données privées

7 Avr 2023

LE DROIT AU DEREFERENCEMENT

L’arrivée d’internet a grandement contribué au développement de nouveaux usages facilitant notre vie. Le développement des plateformes de services en ligne telles que les réseaux sociaux et les moteurs de recherches ont permis de faciliter nos échanges et notre accès à l’information.

Les moteurs de recherche sont des outils formidables qui correspondent à un grand répertoire d’informations libres qui, une fois en ligne, ne sont plus maîtrisées. Internet accroît le sentiment d’impunité et lorsque les informations sont accessibles à n’importe qui, nombreux sont les usages dérivés qui en sont fait pour ternir la réputation.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Face au problème grandissant, le droit est venu préciser le rôle des plateformes dans la gestion de leur contenu, mais également accorder des droits aux utilisateurs afin qu’internet ne deviennent pas une zone de non-droit.

Parmi ces droits, le droit au déréférencement permet de lutter contre la publication de données à caractère personnel qui porte atteinte aux droits fondamentaux de la personne ou à sa vie privée. Il permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne.

Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et aujourd’hui intégré à l’article 17 du RGPD. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17).
Issu d’une longue réflexion, cet article a créé le droit à l’effacement et a permis une inversion de la charge de la preuve, à présent le responsable de traitement supporte la charge de la preuve. Ce droit a vu son application précisée par une série d’arrêts rendus entre 2014 et 2020.

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

A travers cette saga jurisprudentielle, la Cour européenne de justice, mais également le Conseil d’État se sont attelés à définir les modalités de mise en œuvre du droit au déréférencement aux moteurs de recherche (I). En pratique, le droit au déréférencement a connu différentes évolutions, mais connaît également de nombreuses limites aussi bien à travers sa mise en œuvre, qu’à travers le rôle accordé aux moteurs de recherche (II).

I. La définition des modalités de mise en œuvre du droit au déréférencement

Afin de garantir une protection adéquate des personnes faisant l’objet d’un traitement de données par les moteurs de recherche, la CJUE a dû déterminer les responsabilités et devoirs de ces nouveaux acteurs au regard de la législation existante. Pour se faire, elle a d’abord procédé à la vérification de l’applicabilité de la directive européenne 95/46/CE aux moteurs de recherche (A). Elle a ensuite fixé un ensemble d’obligations découlant de la réglementation et définit leurs modalités de mise en œuvre par ces mêmes acteurs (B).

A. L’intervention de la CJUE dans la détermination de l’application de la Directive 95/46/CE aux moteurs de recherche

C’est à l’occasion de sa célèbre décision en date du 13 mai 2014 que la CJUE est venue préciser les modalités d’application du droit au déréférencement par les moteurs de recherche. (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)

Dans un premier temps, la CJUE procède à la vérification de l’applicabilité de la Directive 95/46/CE (aujourd’hui abrogée) au moteur de recherche, en l’occurrence Google.
Pour se faire elle effectue une qualification des activités du moteur de recherche qu’elle considère par extension de son interprétation classique, être des traitements de données. Puis, elle effectue un contrôle sur la qualité du moteur de recherche, et au regard de ses activités et de son rôle dans la détermination des finalités et moyens du traitement, lui confère la qualité de responsable de traitement.

La Cour l’existence d’un lien de cause à effet entre les résultats indexés par le moteur de recherche dans le cadre de ses activités et les atteintes à la vie privée dont sont victimes les personnes concernées.

Cette décision s’accorde difficilement avec la position antérieure de la CJUE qui considérait que ce même moteur de recherche, Google, avait un rôle « purement technique, automatique et passif ». (Arrêt de la CJUE du 23 mars 2010, affaires jointes C-236/08 à C-238/08 : )

Ce raisonnement adopté par la Cour témoigne de sa volonté de faire produire ses effets à la directive européenne afin de réguler les activités du moteur de recherche. La CJUE confirme l’application de la Directive 95/46/CE et ordonne à Google de la respecter afin de garantir une protection efficace et complète des personnes concernées.

