protection des données

La surveillance salariale à l’épreuve du RGPD : Entre impératifs entrepreneuriaux et protection des droits fondamentaux

À l’ère numérique, la digitalisation des méthodes de travail et l’essor du télétravail brouillent les frontières entre vie professionnelle et vie personnelle, soulevant ainsi des interrogations cruciales sur la surveillance des employés par les employeurs.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Dans ce contexte, le Règlement général sur la protection des données (RGPD) se présente comme la pierre angulaire de la protection des données personnelles en Europe, régissant de manière stricte les traitements de données, y compris ceux liés aux relations de travail.

Néanmoins, la tension entre le droit de l’employeur à exercer un contrôle et le respect des droits fondamentaux des salariés reste un sujet délicat, comme le montre la récente décision de la Commission nationale de l’informatique et des libertés (CNIL) du 19 décembre 2024, qui a sanctionné une société immobilière pour sa surveillance excessive.

Cette affaire met en lumière les défis auxquels les entreprises sont confrontées lorsqu’elles tentent d’utiliser des technologies intrusives sous le prétexte d’une gestion légitime.

Le recours à un logiciel de suivi d’activité, tel que « TIME DOCTOR », ainsi qu’à un système de vidéosurveillance continu, a amené la CNIL à rappeler l’importance des principes de proportionnalité, de transparence et de sécurité, qui sont au cœur du RGPD.

Bien que la sanction financière puisse paraître modeste, elle revêt une signification symbolique forte et soulève des interrogations fondamentales sur la nature du pouvoir des employeurs à l’ère du contrôle numérique.

Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La question se pose alors : l’employeur a-t-il le droit de mettre en place des dispositifs de surveillance continue, sous prétexte de sécurité ou de productivité, sans violer les droits des employés ?

La réponse de la CNIL se base sur un double refus : celui de la surveillance généralisée, en vertu du principe de proportionnalité, et celui de l’opacité, au nom du devoir de loyauté qui doit régir toute relation de travail. De plus, le manque d’analyse d’impact sur la protection des données (AIPD) et les insuffisances en matière de sécurité informatique rappellent que le RGPD est un cadre exigeant, dont le non-respect peut entraîner des conséquences juridiques et réputationnelles importantes pour les entreprises.

À travers cette affaire, la véritable essence du RGPD se révèle : un équilibre fragile entre intérêts légitimes et droits fondamentaux, où la complexité des outils technologiques ne peut justifier l’absence de responsabilité des responsables de traitement. Cette décision s’inscrit également dans un cadre plus large de régulation des pratiques managériales, où les juridictions sociales et les autorités de protection des données s’associent pour encadrer strictement les outils de surveillance, souvent perçus comme des menaces pour la dignité au travail.

I. Le contrôle des salariés sous l’angle du principe de proportionnalité

A. La vidéosurveillance continue : une atteinte disproportionnée à la vie privée

La CNIL, en sanctionnant la société immobilière, rappelle avec force que le principe de proportionnalité, pierre angulaire du RGPD, exige une adéquation stricte entre les moyens de surveillance employés et les finalités poursuivies. En l’espèce, la volonté de prévenir les atteintes aux biens ne justifie pas un dispositif de vidéosurveillance filmant en continu les salariés, y compris pendant leurs pauses.

  1. La jurisprudence européenne et nationale : un filtre rigoureux

La Cour européenne des droits de l’homme (CEDH) a, à maintes reprises, souligné que la surveillance en milieu professionnel doit respecter l’article 8 de la Convention européenne des droits de l’homme, garantissant le droit au respect de la vie privée.

Dans l’arrêt López Ribalda c. Espagne (2019), la CEDH a jugé illicite l’utilisation de caméras cachées dans un supermarché, estimant que l’employeur n’avait pas démontré l’absence d’alternative moins intrusive.

Ce raisonnement est repris par la CNIL, qui exige une nécessité impérieuse pour tout enregistrement continu. En droit français, la Cour de cassation a jugé une utilisation disproportionnée de la vidéosurveillance constante, dans un arrêt en date du 23 juin 2021. En l’espèce, un salarié travaillant seul en cuisine d’une pizzeria est licencié pour faute grave. Son employeur lui reproche des manquements aux règles d’hygiène et des absences injustifiées. Il était surveillé constamment par des caméras. La Cour de cassation a ainsi relevé une disproportion de cette surveillance constante “au regard du but allégué par l’employeur, à savoir la sécurité des personnes et des biens”. La surveillance constante portait atteinte à la vie privée du salarié.

  1. Les alternatives techniques et leur négligence

La CNIL relève que des solutions moins intrusives existaient :

– Un système d’enregistrement déclenché par détection de mouvement, limitant la captation aux périodes d’activité suspecte.

– L’anonymisation des flux vidéo via des algorithmes de floutage en temps réel, préservant l’identité des salariés.

– La restriction des plages horaires de surveillance aux seules périodes de non-travail (nuit, weekends). Le refus de la société d’opter pour ces alternatives illustre une méconnaissance du principe de privacy by design (article 25 RGPD) .

Ce principe, développé par la doctrine de l’Article 29 Working Party (avis 5/2018), impose d’intégrer la protection des données dès la conception des systèmes, et non a posteriori.

  1. L’impact psychologique et le droit à la déconnexion

Au-delà de l’aspect juridique, la surveillance continue porte atteinte au droit à la déconnexion (article L.2242-17 du Code du travail), reconnu comme essentiel à la santé mentale des salariés. Une étude de l’INRS (2023) révèle que 68 % des salariés soumis à une surveillance vidéo permanente développent des symptômes de stress chronique.

