Le RGPD a innové toutefois sur 2 points. Il offre aux États membres la possibilité : - de mettre en place une action de groupe à des fins d'indemnisation du préjudice subi par les personnes concernées ; - d'autoriser des associations non mandatées à représenter des personnes concernées afin d'exercer une action visant à la cessation du dommage. Le projet de loi relatif à la protection des données présenté en décembre 2017 par le gouvernement ne modifiait pas les dispositions relatives à l'action de groupe. Les députés lors de l'examen du projet ont cependant introduit une disposition à l'article 16 A visant à étendre le périmètre de cette action à l'indemnisation du préjudice subi. Cette disposition figure désormais à l'article 37-I, III de la loi Informatique et Libertés. Le texte précise cependant « que la responsabilité de la personne ayant commis le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018 ». Le recours contre une autorité de contrôle L'article 78 prévoit que « toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d'une autorité de contrôle qui la concerne ». Une personne concernée peut également engager un recours dans l'hypothèse où une autorité de contrôle ne traiterait pas une réclamation ou ne l'informerai pas dans un délai de 3 mois de l'état d'avancement ou de l'issue de sa réclamation. En France, c'est le Conseil d'État qui est compétent pour traiter les recours à l'encontre des décisions de la CNIL. A noter que les décisions implicites de la CNIL peuvent également donner lieu à un tel recours (CE, 10 déc. 2020, n° 429571). Focus sur l'indemnisation du préjudice subis par les personnes concernées Depuis 2020, les juridictions civiles de plusieurs pays européens ont examiné des demandes d'indemnisation du préjudice subis déposées par les personnes concernées en cas de violation de la réglementation sur la protection des données. À cette date et dans la mesure où ce contentieux relève de chaque juridiction nationale, il apparaît difficile d'identifier une tendance, certaines juridictions comme certains tribunaux allemands appliquant le droit de la responsabilité classique (nécessitant de démontrer un préjudice matériel ou non) et d'autres plus souples comme les juridictions néerlandaises ayant prononcé une indemnisation du seul fait de l'existence d'une violation de données. Dans le cadre d'un contentieux auprès de la CJUE, l'avocat général dans son opinion publiée le 6 octobre 2022 a considéré que la simple contrariété ou le simple désagrément que peut ressentir la personne à la suite de la connaissance d'une violation du RPGD la concernant ne pouvait pas fonder en soit un droit à indemnisation et que cette considération devait être accompagnée de la démonstration d'un préjudice moral ou matériel (Case C-300/21). RGPD : la protection des données à caractère personnel