Dans un second temps la Cour doit déterminer si la localisation de Google n’empêche pas l’application de la Directive 95/46/CE. Pour se faire, elle analyse si l’entreprise remplie une des trois conditions fixées par la directive. La Cour se livre alors à une réécriture du considérant 19 de la directive et procède à la qualification d’établissement stable de Google Spain.

Cette mise en balance des différents intérêts a permis de renforcer la protection des personnes concernées et de responsabiliser Google envers ses utilisateurs. Cette décision ne responsabilise pas seulement Google, elle apporte ainsi un cadre nouveau pour les moteurs de recherches qui devront, dès à présent, se conformer à la Directive 95/46/CE.

B. La définition des critères d’évaluation du droit au déréférencement

En vertu de la Directive 95/46/CE, les États membres garantissent aux personnes concernées le droit d’obtenir du responsable de traitement, en l’occurrence le moteur de recherche, l’effacement, la rectification ou le verrouillage des données dont le traitement n’est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

A travers cette décision, la CJUE définit les critères qui devront permettre aux moteurs de recherche de statuer sur une demande de déréférencement.

Dès lors, chaque demande de déréférencement devra être appréciée au cas par cas afin d’effectuer un juste équilibre (principe de proportionnalité) entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, et le droit à l’information et le droit de la presse. Le droit à l’oubli n’est par conséquent pas un droit absolu.

Précisé par la jurisprudence de 2019, cet examen devra se faire à la lumière d’autres critères que sont la notoriété et la fonction de la personne concernée, il s’agira de déterminer si c’est une personne publique. L’âge de la personne concernée, notamment son âge au moment de la publication, mais aussi la nature des contenus en cause leur caractère plus ou moins objectif, leur exactitude, de s’interroger sur leurs sources.

Le responsable de traitements devra également vérifier les conditions et la date de mise en ligne des contenus, et enfin les éventuelles répercussions que leur référencement est susceptible d’avoir pour la personne concernée (par exemple si la personne rencontre des difficultés à obtenir un prêt, car un article concernant d’anciennes insolvabilités est en ligne).

Cet examen doit se faire à la lumière de différents critères que sont la notoriété, l’âge de minorité, la nature des informations référencées, l’éventuel préjudice subi, le contexte de la publication. Ce qui n’est pas sans rappeler les éléments pris en compte par les juridictions françaises pour déterminer une atteinte à la vie privée.

Ainsi « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».

Finalement, la nouveauté de cet arrêt réside dans le fait que le moteur de recherche peut être obligé de désindexer lesdits liens, même si les données à caractère personnel continuent à demeurer sur les sites web.

II. Les évolutions et les limites de la pratique du droit au déréférencement/du droit à l’oubli

La jurisprudence européenne offre de nouvelles perspectives en instaurant de nouvelles obligations aux moteurs de recherches. Précisé par une série d’arrêts qui découlent de cette première décision, la portée territoriale du droit au déréférencement fait aujourd’hui l’objet de discussions (A). La jurisprudence a amené à la fois des évolutions, mais également d’autres limites dans l’octroi du droit au déréférencement (B).

A. Les limites de la portée territoriale

A la suite d’un différend opposant Google Inc. et la CNIL, le Conseil d’État saisi d’une question préjudicielle la CJUE afin de déterminer la portée territoriale du droit au déréférencement. Autrement dit, s’arrête-t-il aux frontières de l’Union européenne ?

En réponse à cette question, la portée et les limites du droit au déréférencement ont été précisées par la CJUE dans deux nouveaux arrêts du 24 septembre 2019. (https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9762 et https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9963)

A travers l’un de ses deux arrêts, la CJUE répond et considère que le droit au déréférencement doit être respecté dans les États membres de l’Union européenne. Il n’est pas contraignant pour les autres pays. Un moteur de recherche qui reçoit une demande de déréférencement par un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaines européens (google.fr, google.be, google.de, etc.).

Toutefois, la Cour de justice de l’Union européenne précise que, si le droit de l’Union n’impose pas cette portée mondiale, « il ne l’interdit pas non plus », ce qui permet à une autorité de contrôle ou à une autorité judiciaire d’ordonner un déréférencement à portée mondiale.

Par une série de décisions rendues le 6 décembre 2019, le Conseil d’État tire les conséquences des décisions de la CJUE.