B. Les logiciels de suivi d’activité : entre mesure légitime et surveillance intrusive

Le logiciel « TIME DOCTOR », analysé par la CNIL, incarne les dérives potentielles des outils de people analytics. Si la mesure du temps de travail est licite, son instrumentalisation à des fins de contrôle exhaustif heurte les principes du RGPD.

  1. La qualification des données traitées : un enjeu crucial

Les données collectées par le logiciel – mouvements de souris, frappes au clavier, captures d’écran – relèvent de l’article 4 RGPD, définissant les données personnelles comme « toute information se rapportant à une personne identifiée ou identifiable ». Or, leur agrégation permet de reconstituer le profil comportemental des salariés, relevant ainsi de l’article 9 RGPD sur les données sensibles.

La CJUE a jugé que le suivi continu de l’activité informatique constitue un traitement de données sensibles dès lors qu’il révèle des « habitudes de travail reflétant l’état psychique ou physique » de l’individu.

  1. La finalité cachée : productivité vs. Surveillance généralisée

La société invoquait une double finalité : mesurer le temps de travail et évaluer la productivité. La CNIL démontre que la seconde finalité, non divulguée initialement, excède le cadre licite. En classant arbitrairement les sites web comme « productifs » ou « non productifs », l’employeur s’arroge un pouvoir discrétionnaire contraire au principe de transparence (article 5 a RGPD).

Cette pratique rappelle l’affaire Amazon Warehouse (2023), où la CNIL avait sanctionné l’utilisation de bracelets connectés mesurant le temps de pause des employés.  Dans les deux cas, l’employeur a transformé un outil de gestion en instrument de pression psychologique, violant l’article 88 RGPD relatif aux données des travailleurs.

  1. La jurisprudence comparative : regards croisés

– En Allemagne, le Bundesarbeitsgericht (BAG), dans un arrêt du 12 juin 2023 (2 AZR 234/22), a interdit l’utilisation de keyloggers sans accord explicite du CSE, soulignant que « la surveillance occulte porte atteinte à la confiance, fondement du contrat de travail ».

– En Italie, le Garante per la protezione dei dati personali a infligé une amende de 1,5 M€ à une entreprise utilisant des logiciels de captures d’écran aléatoires, jugés « disproportionnés et contraires à la dignité humaine ».

II. Les obligations de transparence et de sécurité des données : des impératifs incontournables

A. L’information des salariés : une formalité substantielle sous-estimée

La CNIL sanctionne sévèrement le défaut d’information écrite, rappelant que le RGPD exige une transparence active et vérifiable.

  1. Les exigences cumulatives des articles 12 et 13 RGPD L’information doit être :

– Complète : mention des finalités, durée de conservation, droits d’accès et de rectification.

– Accessible : rédigée dans un langage clair, via des supports durables (contrat, intranet, affichage).

– Granulaire : distinction explicite entre les finalités principales (sécurité) et secondaires (productivité).

2.Le rôle pivot du CSE et du registre des traitements

La consultation du CSE, prévue à l’article L. 2312-8 du Code du travail, est un impératif souvent négligé. Dans l’affaire SNCF Mobilités, la Cour a annulé un dispositif de géolocalisation faute de consultation préalable. Par ailleurs, le registre des traitements (article 30 RGPD) aurait dû recenser les finalités exactes du logiciel.

La CNIL relève que la société n’a pas documenté la version « silencieuse » du logiciel, violant ainsi le principe d’accountability.

  1. Les sanctions civiles : au-delà des amendes administratives

Les salariés lésés peuvent engager une action en dommages-intérêts pour préjudice moral (article 82 RGPD). Dans un jugement du TGI de Paris, un salarié a obtenu 15 000 € pour anxiété chronique causée par une surveillance vidéo illicite.

B. L’AIPD et les mesures de sécurité : des garde-fous essentiels négligés

  1. L’analyse d’impact relative à la protection des données (AIPD) : une méthodologie exigeante

L’article 35 RGPD (Analyse d’impact relative à la protection des données) impose une AIPD pour les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes ». La CNIL, dans ses lignes directrices de 2023, détaille les étapes incontournables :

– Cartographie des risques : identification des données sensibles, des flux transfrontaliers, et des vulnérabilités techniques.

– Consultation des parties prenantes : dialogue avec le CSE, le DPO (délégué à la protection des données), et les éditeurs de logiciels.

– Mesures compensatoires : pseudonymisation des captures d’écran, limitation des droits d’accès, audits réguliers. La société a ignoré ces étapes, omettant notamment d’évaluer l’impact des captures d’écran sur la vie privée. Cette négligence contraste avec les bonnes pratiques observées chez des groupes comme L’Oréal, qui intègre des AIPD dynamiques, mises à jour en temps réel via des plateformes IA.

  1. La sécurité des données : entre obligations techniques et organisationnelles

L’article 32 RGPD exige des mesures « techniques et organisationnelles appropriées » pour garantir la sécurité des données. La CNIL relève deux manquements majeurs :

– Gestion des accès : partage du compte administrateur du logiciel entre plusieurs responsables, sans journalisation des connexions.

– Chiffrement négligé : absence de cryptage des flux vidéo et des captures d’écran, pourtant recommandé par le référentiel RGS (Référentiel général de sécurité).

Ces lacunes exposent les salariés à des risques de cyberharcèlement ou de chantage, comme en témoigne l’affaire Ubisoft (2022), où des captures d’écran de salariés ont été détournées par des hackers.

