Article 80 RGPD : représentation et action de groupe

L’article 77 RGPD ouvre la réclamation administrative devant la CNIL ; l’article 78 le recours contre l’autorité de contrôle ; l’article 79 le recours civil contre le responsable. L’article 80 complète cet édifice en organisant la représentation des personnes concernées par un organisme à but non lucratif. C’est l’article qui porte les actions collectives en France — dont l’action de groupe RGPD refondue par la loi n° 2024-364 du 22 avril 2024, désormais centralisée devant le tribunal judiciaire de Paris. Voici son analyse paragraphe par paragraphe, après vingt ans de conseil en droit des données.

Ce que dit l’article 80 du RGPD

L’Art. 80 s’intitule « Représentation des personnes concernées ». Il compte deux paragraphes qui distinguent deux régimes :

• l’Art. 80(1) consacre un droit universel de représentation sur mandat par un organisme à but non lucratif satisfaisant à quatre conditions cumulatives ;
• l’Art. 80(2) ouvre une option d’extension nationale : les États membres peuvent autoriser ces organismes à agir sans mandat lorsqu’ils estiment que les droits d’un certain nombre de personnes ont été violés.

La France a exercé ces deux options. La représentation sur mandat est ouverte de plein droit ; l’action sans mandat — appelée action de groupe — a d’abord été introduite par la loi du 18 novembre 2016, puis profondément refondue par la loi n° 2024-364 du 22 avril 2024 portant diverses dispositions d’adaptation au droit de l’Union européenne. Cette refonte a unifié le régime français des actions de groupe, supprimé certaines restrictions tenant à la nature du préjudice et désigné le tribunal judiciaire de Paris comme juridiction exclusive en matière de données personnelles.

L’enjeu pratique est considérable. Une violation affectant des dizaines de milliers de personnes — fuite de données, cookies sans consentement, prospection illicite, profilage non conforme — devient juridiquement opposable par une action unique portée par une association ou un syndicat, là où les actions individuelles Art. 79 demeurent économiquement marginales pour les préjudices unitaires inférieurs à quelques centaines d’euros.

Art. 80(1) : la représentation sur mandat — un droit universel

Le paragraphe 1 dispose : « La personne concernée a le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu’il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce le droit d’obtenir réparation visé à l’article 82 lorsque le droit d’un État membre le prévoit. »

Quatre conditions cumulatives encadrent l’organisme habilité à représenter une personne concernée.

Première condition : la constitution conforme au droit d’un État membre. L’organisme doit être valablement constitué sous une forme juridique reconnue (association loi de 1901 en France, association ou fondation dans les autres États membres). Une structure informelle, un collectif ad hoc ou une simple coordination en ligne ne satisfont pas cette exigence. La constitution doit être antérieure à l’action ; la création d’un véhicule juridique le jour même de la saisine pose des difficultés de recevabilité, notamment au regard de la condition d’ancienneté pour l’action sans mandat.

Deuxième condition : le but non lucratif. L’organisme ne doit pas avoir vocation à distribuer des bénéfices à ses membres. Cela exclut les sociétés commerciales, y compris les legal tech spécialisées dans le contentieux RGPD. La pratique allemande des Klagevehikel — sociétés de recouvrement collectives — a été expressément écartée par l’Art. 80(1). La CJUE C-757/22 Meta Platforms Ireland du 28 avril 2022 (Bundesverband der Verbraucherzentralen) a confirmé que les associations de consommateurs satisfont cette condition même lorsqu’elles bénéficient d’un soutien financier indirect par des sociétés commerciales, dès lors que leur structure juridique reste non lucrative.

Troisième condition : des objectifs statutaires d’intérêt public. Les statuts de l’organisme doivent prévoir une mission d’intérêt public — protection des consommateurs, défense des droits humains, protection des libertés numériques, défense des salariés. La rédaction statutaire est un point d’attention majeur. Une association dont les statuts viseraient strictement la défense des intérêts privés de ses membres serait écartée. C’est l’un des points sur lesquels la CJUE et les juridictions nationales contrôlent la recevabilité.