Cette saga jurisprudentielle s’achèvera le 27 mars 2020, date à laquelle le Conseil d’État prend acte du jugement rendu par la Cour de justice de l’Union européenne et annule la délibération de la CNIL ordonnant un déréférencement mondial. En France, aucune mesure législative ne permet en effet à la CNIL d’exiger de procéder à un déréférencement d’une telle envergure.

Cette décision révèle des difficultés techniques propres aux nouvelles technologies, mais aussi législatives et soulève des interrogations.

L’approbation du déréférencement à échelle européenne n’empêche pas en effet l’utilisation d’outils techniques (VPN) permettant d’outrepasser la mise en œuvre du déréférencement, ce qui remet en cause l’effectivité de ce procédé visant à protéger les utilisateurs. Ne devrait-on pas adapter cette solution à l’état de l’art ?

B. Les évolutions et les limites de l’exercice du droit au déréférencement induites par la jurisprudence

Ces jurisprudences ont allégé le processus judiciaire auparavant requis pour faire droit à une demande de déréférencement. Il n’est plus nécessaire de passer au préalable par la case tribunal. Les moteurs de recherche mettent à disposition des formulaires qui permettent d’effectuer une demande de déréférencement. . En cas de recours contre une décision prise par un moteur de recherche, il n’est pas non plus nécessaire non plus d’emprunter le chemin des tribunaux. La CNIL sert d’intermédiaire. Cela évite des frais judiciaires aux personnes qui souhaiteraient exercer ce droit.

En revanche, le pouvoir conféré aux moteurs de recherche fait l’objet de débats. En effet, ils sont, dans la première partie du processus, les seuls a apprécié s’ils accordent le déréférencement ou non, et ce même pour des contenus licites. Il s’agit de conférer à un acteur privé le rôle de concilier deux libertés fondamentales, le droit au respect de sa vie privée et la liberté de la presse. Ce qui entre dans le domaine de compétence des juges et non pas des acteurs privés.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

SOURCES :

Pour visualiser l’article 17 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17
Différence déréférencement et effacement : https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
« Il serait contraire non seulement au libellé clair, mais également à l’objectif de cette disposition, consistant à assurer, par une définition large de la notion de responsable, une protection efficace et complète des personnes concernées, d’exclure de celle-ci l’exploitant d’un moteur de recherche au motif qu’il n’exerce pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers ». (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)
Pour consulter l’arrêt de la CJUE du 23 mars 2010, affaires jointes C-236/08 à C-238/08. : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A62008CJ0236
« Les droits à la vie privée et à la protection des données à caractère personnel doivent se concilier avec les droits à la liberté d’expression et d’information, ce dans la recherche d’un juste équilibre entre les droits de la personne concernée et l’intérêt légitime des internautes potentiellement intéressés à avoir accès à une information ». (TGI Paris, ordonnance de référé du 12 mai 2017, Madame X. / Google France et Google Inc.)
Pour consulter des résumés des arrêts de la CJUE en date du 24 septembre 2019 : https://www.cnil.fr/fr/droit-au-dereferencement-la-cjue-rendu-ses-arrets
Pour consulter les arrêts de la CJUE en date du 24 septembre 2019 : https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9762
Et https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9963
Pour consulter les décisions du Conseil d’État, 06/12/2019, 429154 :
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000039457006Accès aux formulaires de demande de déréférencement (CNIL):
https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
Marion Polidori, « L’arrêt Google Spain de la CJUE du 13 mai 2014 et le droit à l’oubli » Dans Civitas Europa 2015/1 (N° 34), pages 243 à 266 : https://www.cairn.info/revue-civitas-europa-2015-1-page-243.htm
Pour consulter l’article relatif au nombre de demandes dé déréférencement reçues par Google en 2014 : https://www.nextinpact.com/article/14441/89364-google-recoit-desormais-million-demandes-dereferencement-par-jour

Par Murielle Cahen • internet-et-droit • • Tags: diffamation, données personnelles, données privées, réputation

4 Mai 2021

QUEL AVOCAT POUR LA PROTECTION DE VOS DONNEES ?