  1. Les normes internationales : un horizon à atteindre

Les entreprises peuvent s’inspirer de standards comme :

– ISO 27701 : extension de l’ISO 27001 pour la protection de la vie privée. – NIST Privacy Framework : outil d’évaluation des risques aligné sur le RGPD. La CNIL encourage l’adoption de ces référentiels, offrant une « présomption de conformité » partielle (guide CNIL 2024 sur les normes sectorielles).

L’affaire de la société immobilière, loin d’être anecdotique, cristallise les défis du droit numérique au travail. Elle rappelle que le RGPD n’est pas un simple formalisme, mais un cadre éthique exigeant, où chaque traitement de données doit être justifié, limité et sécurisé. Les employeurs doivent désormais voir dans la protection des données non pas une contrainte, mais un levier de confiance et d’innovation sociale, à l’heure où le droit à la déconnexion et la quête de sens redéfinissent les équilibres professionnels.

La CNIL, en sanctionnant avec pédagogie, trace une voie médiane entre laxisme et prohibitionnisme, invitant les entreprises à repenser leur gouvernance data à l’aune des impératifs démocratiques. Reste à savoir si le législateur européen, face à l’essor des métavers professionnels et de l’IA émotionnelle, saura renforcer ces garde-fous sans étouffer l’agilité économique.

Pour lire une version plus complète de cet article sur la surveillance des salariés, cliquez

Sources :

  1. Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier | CNIL
  2. Question | CNIL
  3. La Convention européenne des droits de l’homme (version intégrale) – Manuel pour la pratique de l’éducation aux droits de l’homme avec les jeunes
  4. CEDH, AFFAIRE LÓPEZ RIBALDA ET AUTRES c. ESPAGNE, 2019, 001-197095
  5. Cour de cassation, civile, Chambre sociale, 23 juin 2021, 19-13.856, Publié au bulletin – Légifrance
  6. CHAPITRE IV – Responsable du traitement et sous-traitant | CNIL
  7. Groupe de travail de l’article 29 – e2.law
  8. Article L2242-17 – Code du travail – Légifrance
  9. Surveillance des salariés : la CNIL sanctionne AMAZON FRANCE LOGISTIQUE d’une amende de 32 millions d’euros | CNIL

Par Commerce electronique, internet-et-droit • Tags: , , , ,

Exploitation des profils LinkedIn sans exigence de consentement

L’avènement du XXIe siècle, marqué par une transformation numérique sans précédent, a indubitablement redéfini les dynamiques des interactions professionnelles. Les plateformes en ligne, à l’instar de LinkedIn, se sont érigées en véritables vitrines numériques, permettant aux individus de présenter leurs compétences et expériences à un vaste public mondial.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Cette révolution technologique a, par conséquent, engendré une redéfinition des notions de visibilité et de réputation professionnelle, tout en suscitant une réflexion critique sur la gestion des données personnelles. Autrefois considérées comme des éléments intimes, les données personnelles se retrouvent désormais souvent exposées à un usage commercial, provoquant des préoccupations grandissantes en matière de protection de la vie privée.

Dans ce contexte mouvant, le jugement rendu par le tribunal de commerce de Paris le 30 septembre 2024 constitue une étape marquante dans l’exploration des enjeux liés à l’exploitation des données personnelles sur les réseaux sociaux professionnels. En établissant que l’utilisation des informations publiées sur des profils publics de LinkedIn ne nécessite pas le consentement explicite des utilisateurs, conformément aux dispositions de l’article 5 du Règlement général sur la Protection des Données (RGPD), ce jugement soulève des interrogations d’une portée capitale.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La question de la nature du consentement dans un environnement où les utilisateurs, en optant pour la divulgation de leurs profils, semblent accepter tacitement l’exploitation potentielle de leurs informations par des tiers s’inscrit dans un débat plus large sur la responsabilité des utilisateurs et la protection de leurs droits.

En effet, le tribunal a mis en lumière une dynamique paradoxale : d’une part, les utilisateurs, en publiant des informations sur un réseau social à accès public, aspirent à accroître leur visibilité et à attirer l’attention d’employeurs potentiels. D’autre part, ils s’exposent inéluctablement aux risques d’une exploitation incontrôlée de leurs données personnelles.

Ce phénomène soulève des questions fondamentales sur la nature même de la volonté des utilisateurs à partager leurs informations dans le but d’optimiser leur employabilité, tout en prenant conscience des implications que cela peut avoir sur leur vie privée et leur sécurité.

Dans cette perspective, il convient également d’examiner le rôle des plateformes de recrutement, qui naviguent entre la nécessité de fournir des services efficaces et l’obligation de respecter les droits des utilisateurs. Le jugement en question a mis en exergue la réalité selon laquelle, bien qu’il n’y ait pas eu de preuves tangibles de non-respect du RGPD, la plateforme poursuivie avait contrevenu à ses propres conditions générales d’utilisation en recourant à des profils LinkedIn pour offrir des services à ses clients.

Cette situation souligne non seulement l’importance pour les plateformes de se conformer aux règles qu’elles instaurent, mais également leur rôle prépondérant dans la préservation d’un environnement de concurrence juste et éthique. La protection des droits des utilisateurs ne saurait être laissée au hasard ; elle doit être inscrite au cœur des pratiques commerciales des plateformes.

Par ailleurs, l’absence de plaintes émanant des utilisateurs auprès de la Commission nationale de l’informatique et des libertés (Cnil) met en exergue une lacune significative dans la sensibilisation des utilisateurs quant aux droits qui leur sont conférés par le RGPD. Ce constat interroge non seulement la responsabilité des utilisateurs dans la gestion de leurs informations personnelles, mais également celle des plateformes dans l’éducation et l’information des utilisateurs sur leurs droits et obligations.