Quatrième condition : l’activité effective dans le domaine de la protection des données. L’organisme doit être actif — pas seulement compétent par les statuts, mais réellement engagé sur le terrain de la protection des données. Cette activité s’apprécie concrètement : publications, plaintes administratives, actions contentieuses antérieures, sensibilisation, formations. Le considérant 142 du RGPD renforce cette exigence en précisant que l’organisme doit avoir une « pratique » dans le domaine. La CJUE C-319/20 Meta Platforms Ireland du 28 avril 2022 a admis qu’une fédération nationale de consommateurs satisfaisait cette condition par son activité historique de plainte et d’information.

Étendue du mandat. L’Art. 80(1) permet à l’organisme mandaté d’exercer quatre prérogatives au nom de la personne concernée : déposer une réclamation Art. 77 devant la CNIL, exercer le recours juridictionnel Art. 78 contre les décisions de l’autorité, exercer le recours juridictionnel Art. 79 contre le responsable de traitement, et demander réparation Art. 82 — mais cette dernière prérogative dépend du droit national. La France l’a expressément ouverte par l’Art. 37 II de la loi Informatique et Libertés, dans sa rédaction issue de la loi du 22 avril 2024.

Limites du mandat. Le mandat ne crée pas une qualité pour agir autonome. L’organisme agit au nom de la personne concernée, qui demeure le titulaire des droits. La preuve du mandat doit être établie ; en pratique, les organismes utilisent des plateformes en ligne avec horodatage et signature électronique. La cessation du mandat (rétractation, décès) met fin à l’action sans toutefois nécessairement entraîner désistement, le juge pouvant régler les questions accessoires (frais, jugement).

Art. 80(2) : l’action sans mandat — option laissée aux États membres

Le paragraphe 2 dispose : « Les États membres peuvent prévoir que tout organisme visé au paragraphe 1 du présent article a, indépendamment de tout mandat confié par une personne concernée, le droit d’introduire, dans cet État membre, une réclamation auprès de l’autorité de contrôle qui est compétente en vertu de l’article 77 et d’exercer les droits visés aux articles 78 et 79 s’il considère que les droits d’une personne concernée prévus dans le présent règlement ont été violés à la suite du traitement. »

C’est une disposition optionnelle qui exige une transposition nationale. Tous les États membres ne l’ont pas exercée. La France l’a fait par l’Art. 37 de la loi Informatique et Libertés et par les dispositions du code de procédure civile relatives à l’action de groupe.

Champ matériel restreint à trois prérogatives. L’action sans mandat n’ouvre pas l’accès à l’Art. 82 sur l’indemnisation. C’est une différence majeure avec l’action sur mandat. L’Art. 80(2) couvre la réclamation Art. 77, le recours Art. 78 et le recours Art. 79 — autrement dit, les voies orientées vers l’injonction (cessation, suppression, mise en conformité) plus que vers la réparation pécuniaire. La distinction a été centrale dans la rédaction de la directive (UE) 2020/1828 du 25 novembre 2020 relative aux actions représentatives, qui complète l’Art. 80 RGPD pour les violations de droits collectifs des consommateurs et qui, depuis sa transposition en France, ouvre la voie de l’action en réparation collective.

Articulation avec la directive RDA et la loi du 22 avril 2024. La directive (UE) 2020/1828 — dite directive RDA (Representative Actions Directive) — a été transposée en France par la loi n° 2024-364 du 22 avril 2024 et par le décret n° 2024-1208 du 27 décembre 2024. Cette transposition a unifié le régime français des actions de groupe : un régime unique applicable à toutes les actions collectives, y compris en matière de données personnelles, avec deux objets possibles — la cessation du manquement et l’indemnisation des préjudices. Cette refonte est cruciale : elle a supprimé la limitation héritée de la loi du 20 juin 2018 qui restreignait l’action de groupe RGPD à la seule cessation du manquement et désormais permet d’obtenir, dans le même cadre procédural, l’indemnisation collective des préjudices subis.

Compétence du tribunal judiciaire de Paris. L’action de groupe RGPD relève désormais exclusivement du tribunal judiciaire de Paris (Art. L. 211-15 du code de l’organisation judiciaire et décret n° 2019-1333 du 11 décembre 2019). Cette spécialisation, rare dans le contentieux civil, s’explique par la technicité du droit applicable et par la nécessité d’une jurisprudence cohérente sur des dossiers à fort impact. La représentation par un avocat est obligatoire ; le ministère public est avisé.

