Goldunion s’est fait pirater le 25 mars 2026. Noms, prénoms, adresse complète, factures d’achats, IBAN, carte d’identité ont été dérobés. Ma sécurité de client est en jeux maintenant que ces données sensibles ont fuité. Quel recours a-t-on quand on est victime d’une fuite de données ? Est-il possible de porter plainte ?
Léo répond :
Le règlement général sur la protection des données (RGPD) en son article 82, permet aux victimes d’une fuite de données d’exercer une action en responsabilité : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Toutefois, l’article 37 de la loi n° 78-17 du 6 janvier 1978 dispose que la responsabilité de la personne ayant causé le dommage ne peut être engagée que si le fait générateur du dommage est postérieur au 24 mai 2018 (date entrée en vigueur du RGPD).
Cette action en responsabilité s’exerce par le biais de l’action de groupe. La qualité pour agir en action de groupe est reconnue :
- Aux associations déclarées depuis 5 ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel ;
- Aux associations de défense des consommateurs agréées ;
- Aux organisations syndicales de salariés
Aussi, pour obtenir réparation, il faudrait donc que les victimes du piratage de Goldunion se réunissent pour intenter une action de groupe contre l’entreprise.
Toutefois, l’efficacité de cette voie d’action reste limitée, seules deux actions de groupe ont été intentées en France en matière de données personnelles.
- Internet Society France contre la société Facebook pour non-respect du RGPD en date du 26/03/2019 ;
- L’UFC-Que choisir contre Google en date du 06/05/2019 au motif que le consentement des utilisateurs pour la collecte et le traitement des données personnelles, notamment à des fins de publicités ciblées, n’est pas obtenu dans le respect RGPD.