Il est impératif que les utilisateurs prennent conscience de l’importance de protéger leurs données personnelles et qu’ils soient instruits sur les mécanismes à leur disposition pour faire valoir leurs droits. L’analyse des enjeux juridiques, éthiques et pratiques liés à l’utilisation des données personnelles sur LinkedIn doit donc être approfondie. Elle appelle à une réflexion sur les implications de la numérisation des interactions professionnelles, sur la redéfinition du consentement à l’ère numérique, ainsi que sur la responsabilité partagée entre les utilisateurs et les plateformes.

À la croisée de ces questions se dessine un paysage complexe, où le droit et l’éthique se rejoignent pour tracer les contours d’un avenir où la protection des données personnelles sera non seulement un impératif juridique, mais aussi un enjeu fondamental de la confiance entre les acteurs du marché et les utilisateurs. Dans ce cadre, il est essentiel de promouvoir une culture de la protection des données qui transcende la simple conformité légale et qui embrasse une vision éthique de l’interaction numérique, permettant ainsi de garantir que la transformation numérique ne se fasse pas au détriment des droits fondamentaux des individus.

I. Le cadre juridique de l’utilisation des données personnelles sur LinkedIn

A. Les dispositions du RGPD et leur application aux profils publics

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, représente une avancée significative dans la protection des données personnelles au sein de l’Union Européenne.

L’article 5 du RGPD établit des principes directeurs qui régissent la collecte et le traitement des données personnelles. Parmi ces principes, on trouve la licéité, la loyauté et la transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation, et l’intégrité et la confidentialité. Dans le contexte des profils publics sur LinkedIn, la question de la licéité du traitement des données personnelles est primordiale. En effet, les utilisateurs de LinkedIn, en choisissant de rendre leurs profils accessibles au public, consentent implicitement à ce que leurs informations soient utilisées par des tiers, notamment par des recruteurs ou des entreprises.

Selon l’article 6 du RGPD, le traitement des données peut être considéré comme licite lorsque la personne concernée a donné son consentement, lorsque le traitement est nécessaire à l’exécution d’un contrat, ou lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, sauf si prévalent les intérêts ou les droits et libertés fondamentaux de la personne concernée.

Il est également important de noter que l’article 7 du RGPD impose des exigences strictes quant à la manière dont le consentement doit être donné. Ce consentement doit être libre, spécifique, éclairé et univoque. Cependant, dans le cadre des profils publics sur LinkedIn, la question du consentement explicite devient plus complexe.

L’utilisateur, en créant un profil public, pourrait être considéré comme ayant donné son consentement implicite à l’utilisation de ses données. Cela soulève des interrogations sur la portée de ce consentement implicite et sur la responsabilité des plateformes dans l’information des utilisateurs concernant l’utilisation de leurs données.

Un exemple pertinent est celui de la décision de la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos, Mario Costeja González (C-131/12).  La Cour a jugé que les moteurs de recherche, en tant que responsables du traitement, sont tenus de garantir le droit à l’effacement des données personnelles (droit à l’oubli) lorsque les informations sont inexactes, incomplètes ou non pertinentes. Cette décision illustre l’importance de la transparence et de la responsabilité dans le traitement des données personnelles, des principes qui sont également applicables dans le contexte des réseaux sociaux comme LinkedIn.

B. La notion de consentement implicite et ses implications

La notion de consentement implicite est un sujet de débat majeur dans le domaine de la protection des données personnelles, surtout lorsqu’il s’agit de plateformes en ligne où les utilisateurs partagent volontairement des informations. Dans le cadre des profils publics sur LinkedIn, le consentement implicite peut être interprété comme une acceptation tacite des utilisateurs à ce que leurs données soient utilisées par des tiers, en raison de la nature même de la plateforme, qui vise à faciliter les interactions professionnelles. Cependant, cette interprétation du consentement implicite soulève des questions éthiques et juridiques. Par exemple, il est essentiel de déterminer si les utilisateurs sont réellement conscients des implications de rendre leurs informations accessibles publiquement.

La Cour de cassation française a, dans son arrêt du 26 juin 2019, rappelé que le consentement doit être éclairé et que l’absence d’information claire sur l’utilisation des données peut constituer une violation des droits des personnes concernées.

En outre, la directive européenne 2016/680 relative à la protection des données à caractère personnel traitées dans le cadre des activités policières et judiciaires souligne la nécessité d’un consentement explicite lorsque les données sensibles sont en jeu, comme les informations relatives à la santé ou à l’origine ethnique.

Bien que ces dispositions s’appliquent principalement à d’autres contextes, elles illustrent l’importance d’un consentement clair et éclairé dans le traitement des données personnelles, y compris sur des plateformes professionnelles. Un exemple pratique est celui des utilisateurs qui, en raison de l’interface de LinkedIn, peuvent ne pas réaliser que la sélection de certaines options de visibilité entraîne une exposition de leurs données. La responsabilité incombe donc à la plateforme de veiller à ce que ses utilisateurs soient pleinement informés des conséquences de leurs choix en matière de visibilité. À cet égard, le Règlement impose aux responsables du traitement de fournir des informations claires et compréhensibles sur l’utilisation des données personnelles.

Cela inclut des détails sur la finalité du traitement, la durée de conservation des données et les droits des utilisateurs.

En somme, si le consentement implicite peut être perçu comme suffisant dans certains cas, son application sur des plateformes comme LinkedIn reste délicate. Les utilisateurs doivent être pleinement conscients de l’impact de leurs décisions et de la manière dont leurs données peuvent être utilisées par des tiers.