Conditions de recevabilité de l’action de groupe. Deux conditions cumulatives encadrent l’action sans mandat dans sa version française :

• l’organisme requérant doit être agréé ou avoir une ancienneté minimale de cinq ans (régime antérieur) ou de deux ans (depuis la loi du 22 avril 2024) ;
• la violation alléguée doit avoir affecté au moins deux personnes placées dans une situation similaire — seuil très bas, qui ouvre largement l’action.

L’agrément ou la condition d’ancienneté est centrale. Les associations de consommateurs nationales agréées (UFC-Que Choisir, CLCV, Familles Rurales, Familles de France) bénéficient d’un agrément automatique. Les associations spécialisées — La Quadrature du Net, l’association européenne NOYB — doivent justifier de leur activité historique.

Cas pratiques : qui agit en France et en Europe sur le fondement de l’Art. 80

L’Art. 80 a connu une accélération marquée depuis 2022. Voici les acteurs structurants.

NOYB (None of Your Business). Fondée par Max Schrems en 2017, NOYB est l’organisme européen le plus actif sur le fondement de l’Art. 80(1) sur mandat. Plus de 800 plaintes Art. 77 déposées dans plus de 25 États membres entre 2018 et 2026, dont environ 150 à la CNIL — sur les cookies (Google, Amazon, Microsoft), sur les transferts hors UE, sur le consentement Pay-or-OK. NOYB a également fait progresser la jurisprudence CJUE par la voie préjudicielle (notamment C-300/21 Österreichische Post du 4 mai 2023 sur le dommage moral, et C-26/22 UF c/ Land Hessen du 7 décembre 2023 sur la motivation des décisions CNIL).

La Quadrature du Net. Active depuis 2008, La Quadrature a porté plusieurs actions de groupe RGPD significatives en France : contre Google, Amazon, Apple, Facebook et LinkedIn en 2018 (déposées le jour de l’entrée en application du RGPD), contre la reconnaissance faciale et contre les fichiers de police. Elle bénéficie de la condition d’ancienneté Art. 80(2) et a obtenu plusieurs décisions favorables de la CNIL et du Conseil d’État.

UFC-Que Choisir et CLCV. Les associations de consommateurs agréées portent les actions de groupe RGPD de masse, en particulier sur les violations de données affectant les clients de grandes plateformes (fuites de bases de données chez les opérateurs télécoms, les e-commerçants, les fournisseurs SaaS). La refonte du 22 avril 2024 et l’ouverture de l’indemnisation collective devraient accélérer ce contentieux à compter de 2026.

Bundesverband der Verbraucherzentralen (Allemagne). À l’origine de la CJUE C-757/22 Meta Platforms Ireland du 28 avril 2022, l’union allemande des associations de consommateurs a obtenu confirmation de sa qualité pour agir contre Meta sur le fondement combiné des règles allemandes de concurrence déloyale et de l’Art. 80(2). Cette décision a stabilisé la jurisprudence européenne sur la recevabilité des actions sans mandat portées par des associations généralistes.

ALCC, ANAFE, syndicats. D’autres acteurs émergent — associations sectorielles (ALCC pour les consommateurs, ANAFE pour les étrangers), syndicats salariaux pour la surveillance et les traitements RH (Art. 88 RGPD). La CGT, la CFDT et FO ont déjà saisi la CNIL sur des traitements liés au télétravail, à la géolocalisation des véhicules et aux outils de monitoring.

Articulation avec les autres voies de recours et avec l’Art. 82

L’Art. 80 ne crée pas une voie de recours autonome : il étend les voies des Art. 77, 78 et 79 en les rendant accessibles à des organismes représentants. L’articulation est la suivante.

Voie	Sur mandat (Art. 80(1))	Sans mandat (Art. 80(2) — France)
Réclamation CNIL (Art. 77)	Oui	Oui
Recours contre la CNIL (Art. 78)	Oui	Oui
Recours contre le responsable (Art. 79)	Oui	Oui
Indemnisation (Art. 82)	Oui (action de groupe en réparation, depuis 22 avril 2024)	Oui (action de groupe en réparation, depuis 22 avril 2024)

La CJUE C-132/21 NAIH du 12 janvier 2023 a confirmé l’autonomie et la cumulabilité des voies. Concrètement, une association peut, pour la même violation : déposer une réclamation à la CNIL, attendre la décision, contester un éventuel rejet devant le Conseil d’État, parallèlement assigner le responsable au TJ de Paris en cessation et en indemnisation collective. Le risque de chose jugée est limité par les différences d’objet et de parties.