La loi et le RGPD visent tous deux le « traitement des données à caractère personnel » qui, par son caractère automatique (absence d’intervention humaine) ou manuel (à partir de 2004), comporte des risques certains quant aux traitements et usages excessifs qui pourraient en être faits par détournement de finalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi, l’article 2 de la loi dite « Informatique et libertés » précise qu’elle s’applique « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 ».

Données à caractère personnel : La loi et le RGPD définissent les données à caractère personnel comme « toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

En outre, le développement des nouvelles technologies constitue un progrès indéniable. Dans de nombreux cas, leur utilisation facilite en effet le quotidien.

Force est de constater que tous ces systèmes informatisés sont enfin une source riche d’informations, y compris pour soi-même avec le développement des objets connectés. En effet, à bien y regarder, l’utilisation des nouvelles technologies, aussi généralisée et banale soit-elle, n’est pas sans risques : Risques d’immixtion dans la vie privée.

Comment protéger ses données à caractère personnel ? Quel spécialiste de la protection des données à caractère personnel est habilité à vous conseiller voire à protéger vos données ?

Pour répondre à toutes ces préoccupations, l’avocat spécialisé en droit de la protection des données à caractère personnel devient un recours indispensable pour la défense de vos droits.

Le cabinet d’Avocats de Maître Murielle-CAHEN, spécialisé (e) en droit internet et informatique ainsi qu’en droit de la Propriété intellectuelle intervient dans de nombreux domaines du droit des données personnelles, au-delà de la mise en conformité RGPD et accompagne ses clients au titre du conseil et en cas de contentieux (assistance en cas de contrôle, assistance suite à mise en demeure, sanctions).

I. L’avocat en droit des données à caractère personnel vous aide dans la mise en conformité RGPD

A. Objet et objectifs du RGPD

L’avocat en droit des données à caractère personnel vous aidera à la mise en conformité RGPD. En effet, depuis le 25 mai 2018, le RGPD ou règlement général sur la protection des données en vigueur depuis le 25 mai 2016 est directement applicable dans notre législation (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016).

Le RGPD est applicable dans toutes ses dispositions et obligations depuis le 25 mai 2018, mais les États membres ont sur certains points une latitude pour le mettre en œuvre. En effet, dix articles de la loi exploitent les 57 marges de manœuvre permises par le RGPD, règlement sui generis qui, bien que d’application directe, compte plus de cinquante dispositions renvoyant au droit des États.

Il abroge la directive 95/46/CE du 24 octobre 1995 du même nom et ses dispositions sont prises en compte dans la nouvelle Loi informatique et libertés du 20 juin 2018 (L. n° 2018-493, 20 juin 2018 : JO, 21 juin), dont l’objet de responsabiliser le responsable de traitement afin que les principes relatifs au traitement de données à caractère personnel soient respectés et que ces données soient traitées de manière licite, loyale et transparente.

La loi du 20 juin 2018 conformément à la logique de renforcement du contrôle a posteriori du RGPD, supprime la plupart des démarches préalables auprès de la CNIL, en adoptant un système de contrôle a posteriori. En passant d’une logique de déclaration préalable à un régime de mise en conformité, la réforme fait ainsi peser de nouvelles responsabilités sur les entreprises.

L’ordonnance du 12 décembre 2018 est venue réécrire la loi informatique et libertés, dans une 4e version, compte tenu des nombreuses incohérences qu’elle comportait encore à la suite de la synthèse difficile qu’elle avait opérée entre la directive et le RGPD (Ord. n° 2018-1125, 12 déc. 2018 : JO, 13 déc.).

B. Traitements de données à caractère personnel visés

Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (RGPD, 27 avr. 2016, art. 2, § 1). Cette définition reprend mot pour mot celle de la directive de 1995 (Dir. 95/46/CE, art. 3, § 1).

Le règlement européen protège les données à caractère personnel de personnes physiques telles, que par exemple les clients, les salariés d’une entreprise, données qui permet d’identifier la personne ou de la rendre identifiable.

Pour ce qui concerne les données personnelles, le RGPD vise les données ou informations se rapportant à une personne physique identifiée ou identifiable. À titre d’exemples, sont des données directement identifiantes les noms et prénom, une photographie, un e-mail nominatif, tandis que les données indirectement identifiantes sont un identifiant de compte, un numéro de téléphone, le NIR (le numéro de sécurité sociale), une empreinte digitale, une adresse IP.

Quant au traitement, ce n’est pas uniquement un fichier, une base de données ou un tableau Excel ; il peut aussi s’agir d’une installation de vidéosurveillance, d’un système de paiement par carte bancaire ou de reconnaissance biométrique (RGPD, art. 4, 2).

II. L’avocat en droit des données à caractère personnel défend votre consentement pour l’utilisation de vos données

L’avocat pourra défendre vos droits au consentement RGPD devant les juridictions. En effet, le responsable peut procéder à un traitement de données personnelles dès lors que la personne concernée a consenti à ce traitement pour une ou plusieurs finalités spécifiques. Le consentement doit ici être compris au sens donné par la RGPD qui indique qu’il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, § 11).

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire.

Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

Le consentement doit encore être spécifique en ce sens qu’il doit être donné pour un traitement en particulier pour une finalité donnée. Dès lors que plusieurs finalités sont visées, la personne concernée devrait pouvoir consentir indépendamment pour l’une ou l’autre des finalités. Le G29 préconisait en ce sens une granularité des consentements en fonction des finalités (Lignes directrices CEPD n° 05/2020, 4 mai 2020).

Troisièmement, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

Enfin, le consentement doit être univoque. Cela signifie qu’il doit être exprimé sans aucune ambiguïté.

Pour cette raison, le RGPD édicte que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (RGPD, art. 7, § 2).

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante.

De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non. S’agissant des cookies, rappelons qu’en juillet 2019, la CNIL a adopté une délibération par laquelle elle a modifié sa doctrine en matière de recueil de consentement au moment de déposer les cookies pour exiger un consentement conforme à celui du RGPD.

Il est à noter que la décision de la CNIL de reporter d’un an l’application de cette exigence de consentement conforme au RGPD en matière de cookies a fait l’objet d’un recours devant le Conseil d’État qui a été rejeté le 16 octobre 2019 (CE, 16 oct. 2019, n° 433069).

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptés par la CNIL le 4 juillet 2019, mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Cette pratique consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion (CE, 19 juin 2020, n° 434684).

III. L’avocat en droit des données à caractère personnel vous accompagne dans votre recours en cas de non-respect de vos droits

A. Droit de saisir la CNIL

L’avocat pourra saisir la CNIL pour la défense des droits de son client. En effet, toute personne concernée a le droit d’introduire une réclamation, une pétition ou une plainte auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel (RGPD, art. 77).

Si elle estime que la réclamation est fondée, la CNIL peut désormais demander au Conseil d’État d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée.

Elle doit alors assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision d’adéquation et les actes pris par la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt Schrems dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du « Safe Harbor » (L. n° 78-17, 6 janv. 1978, art. 39).

Pour l’année 2018, la CNIL indique avoir enregistré 11 077 plaintes de personnes concernées, soit une hausse de 32,5 % par rapport à l’année précédente. La CNIL précise que, le plus souvent, elle « intervient auprès du responsable du fichier pour l’informer des manquements soulevés par le plaignant et des textes applicables, afin qu’il se mette en conformité et respecte les droits des personnes ». Pour 2018, ces plaintes portent sur la diffusion de données sur internet (373 demandes de déréférencement), sur le secteur marketing/commerce, sur celui des ressources humaines, sur les secteurs de la banque et du crédit ou encore de la santé et du social (CNIL, Rapp. D’activité 2018, La Documentation française, avr. 2019, p. 42 et s.).

B. Droit de saisir les juridictions des ordres administratifs et judiciaires

L’avocat pourra saisir les juridictions de l’ordre administratif et judiciaire. En effet, l’’action peut être exercée pour lutter contre une décision de la CNIL (RGPD, art. 78) ou du responsable de traitement ou sous-traitant (RGPD, art. 79). Dans le cadre d’un litige transfrontalier, l’action est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique (RGPD, art. 79, § 2).

Le recours peut être formé à titre individuel ou collectif. Cette possibilité de mettre en œuvre une action de groupe en cas de violation des règles inhérentes au traitement de données personnelles est une innovation du RGPD (RGPD, art. 80). Elle a été intégrée dans le corpus juridique français aux articles 37 et suivants de la loi du 6 janvier 1978.

Pour l’intenter, il est nécessaire que plusieurs personnes physiques placées dans une situation similaire aient subi « un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD ou de la loi informatique et libertés par un responsable du traitement ou un sous-traitant » (L. n° 78-17, 6 janv. 1978, art. 37, II). Quant à ses modalités, l’action peut être portée à l’encontre d’un responsable de traitement ou d’un sous-traitant devant une juridiction administrative ou civile par trois catégories de personnes morales.

Il peut s’agir d’une association régulièrement déclarée depuis au moins cinq et ayant dans son objet statutaire la protection de la vie privée ou la protection des données à caractère personnel, d’une association de défense des consommateurs représentative au niveau national et agréé dès lors que le manquement en cause affecte un consommateur ou d’une organisation syndicale de salariés, de fonctionnaires ou de magistrats de l’ordre judiciaire représentative quand le traitement affecte les intérêts des personnes dont elles ont la défense en vertu de leurs statuts. Les cabinets d’avocats en sont par conséquent exclus.

La CNIL doit être tenue informée de la procédure. Pour que l’action aboutisse, le manquement doit être intervenu après le 24 mai 2018 et être de même nature pour toutes les personnes concernées qui décident d’engager la procédure. Si l’action est fondée, le responsable ou le sous-traitant peut se voir contraint de cesser le manquement et/ou, et c’est une nouveauté, d’indemniser les préjudices moraux et matériels subis par les personnes concernées.

Le dispositif encadrant les recours ouverts à la personne concernée est complété par la possibilité pour toute personne de mandater une association ou une organisation afin qu’elle agisse en son nom et pour son compte. Ici, le mandataire peut être l’une des personnes visées dans le cadre de l’action de groupe ou une association ou organisation dont l’objet statutaire est en relation avec la protection des droits et libertés ou encore une association dont la personne concernée est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.

L’éventail des personnes susceptibles d’agir en qualité de mandataire est donc plus large. Il faut noter qu’en matière pénale, cette action peut être portée devant la CNIL, contre la CNIL ou devant un juge contre un responsable de traitement ou un sous-traitant (L. n° 78-17, 6 janv. 1978, art. 38).

C. Conséquences de l’action – Engagement de la responsabilité du responsable et/ou du sous-traitant

Aux termes de l’article 82, § 2 du RGPD, il suffit qu’un responsable ait participé au traitement pour que sa responsabilité puisse être engagée en cas de dommage causé par une violation du règlement, à moins de prouver que le fait qui a provoqué le dommage ne lui est nullement imputable. À la lecture du texte, la responsabilité du responsable semble donc pouvoir être retenue largement.

Ce cadre diffère pour le sous-traitant dont la responsabilité peut désormais être engagée avec le RGPD. Tel est le cas s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. À l’image du responsable du traitement, le sous-traitant peut s’exonérer s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (RGPD, art. 82, § 2).

Pour la personne concernée, ce partage de la responsabilité n’est pas le système le plus protecteur. Pour cette raison, l’article 82, § 4 du RGPD instaure un mécanisme de solidarité lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement.

Dans cette situation, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celui qui a réparé intégralement le préjudice dispose dans un second temps, d’une action récursoire à l’encontre de ses codébiteurs (RGPD, art. 82, § 5).

Cette action récursoire n’est pas superflue au regard du renforcement des sanctions pécuniaires pouvant être prononcées par une autorité de contrôle. En effet, le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme qui ne respecterait pas le texte.

Cette amende varie en fonction de l’infraction commise, la CNIL pouvant tantôt sanctionner à hauteur de 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’organisme fautif, tantôt sanctionner à hauteur de 20 M€ ou 4 % du chiffre d’affaires annuel mondial, la plus haute des deux étant à chaque fois retenue comme amende maximum pouvant être prononcée (RGPD, art. 83, § 4 et 5).

Pour lire une version plus complète de cet article sur l’avocat et la protection des données personnelles, cliquez