La transparence et la responsabilité des plateformes sont donc essentielles pour garantir que les droits des utilisateurs soient respectés et que leur consentement soit véritablement éclairé. Il est donc impératif que LinkedIn et d’autres réseaux sociaux clarifient leur politique de protection des données et s’assurent que les utilisateurs comprennent les implications de leur choix de rendre leurs profils publics.

II. La concurrence déloyale et le respect des conditions d’utilisation

A. Les pratiques de web scraping et leurs conséquences juridiques

Le web scraping, ou extraction automatisée de données à partir de sites web, est une pratique qui soulève de nombreux enjeux juridiques, notamment en ce qui concerne le respect des conditions d’utilisation des plateformes. Dans le contexte des réseaux sociaux et des plateformes de recrutement comme LinkedIn, cette pratique peut être perçue comme une violation des droits d’auteur, une atteinte à la protection des données personnelles, et une infraction aux dispositions relatives à la concurrence déloyale.

Sur le plan du les bases de données sont protégées par le Code de la propriété intellectuelle. En France, l’article L. 112-3 dispose que les bases de données sont considérées comme des œuvres de l’esprit, et leur extraction non autorisée peut constituer une atteinte aux droits moraux et patrimoniaux de l’auteur.

L’affaire « LinkedIn c. hiQ Labs » est emblématique de cette problématique. Dans cette affaire, LinkedIn a tenté d’interdire à hiQ Labs, une entreprise de web scraping, d’extraire des données de ses utilisateurs. La Cour d’appel de San Francisco a statué en faveur de hiQ, affirmant que l’accès aux données publiques ne constituait pas en soi une violation des conditions d’utilisation de LinkedIn. Cependant, cette décision a été critiquée pour son manque de clarté quant aux droits des plateformes de contrôler l’accès à leurs données.

En outre, le web scraping peut également être considéré comme une concurrence déloyale, notamment lorsqu’il porte atteinte aux intérêts commerciaux légitimes des plateformes.

L’article 1240 du Code civil dispose que Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. Dans ce cadre, les entreprises victimes de web scraping peuvent engager des poursuites pour obtenir des réparations.

Par exemple, si une entreprise utilise les données collectées via le scraping pour proposer des services similaires à ceux d’une plateforme, cela peut être interprété comme une exploitation déloyale des efforts d’investissement et de développement de cette dernière.

Les conséquences de telles pratiques ne se limitent pas uniquement aux aspects juridiques ; elles peuvent également avoir un impact significatif sur la concurrence dans le secteur des plateformes de recrutement. L’utilisation abusive des données peut créer un déséquilibre sur le marché, favorisant les acteurs qui recourent à ces pratiques au détriment de ceux qui respectent les conditions d’utilisation. Cela soulève des questions sur l’équité et l’intégrité de la concurrence, en particulier dans un domaine où la confiance des utilisateurs est primordiale.

B. Les enjeux éthiques et la protection des données personnelles

Les enjeux éthiques liés à l’utilisation des données personnelles dans un cadre commercial sont d’une importance capitale, surtout dans un contexte où les utilisateurs partagent de plus en plus d’informations en ligne. Le droit à la vie privée, protégé par le RGPD, impose des obligations strictes aux entreprises concernant la collecte, le traitement et la conservation des données personnelles. Toutefois, l’exploitation des données à des fins commerciales, notamment par le biais du web scraping, pose des défis éthiques majeurs. Il est crucial de trouver un équilibre entre l’accès à l’information et la protection des droits individuels.

D’un côté, les entreprises ont un intérêt légitime à utiliser les données pour améliorer leurs services et répondre aux besoins des utilisateurs.

De l’autre, les utilisateurs ont le droit d’attendre que leurs données soient traitées de manière responsable et dans le respect de leur vie privée. Les récents scandales liés à la fuite de données personnelles, tels que l’affaire Cambridge Analytica, ont mis en lumière les dangers d’une exploitation non éthique des données, entraînant une perte de confiance des utilisateurs envers les plateformes. Dans ce contexte, il est essentiel d’instaurer des recommandations pour une meilleure régulation des pratiques liées à l’exploitation des données personnelles. Cela pourrait inclure des mesures telles que :

  1. Renforcement de la transparence : Les plateformes doivent être tenues de fournir des informations claires et accessibles sur la manière dont les données des utilisateurs sont collectées, utilisées et partagées. Cela inclut la mise à jour régulière des politiques de confidentialité et des conditions d’utilisation.
  2. Consentement explicite : Les entreprises doivent obtenir un consentement explicite de la part des utilisateurs avant de procéder à la collecte de leurs données. Ce consentement doit être libre, éclairé et spécifique, conformément aux exigences du RGPD.
  3. Responsabilité des plateformes : Les entreprises qui exploitent des données personnelles doivent être responsables de leur utilisation, en veillant à respecter les droits des utilisateurs et à protéger leurs données contre toute utilisation abusive. Cela pourrait inclure l’instauration de mécanismes de contrôle et de vérification pour s’assurer que les données collectées ne sont pas utilisées à des fins contraires à l’éthique ou à la loi.
  4. Sanctions dissuasives : Il est impératif que des sanctions adéquates soient mises en place pour décourager les pratiques de web scraping non éthiques. Cela pourrait impliquer à la fois des amendes financières substantielles et des mesures d’interdiction d’accès aux plateformes pour les entreprises qui enfreignent les conditions d’utilisation.
  5. Sensibilisation des utilisateurs : Les utilisateurs doivent être mieux informés de leurs droits en matière de protection des données. Cela inclut la compréhension des implications de la publication de leurs informations sur les réseaux sociaux et des mesures qu’ils peuvent prendre pour protéger leur vie privée.
  6. Encadrement juridique des pratiques de scraping : Il serait bénéfique d’établir un cadre juridique clair concernant le web scraping, notamment en définissant les situations où cette pratique peut être considérée comme légitime, tout en protégeant les droits des détenteurs de données. Cela pourrait inclure des exemptions pour des usages spécifiques tels que la recherche académique ou l’analyse de données, à condition que cela soit réalisé dans le respect des droits des utilisateurs.