Articulation avec la loi de 1968 sur le blocage et avec la directive RDA. Lorsque l’action porte sur des transferts internationaux et soulève des questions de droit étranger ou de responsabilité de filiales européennes de groupes américains, la coordination avec la loi n° 68-678 du 26 juillet 1968 (modifiée 2022) sur le blocage des injonctions étrangères doit être anticipée — voir mon analyse de l’article 48 RGPD sur les injonctions extraterritoriales.

Plan opérationnel : six chantiers défensifs côté responsable de traitement

L’exposition à l’Art. 80 s’apprécie en amont, dans la posture de conformité, et en aval, dans la gestion contentieuse. Voici les six chantiers que je recommande systématiquement aux clients exposés.

Chantier 1 — Cartographie des points de contact massifs. Identifier les traitements affectant plus de 1 000 personnes : bases clients, prospection, cookies, programmes de fidélité, applications mobiles, espaces clients web. Ces traitements sont les plus exposés aux actions de groupe parce qu’ils satisfont mécaniquement la condition de pluralité et offrent un préjudice unitaire bas mais agrégeable.

Chantier 2 — Industrialisation des droits. Une politique d’exercice des droits Art. 12-22 déficiente — délais dépassés, réponses standardisées non motivées, absence de procédure de vérification d’identité — est le premier signal qui déclenche les actions collectives. Les associations construisent leurs dossiers en demandant à plusieurs centaines de leurs membres d’exercer leur droit d’accès et en consolidant les non-réponses. Industrialiser le traitement des demandes — délai 1 mois, accusé de réception, réponse motivée, journalisation — est une mesure défensive de premier ordre. Voir ma checklist sur l’exercice des droits RGPD.

Chantier 3 — Documentation accountability. L’article 24 RGPD impose au responsable de prouver la conformité. En contentieux Art. 80, la production du registre Art. 30, des AIPD Art. 35, des contrats sous-traitants Art. 28, des journaux de violations Art. 33 et des analyses TIA pour les transferts est systématiquement demandée par le juge. L’absence ou l’insuffisance de cette documentation est lourdement sanctionnée — la CJUE C-340/21 NAP du 14 décembre 2023 sur la charge de la preuve s’applique pleinement aux actions Art. 80.

Chantier 4 — Cartographie des fors et des sous-traitants. Une violation impliquant un sous-traitant établi dans un autre État membre, ou un transfert vers un pays tiers, multiplie les fors compétents. La cartographie des transferts hors UE, des sous-traitants (Art. 28) et des co-responsables (Art. 26) permet d’anticiper les actions parallèles dans plusieurs États membres.

Chantier 5 — Couverture cyber-assurance. Les polices cyber-assurance de nouvelle génération couvrent désormais les actions de groupe RGPD avec sous-limites spécifiques. Vérifier la définition contractuelle de l’« action collective », les exclusions (notamment les sanctions Art. 83), les obligations de notification de l’assureur dans des délais courts (souvent 30 jours après réception de l’assignation), et la coordination avec la défense pénale.

Chantier 6 — Préparation contentieuse et veille jurisprudentielle. Désigner un avocat référent contentieux RGPD habilité aux Conseils (pour les recours Art. 78 devant le Conseil d’État) et un avocat à la cour pour le contentieux civil au TJ Paris. Maintenir une veille sur les décisions du tribunal judiciaire de Paris (chambre spécialisée), du Conseil d’État et de la CJUE.

C’est exactement ce type de cartographie et de documentation que Legiscope automatise pour les structures qui veulent industrialiser leur conformité — registre Art. 30 vivant, suivi des demandes de droits, journal des violations, contrats sous-traitants, AIPD.

Sanctions et exposition financière

L’Art. 80 ne crée pas un régime de sanctions distinct. Les conséquences d’une action de groupe gagnée par les requérants relèvent :

• des mesures de cessation et d’effacement ordonnées par le TJ Paris, le cas échéant sous astreinte ;
• de l’indemnisation collective des préjudices, fondée sur l’article 82 RGPD — montant unitaire multiplié par le nombre de membres du groupe ;
• des frais et dépens, qui peuvent être très significatifs en raison de la complexité du contentieux et de la durée des procédures (4 à 7 ans).

