : la résidence habituelle de la personne concernée. Cette option ne joue que pour les personnes physiques et exclut explicitement les autorités publiques agissant dans l’exercice de la puissance publique. Une personne résidant en France peut donc assigner en France un responsable établi en Irlande (Meta, Google, LinkedIn) ou en Allemagne (SAP, Deutsche Bank). La CJUE C-645/19 Facebook Ireland du 15 juin 2021 avait déjà préfiguré cette ouverture en admettant la compétence de juridictions nationales sous réserve de coordination avec le mécanisme du guichet unique Art. 56. L’arrêt C-757/22 Meta Platforms Ireland du 28 avril 2022 sur les actions des associations de consommateurs (Bundesverband der Verbraucherzentralen) a confirmé que cette compétence concurrente s’étend aux actions exercées par des organismes habilités au titre de l’Art. 80.

Exception des autorités publiques. Une personne concernée résidant en France ne peut pas, au titre de l’Art. 79(2), assigner une administration allemande exerçant la puissance publique devant un tribunal français. Le for du défendeur s’impose alors. Cette exception préserve l’immunité juridictionnelle relative des États membres et trouve son équivalent dans le règlement Bruxelles I bis (Art. 1(1)).

Articulation avec le règlement Bruxelles I bis. Le règlement (UE) n° 1215/2012 organise la compétence en matière civile et commerciale au sein de l’UE. L’Art. 79 RGPD ne s’y substitue pas : il s’y articule. La CJUE C-272/19 Land Hessen du 9 juillet 2020 et plus récemment C-21/23 ND v DR du 11 juillet 2024 ont confirmé que les règles de compétence du RGPD prévalent dans le champ matériel du règlement (traitements de données personnelles), tandis que Bruxelles I bis s’applique pour les questions accessoires (consorité, mesures provisoires, exécution transfrontalière).

Compétence interne en France : tribunal judiciaire de Paris pour les contentieux spécialisés

Le RGPD désigne l’État membre compétent ; il revient au droit national de désigner la juridiction interne. En France, le contentieux des données personnelles se répartit comme suit.

Tribunal judiciaire de droit commun. L’action civile pour violation du RGPD relève en principe du tribunal judiciaire du domicile du défendeur (Art. 42 CPC) ou, par option Art. 79(2), du domicile de la personne concernée. La compétence d’attribution est celle du tribunal judiciaire pour les actions personnelles ou mobilières dépassant 10 000 €, et du juge des contentieux de la protection en deçà.

Tribunal judiciaire de Paris pour les actions de groupe. Depuis le décret n° 2019-1333 du 11 décembre 2019 et la confirmation par la loi n° 2024-364 du 22 avril 2024, le tribunal judiciaire de Paris est exclusivement compétent pour les actions de groupe en matière de données personnelles, en application de l’Art. 80 RGPD et de l’Art. 38 de la loi Informatique et Libertés. Cette spécialisation s’explique par la technicité du contentieux et par la nécessité d’une jurisprudence cohérente.

Référé. Lorsque l’urgence l’exige (poursuite d’un traitement manifestement illicite, refus persistant d’effacement, fuite de données en cours), la personne concernée peut saisir le juge des référés du tribunal judiciaire (Art. 834 et 835 CPC) pour ordonner des mesures conservatoires : injonction d’effacement sous astreinte, suspension du traitement, désignation d’un expert pour constater l’étendue de la violation. Le TJ Paris, ord. réf., 17 mars 2023 a ainsi enjoint à un éditeur de site de retirer sous astreinte de 1 000 € par jour des données rendues accessibles sans base légale.

Action en référé probatoire (Art. 145 CPC). Avant tout procès au fond, la personne concernée peut demander au juge la désignation d’un huissier ou d’un expert pour constater le traitement litigieux (logs, journaux d’accès, copies du registre). Cette voie est précieuse pour préparer une action en indemnisation Art. 82 lorsque les éléments sont détenus par le responsable lui-même.

Articulation avec les autres voies de recours

Le tableau suivant clarifie l’articulation des différentes voies.

Voie	Fondement	Contre	Juridiction	Objet
Réclamation administrative	Art. 77	Responsable / sous-traitant	CNIL (autorité administrative)	Mise en demeure, sanction Art. 83
Recours contre la CNIL	Art. 78	CNIL	Conseil d’État	Annulation / réformation décision
Recours direct	Art. 79	Responsable / sous-traitant	Tribunal judiciaire	Cessation, effacement, exécution droits
Indemnisation	Art. 82	Responsable / sous-traitant	Tribunal judiciaire	Dommages et intérêts
Action de groupe	Art. 80	Responsable / sous-traitant	TJ Paris	Cessation collective + indemnisation
Action pénale	Art. 226-16 et s. C. pénal	Personne physique ou morale	Tribunal correctionnel	Sanctions pénales

Une violation grave (par exemple une fuite massive de données par défaut de sécurité) peut déclencher simultanément les six voies. La CJUE C-687/21 MediaMarktSaturn du 25 janvier 2024 a précisé que le seuil de gravité diffère d’une voie à l’autre : l’Art. 82 (indemnisation civile) n’exige pas le même niveau de gravité que l’Art. 83 (sanctions administratives), ce qui ouvre la voie indemnitaire à des situations qui ne déclencheront pas nécessairement de sanction CNIL.

Demandes recevables au titre de l’Art. 79

Le recours juridictionnel ouvre un éventail large de demandes, classées par finalité.

Demandes en cessation et exécution. Le juge peut ordonner sous astreinte la cessation d’un traitement illicite, l’effacement de données (Art. 17), la rectification (Art. 16), la limitation (Art. 18), la portabilité (Art. 20), la communication d’informations (Art. 13 et Art. 14), ou la réponse à une demande d’accès (Art. 15). Le TJ Paris, 22 mars 2023 a ainsi ordonné à une plateforme la communication des données traitées concernant le demandeur, sous astreinte de 500 € par jour de retard.

Demandes indemnitaires. Le juge applique l’Art. 82 pour réparer le préjudice matériel et moral résultant de la violation. La jurisprudence française récente — TJ Paris, 3e ch., 17 janvier 2024 — accorde des indemnités allant de quelques centaines d’euros (préjudice moral léger) à plusieurs milliers d’euros (fuite massive avec usurpation d’identité documentée).

Demandes accessoires. Publication du jugement aux frais du défendeur (Art. 1240 C. civ.), dommages et intérêts pour résistance abusive, frais de procédure (Art. 700 CPC), exécution provisoire (Art. 514 CPC depuis le décret du 11 décembre 2019).

Six leviers stratégiques pour bien préparer une action Art. 79

L’expérience contentieuse fait apparaître six leviers déterminants pour le succès d’une action Art. 79.

Premier levier : la documentation préalable. Avant assignation, il faut documenter la violation par une mise en demeure préalable (par lettre recommandée avec AR), une demande d’accès Art. 15 qui permettra de figer l’état des lieux, et le cas échéant un constat d’huissier ou un référé probatoire Art. 145 CPC. Cette phase est décisive : un dossier mal préparé est rejeté pour défaut de preuve, comme l’a rappelé la CJUE C-340/21 NAP du 14 décembre 2023 sur la charge de la preuve.

Deuxième levier : le choix entre voies civile et administrative. La voie CNIL (Art. 77) coûte peu et peut déboucher sur une sanction publique dissuasive ; elle est lente et n’indemnise pas. La voie civile (Art. 79 + Art. 82) est plus rapide pour une cessation, plus coûteuse en honoraires, et permet l’indemnisation. En pratique, les deux voies sont souvent menées en parallèle.

Troisième levier : le choix du for. L’option Art. 79(2) entre le for du défendeur et celui du demandeur a des incidences pratiques fortes. Pour une personne résidant en France attaquant un GAFAM établi en Irlande, le choix du TJ français présente l’avantage de la proximité, de la langue française, et de la familiarité avec le juge. Mais il peut conduire à des questions préjudicielles complexes lorsque le mécanisme du guichet unique Art. 56 est impliqué.

Quatrième levier : la qualification de la violation. Le rédacteur de l’assignation doit qualifier précisément le manquement reproché : article du RGPD violé, faits constitutifs, lien de causalité avec le préjudice, gravité. Une assignation imprécise expose à un débouté ou à une indemnité minimale. Mes vingt ans de pratique me font privilégier une qualification multiple : viser plusieurs articles (par exemple Art. 5(1)(a), Art. 6(1), Art. 12, Art. 32) plutôt qu’un seul, pour préserver le débat.

Cinquième levier : la stratégie indemnitaire. L’Art. 82 ouvre l’indemnisation du préjudice matériel et moral. La jurisprudence française a longtemps sous-évalué le préjudice moral en matière de données ; la CJUE C-300/21 Österreichische Post du 4 mai 2023 et C-456/22 Gemeinde Ummendorf du 14 décembre 2023 ont rejeté tout seuil de minimis. Un demandeur peut donc obtenir réparation même pour une violation de faible ampleur, à condition de caractériser un dommage moral concret (anxiété, perte de contrôle, atteinte à la réputation).

Sixième levier : l’articulation avec l’action de groupe. Lorsque la violation touche un grand nombre de personnes (fuite massive, traitement publicitaire systématique), la voie individuelle Art. 79 peut être doublée d’une action de groupe Art. 80 introduite par une association agréée (UFC-Que Choisir, La Quadrature du Net, Familles Rurales). La loi n° 2024-364 du 22 avril 2024 a élargi le champ et facilité la procédure ; le TJ Paris est exclusivement compétent.

Côté responsable de traitement : se préparer au contentieux Art. 79

L’accountability (Art. 24) impose de se préparer au contentieux Art. 79 avant qu’il ne survienne. Six chantiers préparent le terrain.

Chantier 1 — Industrialiser les droits des personnes. Une assignation Art. 79 trouve presque toujours sa source dans une demande d’exercice de droit mal traitée. Mettre en place un workflow d’instruction des demandes (Art. 12), avec accusé de réception sous 72 heures, instruction sous 1 mois, traçabilité, et réponse motivée, neutralise 80 % du contentieux potentiel.

Chantier 2 — Documenter l’accountability. Le registre Art. 30, les AIPD Art. 35, les politiques de sécurité, les contrats de sous-traitance Art. 28, constituent la première ligne de défense. Sans documentation, le défendeur subit la charge de la preuve fixée par la CJUE C-340/21 NAP du 14 décembre 2023.

Chantier 3 — Cartographier les fors potentiels. Pour un responsable opérant dans plusieurs États membres, identifier les fors compétents au titre de l’Art. 79(2) et provisionner les coûts juridiques par marché (notamment Allemagne et France, fortement contentieuses).

Chantier 4 — Préparer la défense type. Constituer un dossier type de défense incluant : analyse de la base légale, mesures de sécurité documentées, traçabilité des décisions, journal d’instruction des droits. Ce dossier permet de réagir vite à une assignation.

Chantier 5 — Articuler procédure CNIL et procédure civile. Lorsqu’une procédure Art. 77 est en cours et qu’une assignation Art. 79 est délivrée, coordonner les deux fronts : ne pas reconnaître devant le juge ce qui n’a pas été reconnu devant la CNIL, et inversement. Une concession imprudente d’un côté peut être opposée de l’autre.

Chantier 6 — Couverture assurantielle. Vérifier que la police de cyber-assurance couvre le contentieux civil RGPD au titre de l’Art. 82 et les mesures conservatoires ordonnées en référé. Plusieurs polices excluent encore expressément les amendes administratives Art. 83 mais couvrent l’indemnitaire Art. 82.

Sanctions et coût du contentieux

L’Art. 79 ne prévoit pas de sanction directe : il ouvre l’accès au juge. Les sanctions résultent des autres voies. Mais le contentieux Art. 79 a un coût propre que les responsables sous-estiment : honoraires d’avocat (souvent 30 000 à 150 000 € pour un dossier complet en première instance), frais d’expertise, exécution provisoire des condamnations, atteinte réputationnelle, et risque d’effet d’entraînement (la condamnation publique d’un responsable engendre fréquemment des assignations en cascade par d’autres personnes concernées).

L’Art. 83 RGPD ne s’applique pas aux décisions juridictionnelles civiles, mais une condamnation civile bien motivée peut alimenter une saisine ultérieure de la CNIL au titre de l’Art. 77 et déclencher une sanction administrative cumulative.

Ce qu’il faut retenir

• L’Art. 79 RGPD ouvre un droit autonome au recours juridictionnel direct contre le responsable de traitement ou le sous-traitant, sans préjudice des recours administratifs (Art. 77) et juridictionnels contre la CNIL (Art. 78).
• Le for compétent est, au choix de la personne concernée, celui de l’État membre où le responsable a un établissement OU celui de sa résidence habituelle (sauf autorités publiques). En France, le tribunal judiciaire est compétent ; le TJ Paris est exclusivement compétent pour les actions de groupe.
• Les voies se cumulent : la CJUE C-132/21 NAIH du 12 janvier 2023 a confirmé que les recours Art. 77, 78 et 79 sont autonomes et peuvent être exercés concurremment.
• L’Art. 79 ouvre les demandes en cessation, effacement, exécution des droits (couplé aux Art. 12 à 22), en indemnisation (couplé à l’Art. 82), et en action de groupe (couplé à l’Art. 80).
• Les responsables se préparent par l’industrialisation des droits, la documentation accountability, la cartographie des fors et la coordination des procédures CNIL et civile.

C’est ce type de cartographie procédurale, de traçabilité des demandes et de préparation contentieuse que Legiscope automatise pour les responsables de traitement et les DPO.

FAQ

Faut-il avoir saisi la CNIL avant d’agir au titre de l’Art. 79 ?

Non. La saisine de la CNIL au titre de l’Art. 77 n’est pas un préalable obligatoire à l’action civile Art. 79. La CJUE l’a expressément confirmé dans l’arrêt C-132/21 NAIH du 12 janvier 2023 : les voies sont autonomes et peuvent être exercées simultanément. En pratique, les deux voies sont souvent menées en parallèle pour combiner pression administrative et contentieux civil.

Puis-je assigner Meta, Google ou Microsoft devant un tribunal français ?

Oui, si vous avez votre résidence habituelle en France (Art. 79(2)). Cette option vaut pour les personnes physiques contre des responsables privés établis dans un autre État membre. Le tribunal judiciaire français aura compétence, sous réserve d’éventuelles questions préjudicielles liées au mécanisme du guichet unique Art. 56. Cette option ne joue pas contre les autorités publiques d’un autre État membre exerçant la puissance publique.

Quelle est la différence entre l’Art. 79 et l’Art. 82 ?

L’Art. 79 est la voie procédurale : il ouvre le droit d’agir en justice contre le responsable. L’Art. 82 est le fondement substantiel de la demande indemnitaire : il fixe les conditions de la responsabilité civile. Une assignation indemnitaire combine les deux : Art. 79 pour la compétence, Art. 82 pour la condamnation à dommages et intérêts. L’Art. 79 permet aussi des demandes non indemnitaires (cessation, effacement, exécution des droits) qui ne relèvent pas de l’Art. 82.

Quel est le délai pour agir au titre de l’Art. 79 ?

Le RGPD ne fixe pas de délai propre. En droit français, le délai de prescription est celui de droit commun de cinq ans à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits (Art. 2224 C. civ.). Pour une violation continue (par exemple un traitement non conforme persistant), la prescription ne court qu’à compter de la cessation. Pour une fuite de données, elle court à compter de la connaissance par la personne concernée — souvent la notification de la violation Art. 34.

L’Art. 79 permet-il une action collective ?

Pas directement. L’Art. 79 ouvre une action individuelle. L’Art. 80 RGPD organise l’action collective via mandat à un organisme à but non lucratif (Art. 80(1)) ou, lorsque le droit national le permet, sans mandat (Art. 80(2)). En France, la loi n° 2024-364 du 22 avril 2024 a refondu l’action de groupe en matière de données personnelles : elle est désormais portée par des associations agréées devant le tribunal judiciaire de Paris, et permet à la fois la cessation collective et l’indemnisation des préjudices individuels.