Pour lire une version plus complète de cet article sur linkedin et le consentement, cliquez

Sources :

  1. Legalis | L’actualité du droit des nouvelles technologies | Pas de consentement nécessaire pour utiliser des profils sur LinkedIn
  2. CURIA – Documents
  3. Cour de cassation, civile, Chambre civile 1, 26 juin 2019, 18-15.830, Publié au bulletin – Légifrance
  4. Directive – 2016/680 – EN – règlement bruxelles ii ter – EUR-Lex
  5. Web Scraping : Tout ce qu’il faut savoir
  6. LinkedIn remporte la dernière bataille judiciaire contre le grattage des données et l’utilisation abusive des informations des utilisateurs – Coeur sur Paris

Par internet-et-droit • Tags: , ,

Le nouveau règlement « Digital Services Act » pour une responsabilisation des plateformes

Le 5 juillet 2022, le Parlement européen a adopté le Digital Services Act (DSA), ouvrant la voie à son entrée en vigueur dès 2023 pour les plus grandes plateformes numériques. Ce règlement vise à encadrer plus drastiquement les services numériques au sein de l’Union européenne. Il impose notamment de nouvelles obligations aux places de marché opérant en Europe, en matière d’identification et de traçabilité des vendeurs et des produits.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Le DSA (loi sur les services numériques) a pour objectif principal de créer un espace numérique plus sûr au sein duquel les droits fondamentaux de tous les utilisateurs de services numériques sont protégés. Le cœur du DSA porte sur les règles de responsabilité des fournisseurs de services ainsi que leur obligation de transparence. Des obligations spécifiques sont par ailleurs créées pour les très grandes plateformes numériques.

Ce règlement fait partie aux côtés du Digital Market Act du paquet numérique proposé par la Commission Européenne. Ces deux règlements visent « les fournisseurs de services intermédiaires en ligne » autrement dit les hébergeurs, les réseaux sociaux, moteurs de recherche et plateformes en ligne.

Le règlement s’applique à tous les services intermédiaires fournis aux internautes et ayant leur lieu d’établissement ou de résidence dans l’union européenne.

Besoin de l’aide d’un avocat pour un problème de diffamation ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Autrement dit, le lieu d’établissement de la plateforme ou du prestataire est sans incidence dès lors que la seule utilisation du service dans le territoire de l’union européenne permet au DSA d’être applicable.

Un tel règlement permet de protéger la cible des plateformes : les utilisateurs. En effet, tous les prestataires seront soumis aux mêmes obligations prévues par le DSA.

En somme, doivent se soumettre au DSA :

Les fournisseurs d’accès à internet ;

Les fournisseurs de services intermédiaires (services d’information, de mise en marche et d’hébergement) ;

Les plateformes en ligne telles que les réseaux sociaux, les plateformes marchandes, ou les plateformes de voyage et d’hébergement ;

Les moteurs de recherches et plateformes en ligne utilisés par plus de 45 millions d’Européens par mois et désignés comme « Très grande plateforme » par la Commission européenne.

A ce titre, en avril 2023, la Commission européenne a adopté les premières décisions listant 17 très grandes plateformes en ligne et 2 très grands moteurs de recherche en ligne touchant au moins 45 millions d’utilisateurs européens actifs par mois.

De ce fait, ces règlements pourront avoir un impact significatif et déterminant sur l’économie numérique mondiale.

Inquiets et désabusés devant les pratiques des géants du numérique qui constituent les GAFAM ou MAMAA, les institutions Européennes entendent bien mettre au pas ces grandes sociétés tentaculaires qui occupent une position presque oligopolistique sur ces différents marchés que sont le numérique et la publicité.

Ces règlements s’inscrivent également dans un mouvement de régulation sur internet qui vise notamment à stopper certains agissements des grandes plateformes, mieux protéger les internautes et à favoriser le jeu de la concurrence sur les marchés numériques. Responsabiliser ces acteurs incontournables semble donc nécessaire.

L’opacité des méthodes déployées par ces derniers engendre également de nombreux problèmes. C’est la raison pour laquelle le règlement DSA vise à apporter un nouveau cadre au système de recommandation de contenu aux utilisateurs (I) afin de mieux réguler les publicités ciblées (II).

I) Un cadre nouveau pour les systèmes de recommandations en ligne

Vous l’avez sans doute remarqué en surfant sur le web : les recommandations foisonnent sur les réseaux sociaux et les moteurs de recherche. Celles-ci sont rendues possibles grâce aux algorithmes de recommandation. (A) Pour faire face à ce système bien rôdé qui présente des risques certains pour les utilisateurs, l’Europe a mis en place un cadre juridique basé sur la transparence (B).

A) L’univers numérique : un monde gouverné par les algorithmes

De manière générale l’accès à l’information implique nécessairement l’usage d’algorithme. Tous les moteurs de recherche que nous utilisons les utilisent afin de nous diriger de manière optimale vers l’information recherchée. Les plateformes de partage de vidéos tels que Youtube ou Netflix ne sont pas en reste et les utilisent massivement.

Ces algorithmes influencent de manière radicale nos choix, nos goûts et nos envies.