Une décision défavorable peut également déclencher une procédure CNIL parallèle au titre de l’article 83 — sanction administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial pour les violations relevant de l’Art. 83(5). C’est l’effet domino que les responsables sous-estiment souvent : le contentieux Art. 80 cristallise les preuves qui alimentent ensuite la sanction administrative.

Ce qu’il faut retenir

• L’Art. 80 organise la représentation des personnes concernées par un organisme à but non lucratif ; il étend les voies des Art. 77, 78, 79 et, depuis le 22 avril 2024 en France, l’Art. 82.
• L’Art. 80(1) ouvre une représentation sur mandat, soumise à quatre conditions cumulatives (constitution légale, but non lucratif, objectifs d’intérêt public, activité effective en protection des données).
• L’Art. 80(2) permet aux États membres d’autoriser une action sans mandat. La France a transposé cette option par la loi du 22 avril 2024, qui a refondu l’action de groupe.
• Le tribunal judiciaire de Paris est exclusivement compétent pour les actions de groupe RGPD, avec représentation obligatoire par avocat.
• Les principaux acteurs en France et en Europe sont NOYB, La Quadrature du Net, UFC-Que Choisir, CLCV et les Verbraucherzentralen allemands ; leur activité s’est intensifiée depuis 2022.
• La défense passe par six chantiers : cartographie des traitements massifs, industrialisation des droits, documentation accountability, cartographie des fors, cyber-assurance, préparation contentieuse.

FAQ

Une simple plateforme en ligne peut-elle exercer une action de groupe RGPD ?

Non. L’Art. 80(1) exige un organisme valablement constitué (association loi de 1901, fondation), un but non lucratif, des objectifs d’intérêt public et une activité effective en protection des données. Une plateforme commerciale, même habillée en collectif, ne satisfait pas ces conditions et serait écartée par le juge. La pratique allemande des sociétés de recouvrement collectif (Klagevehikel) a été expressément exclue par la rédaction de l’Art. 80.

Quelle différence entre l’action sur mandat (Art. 80(1)) et l’action de groupe (Art. 80(2)) ?

Sur mandat, l’organisme agit au nom des personnes concernées qui lui ont expressément donné mandat ; chaque personne reste titulaire de ses droits. En action de groupe, l’organisme agit sans mandat individuel pour le compte d’un groupe défini par des critères objectifs ; les personnes peuvent rejoindre le groupe après le jugement (régime opt-in) ou en sortir (opt-out selon les règles applicables). En France, l’action de groupe RGPD relève exclusivement du tribunal judiciaire de Paris.

L’action de groupe RGPD permet-elle d’obtenir des dommages-intérêts collectifs ?

Oui, depuis la loi n° 2024-364 du 22 avril 2024 transposant la directive (UE) 2020/1828. Avant cette réforme, l’action de groupe RGPD française se limitait à la cessation du manquement. Désormais, elle peut combiner cessation et indemnisation, ce qui change radicalement son intérêt économique. Les premières décisions au fond sur ce nouveau régime sont attendues à compter de 2026-2027.

Comment se prémunir contre les actions de groupe RGPD ?

La défense passe par six chantiers : cartographier les traitements affectant plus de 1 000 personnes ; industrialiser le traitement des droits des personnes (délai 1 mois, motivation, journalisation) ; documenter l’accountability (registre Art. 30, AIPD Art. 35, contrats sous-traitants) ; cartographier les sous-traitants et les fors compétents ; vérifier la couverture cyber-assurance ; désigner un avocat référent. La majorité des actions naissent de défaillances visibles — délais d’accès non tenus, cookies sans consentement, fuites mal gérées — qui nourrissent les dossiers des associations.

Quels organismes peuvent intenter une action de groupe RGPD en France ?

Les associations de consommateurs nationales agréées (UFC-Que Choisir, CLCV, Familles Rurales, Familles de France, ADEIC, Indecosa-CGT, etc.) bénéficient d’un agrément qui leur donne automatiquement qualité pour agir. Les associations spécialisées dans la protection des données (La Quadrature du Net, NOYB pour les actions transfrontalières) doivent justifier d’une ancienneté minimale de deux ans (régime issu de la loi du 22 avril 2024) et d’une activité effective dans le domaine. Les syndicats peuvent agir sur les traitements liés à l’emploi (surveillance, géolocalisation, télétravail).

---

Cet article vous a été utile ? Recevez chaque semaine mes analyses sur le RGPD, l’AI Act et la conformité numérique. Pas de spam, désabonnement en un clic.