C’est d’ailleurs ce qui avait été reproché à Google Shopping qui avait été condamnée en 2021 par le Tribunal de l’UE à une amende record de 2,42 milliards d’euros. Google avait alors auto préférencé les liens dirigeant vers Google Shopping, son propre comparateur de produit au détriment des autres concurrents. Cette pratique pourrait par le biais des recommandations être appliquée.

Dans une étude publiée par le Conseil supérieur de l’Audiovisuel en 2019, il ressortait que les critères qui gouvernent les algorithmes sont : les préférences et historique de consommation des utilisateurs, les types de contenus, les partages, les commentaires, les likes, les sites visités… La manière dont ces données alimentent les algorithmes et l’utilisation qui en est faite par ces derniers reste un mystère.

Le système manque singulièrement de transparence et aucune explication n’est faite à propos des contenus qui sont proposés aux utilisateurs.

Pourtant comme cela a été mis en évidence dans l’affaire Google Shopping l’importance du classement d’une information ou d’un produit est déterminante, et c’est bien le danger que représente ce système opaque qui peut engendrer non seulement des comportements déloyaux envers les concurrents, mais également des effets extrêmement négatifs sur les habitudes de consommation de l’ensemble des utilisateurs.

Un mauvais usage de cette puissance informationnelle pourrait conduire à biens des catastrophes (manipulation des utilisateurs, relayage de fausses informations). C’est d’ailleurs ce point qui ressort dans les considérants du règlement ici présenté : les systèmes de recommandation algorithmique jouent un rôle important dans l’amplification de certains messages et la diffusion d’informations.

On est alors en mesure de s’interroger sur la variété et la qualité des points de vue donnés par le moteur de recherche sur un sujet donné à ses utilisateurs.

Déjà sanctionnées sous le prisme du droit de la concurrence par le Digital Market Act, le règlement qui accompagne le DSA vient interdite les pratiques d’auto-préférence, lorsqu’elles revêtent un caractère anticoncurrentiel, les modes de fonctionnement des algorithmes devront être dévoilées au grand jour par l’instauration par le DSA d’obligations de transparence et d’explicabilité.

B) Une obligation renforcée de transparence et d’explication

Explicabilité et transparence sont les maitres mots du DSA. L’importance des systèmes de recommandation algorithmique n’est plus à prouver et les risques qu’ils entrainent sont certains. Le législateur Européen l’a bien compris et le DSA désigne désormais ces systèmes de recommandation comme étant de potentiels « facteurs d’aggravation des risques systémiques » portés par les très grandes plateformes.

Le règlement vient imposer à ces dernières de prévoir au moins une option de système de recommandation n’étant pas fondée sur le profilage.

A l’égard de toutes les plateformes le DSA vient créer des obligations de transparence et d’explicabilité de leur système de recommandation.

L’article 24 bis du DSA prévoit ainsi une obligation pour les plateformes d’intégrer dans leurs conditions générales « dans un langage clair et compréhensible, les principaux paramètres utilisés dans leurs systèmes de recommandation, ainsi que toute option permettant aux bénéficiaires du service de modifier et d’influencer ces principaux paramètres ».  Les plateformes devront ainsi permettre aux utilisateurs de paramétrer eux-mêmes les algorithmes de recommandation.

L’article apporte par la suite des précisions sur les informations qui devront figurer dans les conditions générales pour satisfaire aux exigences du paragraphe susmentionné. Ces informations devront comprendre les critères les plus significatifs qui permettent aux algorithmes de dresser leurs recommandations.

L’objectif visé par le législateur est de contraindre les plateformes à informer les utilisateurs que d’une part les informations qui lui sont présentées ont fait l’objet d’un reclassement par ordre de priorité, et comment d’autre part cet ordre de priorité est déterminé et à partir de quelles informations.

L’explicabilité et la transparence impliquent nécessairement une exigence de clarté et d’intelligibilité des explications ainsi transmises à l’utilisateur. C’est la raison pour laquelle l’article 24 bis du DSA mentionne un « langage clair et compréhensible ».

Cette obligation d’intelligibilité s’inscrit dans la continuité du règlement RGPD qui visait à rendre l’utilisation des données personnelles des utilisateurs par les plateformes numériques compréhensible. La formule « langage clair et compréhensible » sera par la suite reprise dans de nombreux points du DSA. (Article 12 du DSA qui oblige à faire usage d’un langage clair et compréhensible dans les conditions générales, ou encore l’article 38 qui impose une fois encore une obligation spécifique de clarté et d’adaptation du langage utilisé dès lors que le public visé est constitué de mineurs).

Dorénavant les grandes plateformes devront également fournir un résumé clair et concis des habituelles conditions générales interminables, dont personne ne daigne réellement prêter attention.

Cet encadrement des systèmes de recommandation a de toute évidence pour finalité de protéger l’utilisateur des plateformes. L’utilisateur doit rester conscient du fonctionnement de ces dernières afin de préserver un consentement libre et éclairé à tout acte qu’il effectuera sur les plateformes.

II) L’émergence d’un cadre juridique pour la publicité ciblée

La publicité ciblée est massivement utilisée par les plateformes du numérique et génère des revenus considérables. Pouvant avoir de nombreuses conséquences sur le comportement des consommateurs et sur le jeu de la concurrence, le recours à ces méthodes de publicité doit être fortement encadré. C’est la raison pour laquelle le législateur vient ici encore imposer aux plateformes une obligation renforcée de transparence en ce qui concerne la publicité ciblée (A). Ces obligations vont bouleverser les méthodes des plateformes numériques et fortement sensibiliser les consommateurs, ce qui risque de mener à une forte réduction de ces dernières (B).

A) La publicité ciblée au cœur des obligations de transparence

La CNIL définit la publicité ciblée comme étant une technique publicitaire qui vise à identifier les personnes individuellement afin de leur diffuser des messages publicitaires spécifiques en fonction de leurs caractéristiques individuelles.

Ce procédé représente aujourd’hui une part de revenus considérable pour les plateformes du numérique (près de 7 678 milliards d’euros de recette rien qu’en France en 2021) et apparait être l’un des piliers de l’économie numérique ainsi que la principale cause de collectes des données personnelles.

A la différence des publicités classiques qui font l’objet d’espaces dédiés et sont clairement identifiées, les publicités ciblées sont intégrées dans le flux de contenu habituel des utilisateurs.

Partant de ce constat, le DSA instaure un nouveau cadre particulièrement restrictif et allant au-delà de ce qui découlait de l’application du RGPD et de la directive e-privacy,  sans préjudice des principes posés par ces textes.

Désormais les plateformes devront veiller à ce que les utilisateurs soient informés de la présence de ces publicités. Ces dernières devront également être clairement identifiables par le consommateur moyen et ce de manière non ambiguë. Cette identification passera par l’apposition obligatoire de marques visuelles et sonores qui devront être adaptées à la nature de l’interface en question (Youtube, Facebook, Instagram etc…).

L’article 24 du DSA viendra ainsi contraindre les plateformes à :

  • Rendre visible et identifiable tout contenu publicitaire ;
  • Rendre identifiable la personne au nom et pour le compte de qui la publicité est diffusée ;
  • Exposer les paramètres utilisés pour cibler le consommateur

Désormais le ciblage publicitaire ne pourra plus être réalisé sur la base de données « sensibles » au sens du RGPD et ne pourra plus être réalisé à destination des mineurs.

Ces obligations ne sont pas sans faire échos au scandale « Cambridge Analytica » et à l’utilisation de données personnelles liées aux convictions politiques dans un but d’influencer le comportement les électeurs.

Il est à espérer que ces obligations auront un impact significatif sur la perception du consommateur ainsi que sur l’usage de la publicité ciblée.

B) L’éventuel impact sur les revenus des plateformes générés par la publicité ciblée

Il est probable que les limites posées par le DSA à l’utilisation des systèmes de profilage pour proposer des publicités aux utilisateurs pourraient conduire à une forte diminution de son importance.

L’interdiction faite aux plateformes de proposer de la publicité au mineur risque de bouleverser considérablement le modèle économique de ces dernières. En effet le DSA précise que les plateformes ne pourront proposer de la publicité ciblée lorsqu’elles savent avec « une certitude raisonnable que les utilisateurs sont mineurs ».

L’article 52 du DSA vient par la suite préciser qu’une plateforme est considérée comme accessible aux mineurs lorsque ses conditions générales permettent à ces derniers d’utiliser le service.

Si l’on retient une interprétation stricte de cet article, toute plateforme qui autorise aux mineurs l’accès à ses services devrait soit bannir toute publicité ciblée de son modèle, soit parvenir à distinguer parmi ses utilisateurs lesquels sont mineurs ou majeurs de manière fiable.

Une autre disposition intéressante fait son apparition à la lecture de l’article 24 du DSA qui prévoit que les plateformes ne pourront collecter plus d’informations qu’habituellement au prétexte de pouvoir continuer à mettre en œuvre la publicité ciblée.

Les plateformes pourraient mettre en place des mécanismes afin de contourner ces obligations, tels que l’instauration d’un système déclaratif de l’âge des utilisateurs ou autres déclarations sur l’honneur. Ces mécanismes ont déjà sur certaines plateformes été mis en place et ont brillé par leur inefficacité. En l’absence d’identité numérique, toute identification effective reste pour l’instant impossible.

L’article 29 du DSA vient également préciser que les très grandes plateformes (Youtube, Google, Facebook, Tiktok etc..) doivent fournir au moins une option pour leurs systèmes de recommandation qui ne soit pas fondée sur le profilage. Les très grandes plateformes devront donc proposer aux utilisateurs un moyen de désactiver les publicités ciblées.

Toutes ces mesures devraient conduire inexorablement de nombreux utilisateurs à désactiver les publicités ciblées de leur interface, et ainsi par voie de conséquence conduire à une forte diminution des recettes astronomiques réalisées par les très grandes plateformes.

Certaines plateformes qui visent principalement un public mineur (Tiktok, Snapchat) se verront en principe interdire totalement le recours à la publicité ciblée.

Bien que le DSA n’entraine pas l’interdiction complète de l’usage de la publicité ciblée, il en réduira très certainement la portée.

Toutes ces mesures sont à saluer dans un contexte tel que celui que nous connaissons aujourd’hui, fortement marqué par la montée en puissance de ces géants du numérique. Ces derniers disposant d’un pouvoir financier et d’influence sans limite ne devraient plus continuer bien longtemps à œuvrer en toute impunité.

Pour lire une version plus complète de cet article sur le digital service act, cliquez

Sources :

https://www.plravocats.fr/blog/technologies-propriete-intellectuelle-media/tout-comprendre-du-digital-services-act-dsa
https://www.vie-publique.fr/dossier/284898-dsa-et-dma-tout-savoir-sur-les-nouveaux-reglements-europeens
https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act
https://www.economie.gouv.fr/legislation-services-numeriques-dsa-adoption-definitive-texte
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2065
Communications électroniques – Quel système de gouvernance pour le DMA et le DSA ? – Focus par Laurence IDOT (Lexis)

Par internet-et-droit • Tags: , ,

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes