vie privée

FACEBOOK : EMPLOYEUR VS. SALARIE, LA GUERRE EST DECLAREE

Comptant environ 2,85 milliards de membres actifs à travers le globe, dont 40 millions en France, Facebook demeure « le réseau social » auquel le monde ne plus échapper. Et employeurs comme salariés confirment la règle.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Facebook avait été constitué en 2004 pour les étudiants de l’université de Harvard, ce site ouvert à tous depuis le 24 mai 2007 fait l’objet de nombreuses controverses concernant notamment le respect de la vie privée des utilisateurs. La charte concernant la vie privée indique en effet que Facebook peut aller récolter des informations sur les membres à partir de sources extérieures comme les journaux, les blogs et d’autres sources sur Internet.

Cette divulgation de la vie privée a pour conséquence que les informations publiées sur Facebook peuvent être lues et utilisées par des personnes à qui elles n’étaient pas initialement destinées. C’est le cas, notamment, des données de salariés accessibles par leurs employeurs.

Il est constatable, aujourd’hui, que certaines entreprises utilisent Facebook pour collecter des informations sur leurs employés tandis que des recruteurs s’en servent pour leur sélection de candidats.

La CNIL, qui fut créée à l’origine pour prévenir toute atteinte à la vie privée des internautes au regard, notamment, du traitement de leurs données prévoit un régime de contrôle strict concernant le traitement de ces données, on peut se demander où se trouve la limite de l’utilisation qui peuvent en être fait par les employeurs à l’égard de leurs salariés.

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Que cela soit dans le cadre d’une embauche, ou même dans le cadre d’un « suivi » par l’employeur de l’activité de ses employés via Facebook, dans et hors du cadre de l’entreprise, la limite est fine vis-à-vis d’une éventuelle atteinte à la vie privée.

A cet égard, la façon de récolter les informations sur les internautes et de les utiliser nous amène, à fortiori, à nous poser la question suivante : l’employeur peut-il licencier un salarié en s’appuyant sur des photos ou des textes diffusés sur Facebook ?

Afin d’y répondre, il conviendra dans un premier temps, de confondre Facebook face au licenciement (1), et dans un second temps, Facebook face à la vie privée (2).

I) Facebook et licenciement

La France dénombre de nouveaux cas de salariés licenciés après avoir injurié leurs employeurs sur Facebook (A). Mais cela constitue-t-il une cause réelle et sérieuse de licenciement ? (B)

A) Les insultes sur Facebook

Les propos critiques tenus par les salariés contre leur employeur peuvent se retourner contre eux.

En décembre 2008, trois salariés d’une SSII à Boulogne-Billancourt avaient été licenciés pour avoir critiqué leur hiérarchie et leur responsable RH sur Facebook. En juillet dernier, trois autres salariées d’une association de défense de victimes de violences conjugales à Périgueux ont également été licenciées, pour « faute lourde » après avoir tenus sur ce même réseau social des propos jugés « injurieux, diffamatoires et menaçants » par leur employeur .

L’affaire sera jugée par le tribunal des prud’hommes de Périgueux le 14 mars 2011 suite à l’échec d’une audience de conciliation. L’enjeu est important et la décision pourrait faire date.

Un arrêt important à mentionner est celui de la chambre sociale de la Cour de cassation, datant du 20 décembre 2017.

En l’espèce, il s’agissait d’une salariée qui avait été engagée le 5 janvier 2010 en qualité d’équipière puis d’assistante-manager par une société J qui exploite un établissement de restauration. Le 20 mars 2012, cette dernière avait pris acte de la rupture de son contrat de travail aux torts de l’employeur.

La Cour d’appel d’Aix-en-Provence avait considéré, dans un arrêt rendu le 28 avril 2016, que la prise d’acte de la rupture de la salariée s’analysait en licenciement sans cause.

Durant les débats, l’employeur avait invoqué un procès-verbal d’huissier mentionnant des informations qui ont été extraites du compte Facebook de la salariée et qui avaient été obtenues grâce au téléphone portable d’un autre salarié de la même société ayant la qualité de son « ami Facebook ». L’employeur n’avait pas l’autorisation d’accéder à ces informations.

Il remettait en cause l’état dépressif de la salariée en produisant ce procès-verbal d’huissier.

Cela étant, la cour d’appel avait considéré que « ces informations étaient réservées aux personnes autorisées » et que « l’employeur ne pouvait pas y accéder sans porter une atteinte disproportionnée et déloyale à la vie privée de la salariée ».

La société s’était pourvu en cassation, mais la Cour de cassation avait rejeté son pourvoi et avait confirmé la position de la Cour d’appel . (1)

B) …une cause réelle et sérieuse de licenciement ?

Quels textes de loi s’appliquent en cas de propos injurieux tenus par le salarié sur son profil Facebook ? Le droit de l’information avec la répression civile et pénale habituelle de la diffamation, de l’injure, et de l’atteinte au respect du droit à la vie privée s’appliquera.

Si, compte tenu de la nature des fonctions des salariés et de la finalité propre de l’entreprise, les propos diffusés au sein de l’entreprise sont de nature à créer un trouble objectif caractérisé, le droit du travail s’appliquera également. Le pouvoir de sanction de l’employeur sera alors légitime.

Néanmoins, en aucun cas les salariés ne seront condamnés à une sanction disciplinaire pour des faits appartenant à leurs sphères privées. La sanction de l’employeur consistera simplement en une mesure permettant de faire cesser le trouble.

En l’espèce ,dans l’affaire de Périgueux, l’employeur de l’association de défense de femmes victimes de violences conjugales avait licencié ses salariées pour faute lourde. Or, cette faute doit impérativement cumuler le caractère de « gravité exceptionnelle » et l’intention de nuire. A charge pour l’employeur d’en apporter la preuve. En l’espèce, en licenciant ses salariées pour faute lourde, l’employeur semble donc avoir dépassé le cadre d’une mesure permettant de remédier au trouble.

Cette affaire conduit à se poser des questions s’agissant notamment du statut de Facebook et de ces employées. Pour ce qui est du statut de Facebook, il convient de se demander si c’est une messagerie ou un système de publication qui au même titre qu’un blog est soumis à des lois strictes ?

Il est difficile de trancher, car si le système permet de filtrer ses contacts, il faut beaucoup de prudence, surtout lors des mises à jour pour éviter toute « fuite ». Concrètement Facebook n’est ni dans une case ni dans l’autre. Dès lors le mur n’est pas « privé » comme le laisse entendre l’avocat des salariées dans l’affaire de Périgueux. Il s’agit d’un lieu privé ouvert au public, car l’accès aux informations personnelles des participants est en principe restreint.

Deux jugements de départage rendus dans la même affaire par le conseil des prud’hommes de Boulogne-Billancourt le 19 novembre 2010 concluent que l’employeur qui a produit une page de Facebook dont le mur était accessible aux  » amis des amis  » n’a pas violé la vie privée des deux salariés licenciés pour faute grave.

Le conseil a estimé que le mode de preuve du caractère fondé du licenciement était licite (legalis), dans la mesure où ce mode d’accès dépassait la sphère privée. Concernant le statut de ces employées, si ces dernières étaient cadres, comme de nombreuses décisions de justice le montrent (cadre d’une grande surface allant faire ses courses le week-end dans une tenue négligée, licencié et débouté par les prud’hommes par exemple), leur rôle de représentativité dépasserait le cadre de leur temps de travail dans certaines conditions et aurait dans certains cas justifié une procédure de licenciement. Or, en l’espèce, ce n’est pas le cas.

Un autre arrêt de la chambre sociale de la Cour de cassation, rendu le 12 septembre 2018, celle-ci s’est prononcée pour le première fois sur le caractère privé ou public d’une conversation qui était tenue sur un groupe dans le réseau social Facebook.

Les faits portaient sur une salariée qui avait été licenciée pour faute grave en raison de ses propos tenus sur le réseau social Facebook. Ces propos avaient été considérés comme injurieux et menaçants par sa supérieure hiérarchique. Un constat d’huissier avait établi que la salariée été adhérente à un groupe Facebook dont l’intitulé était « Extermination des directrices chieuses ». En outre, la salariée avait diffusé au sein de ce groupe des messages qui ont été qualifiés de fautifs par son employeur. Ce dernier s’était fondé sur ces propos pour licencier la salariée pour faute grave, et ce, sans prendre en compte le caractère public ou privé de ces diffusions.

Le 3 décembre 2015, la Cour d’appel avait écarté la faute grave et qualifié le licenciement comme étant dépourvue de cause réelle et sérieuse.

La Cour de cassation, à son tour, va confirmer la position des juges de fond en rajoutant que : « les propos litigieux avaient été diffusés sur le compte ouvert par la salariée sur le site Facebook et qu’ils n’avaient été accessibles qu’à des personnes agréées par cette dernière et peu nombreuses, à savoir un groupe fermé composé de quatorze personnes, de sorte qu’ils relevaient d’une conversation de nature privée ».

A ce titre, la Cour de cassation distingue selon que les propos diffusés étaient qualifiés de publics ou de privés. Dans la première hypothèse, ces propos peuvent donner lieu à des sanctions disciplinaires. Dans la seconde hypothèse, le salarié ne peut pas être sanctionné. (2)

II) Facebook et vie privée

La question se pose de savoir si les propos tenus sur Facebook (A) peuvent ou non être interceptés par l’employeur ? (B)

A) Les propos tenus sur Facebook…

Pour les salariés, ces paroles diffusées sur Facebook relevaient de la protection de leur vie privée. Dans ces deux affaires, les salariés avaient conversé en ligne sur leur temps libre et par l’intermédiaire de leur ordinateur personnel. De plus, les propos échangés l’ont été de mur-à- mur, et les salariés avaient protégé leur profil Facebook afin qu’il ne puisse être lu que par leurs amis. Dès lors, il convient de se demander si les propos tenus par des salariés sur Facebook relèvent ou non de la vie privée ?

En la matière, il y a deux grands principes persistants. Le premier est que, l’employeur ne peut, sans méconnaître le respect dû à la vie privée du salarié , se fonder sur le contenu d’une correspondance privée pour sanctionner son destinataire . Les écrits diffusés sur Facebook relèvent assurément de la même protection. En effet, si le salarié respecte tous les paramètres de confidentialité, on peut aisément considérer que cela relève du domaine privé.

Le second se résume aux exceptions lorsqu’un échange privé devient public. C’est le cas lorsque les propos ne relèvent plus de la sphère privée, car ils sont diffusés. Le profil est alors ouvert à tous, il s’agit d’un lieu public, puisque n’importe quel internaute, et a fortiori l’employeur, peut accéder au profil du salarié et aux propos qu’il tient. C’est là le danger potentiel de Facebook, et des réseaux sociaux en général. Car toutes les informations personnelles des participants peuvent être utilisées et diffusées à leur insu par leurs contacts et leurs amis d’amis.

La règle qui s’applique est la même que pour un journaliste ou un blogeur : l’auteur du message est responsable des propos qu’il tient en public. Encore faut-il pour que cela devienne un motif de licenciement, que l’information ait – compte tenu des fonctions exercées par le salarié – porté atteinte aux intérêts légitimes de l’entreprise .

En France, les salariés bénéficient d’un droit de s’exprimer « sur le contenu, les conditions d’exercice et l’organisation de leur travail » . Cette liberté individuelle d’expression qui relève des libertés fondamentales impose, en principe, à l’employeur de ne prendre aucune sanction contre un salarié pour une cause tirée de sa vie privée. La Cour de cassation a d’ailleurs consacré cette liberté dans et en dehors de l’entreprise , sur Facebook par exemple. Le tout étant de ne pas tomber dans la caricature, la diffamation ou l’exagération. Or la frontière est parfois ténue.

B) …interceptés par l’employeur

L’interception des informations par l’employeur sur Facebook est-elle licite ?

Dans l’affaire jugée à Boulogne-Billancourt, l’employeur n’a pas pris connaissance des propos des salariés de façon frauduleuse, ces derniers lui avaient été transmis par l’un de leurs amis sur Facebook. Dans ce cas, le moyen de preuve de l’employeur est parfaitement recevable et les propos peuvent être invoqués aux prud’hommes.

Dans l’affaire de Périgueux citée précédemment, l’employeur n’avait pas indiqué de quelle manière il a eu connaissance de la conversation des salariées. C’est pourquoi l’avocat des salariées licenciées a porté plainte pour interception illicite de communication. Mais il y a-t-il réellement interception de communication ? Selon la loi, ce mécanisme consiste à l’écoute et à l’enregistrement de communications privées et de télécommunications, or ce n’est pas le cas sur Facebook. Le moyen de preuve utilisé par l’employeur peut en revanche être illicite si ce dernier a « cassé » des codes d’accès ou mots de passe pour accéder à la conversation.

Quelle est l’étendue de la marge de manœuvre de l’employeur ? La surveillance des salariés n’est pas encadrée par un texte spécifique en droit du travail. C’est la jurisprudence qui fixe les règles à respecter, en rappelant que l’employeur n’a pas le droit d’accéder aux correspondances privées des salariés sans leur autorisation.

Ceci étant, l’employeur de l’association SOS-Femmes aurait dû essayer de calmer le jeu. Et compte tenu du contexte, il ne semble pas être dans son droit. Affaire à suivre donc, car ce genre de jurisprudence peut être décisif pour de nombreux cas, y compris les nôtres.

La Cour de cassation dans un arrêt, rendu le 20 septembre 2020, avait considéré que, en vertu des dispositions des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales et de l’article 9 du Code civil et de l’article 9 du code de procédure civile, que le droit à la preuve justifie la production en justice d’éléments extraits du compte privé Facebook d’un salarié portant atteinte à sa vie privée.  La seule condition étant que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi. Dans cette affaire, il s’agissait de la défense de l’intérêt légitime de l’employeur à la confidentialité de ses affaires. (3)

Pour lire une version plus complète de cet article sur Facebook et les salariés, cliquez ici

Sources :

Par internet-et-droit • Tags: , , , ,

La collecte automatisée de données : Crawling & Scraping

Aujourd’hui, il est indéniable que les nouvelles technologies prennent une place de plus en plus importante dans notre quotidien. Au regard de la production massive de données qui en découle, la question se pose de savoir comment encadrer leur collecte, notamment lorsqu’elle est automatisée.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est important de comprendre qu’internet est un outil qui fonctionne sur les données fournies par ses utilisateurs. L’émergence du « Big data » devait, nécessairement, s’accompagner d’outils de collecte automatisée de ces données. C’est notamment le cas des pratiques de « crawling » et de « scraping ».

Ces logiciels permettent en effet, dans un laps de temps très court, d’obtenir une quantité importante d’informations utiles pour une entreprise ou un particulier, à partir d’une liste de sites constituant le « champ d’action » du robot.

Néanmoins, ces pratiques demeurent encadrées. Elles doivent répondre à certains principes, et notamment à ceux liés à la protection des données collectées automatiquement.

 

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Dès lors la propriété, la nécessité d’une autorisation préalable pour la collecte, ou encore les questions liées à la réutilisation de ces données sont des enjeux de taille qui dictent les limites de la légalité de ces outils de collecte automatisée.

Pour en saisir toute l’importance il convient donc de comprendre, dans un premier temps, les différents usages qui peuvent être faits de ces outils (I), pour ensuite envisager le cadre protecteur des données collectées automatiquement (II).

I. Les différents usages des crawlers et scrapers

La récolte des données à des fins d’information (A), tout comme l’indexation et la réutilisation de celles-ci (B), sont les objectifs visés par l’usage de ces outils numériques.

A) La récolte des données

En effet, le crawling est une pratique qui consiste à « collecter [automatiquement] le contenu d’une page pour ensuite la traiter, la classer et fournir des informations» ) au propriétaire du logiciel .

Le logiciel de scraping, lui, va « extraire du contenu d’un site Web dans le but de le transformer pour permettre son utilisation dans un autre contexte ».

Néanmoins, la récolte de ces données ne va pas fonctionner sur le même principe, que l’on soit dans le cas des crawlers ou dans celui des scrapers.

En effet, les crawlers vont fonctionner sur un principe de redirection : à partir d’une liste (« seed ») de sites prédéfinis par l’utilisateur du robot, le crawler va dans un premier temps se rendre sur ces pages et en récupérer l’intégralité du contenu. Par la suite, le logiciel va extraire l’ensemble des liens URLs présents sur les pages analysées, et suivre ces liens pour également analyser le contenu des pages référencées sous ces liens.

Le scraper, lui, va plutôt se baser sur un « patron » configuré au préalable, qui prend en compte la structure HTML de la base de donnée  analysée, afin de pouvoir extraire de manière pertinente les données et leur mise à disposition sur les pages consultées.

Les agences « 1 min 30 s » et « Centraledesmarchés.com » constituent des exemples illustrant : quand la première fait usage de crawlers pour analyser les « forces et faiblesses » de sites de marketing en ligne à travers l’analyse de leurs outils et pratiques, la seconde référence quotidiennement, depuis 2013, les appels d’offres publics d’une centaine de sites par le biais de scrapers.

B) L’indexation et la réutilisation des données

La traduction française du terme « crawler » s’intitule «Robot d’indexation ». Comme on l’a dit, tout l’intérêt de ce genre d’outil consiste en la récolte et l’analyse de données contenues sur des pages Web.

Ceci étant, des questions peuvent se poser au regard de l’exploitation des données récoltées par ce biais.

L’objectif principal de ces outils demeure celui de tirer des informations pratiques et concrètes de ces données : une fois récoltées, puis triées et structurées en fonction de leur pertinence et de ce que recherche l’auteur, elles permettront d’avoir une vision précise du contenu et des pratiques, pour l’usager, des pages analysées.

Mais, comme on l’a vu, ces données peuvent également être réexploitées dans un but bien précis : c’est l’exemple de la plateforme américaine Common Crawl, ayant pour objectif d’archiver le plus de pages Web possible, et de rendre disponible leur accès via le site de la fondation. On estime qu’aujourd’hui, la plateforme centralise environ 15 % du web mondial, grâce à l’usage de crawlers .

De plus, certains pourraient être tentés de réutiliser les données collectées, afin par exemple d’augmenter le trafic de leur propre site internet.

Ces pratiques posent plusieurs questions, au regard du droit rattaché à ces différentes utilisations du jeu de données récolté : des questions de droit de la concurrence, mais aussi et plus largement des questions liées au droit de la propriété intellectuelle et à la protection accordée à ces données et bases de données.

 

II. Les atteintes à la protection de ces données

La propriété intellectuelle et le droit d’auteur offrent un cadre légal protection aux données récoltées automatiquement (A). Ceci étant, le propriétaire de ces données pourra également chercher à se prémunir lui-même d’une telle collecte (B).

A) Le cadre imposé par le droit de la propriété intellectuelle et le droit d’auteur

Il faut savoir que ces pratiques sont encadrées par le droit, et notamment par la propriété intellectuelle, pour éviter tout type d’abus et notamment la contrefaçon.

Dans le cadre d’une indexation des données, en réalité, la contrefaçon ne sera généralement pas admise. En effet, même si l’indexation de données récoltées par l’usage de crawlers va permettre au réexploitant d’augmenter le nombre de visites de son site, l’indexation fait normalement référence aux sources citées et, de ce fait, n’entre pas en contradiction ni avec le droit d’auteur , ni avec le droit des bases de données.

C’est notamment ce qu’a pu retenir le Tribunal de grande instance de Paris, dans son arrêt « Adenclassified » du 1er février 2011 ayant débouté de sa demande une société dont les données ont été indexées, les faits ne constituant pas une violation du « droit sui generis du producteur de bases de données» .

À la lecture de cette décision, on comprend également que l’extraction de données par le biais de ces outils numériques dans la poursuite d’un objectif de réutilisation « de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données » est constitutive d’un acte de contrefaçon, comme le prévoient expressément les articles 342-1 et 342-2 du Code de la propriété intellectuelle.
La Cour d’appel vient condamner une société d’édition dans un arrêt du 31 juillet 2019 pour avoir mis en place un système informatique permettant l’exploration et le crawling sur des sites d’éditeurs concurrent. Ainsi, le service offert par la société consistant en la fourniture de recherches jurisprudentielles et d’indexation de commentaires juridiques était basé sur un système de crawling permettant à la société de proposer, à leurs abonnés, des contenus normalement destinés uniquement aux abonnés des sites concurrents.

La jurisprudence de 2011 fut également confirmée dans un arrêt récent rendu par la Cour d’appel de Paris,, le 2 février 2021. L’arrêt dispose que l’extraction et la réutilisation des données en l’espèce les annonces proposées par la société leboncoin.fr, constituait une violation du « droit sui generis du producteur de base de données », violant ainsi les articles 342-1 et 342-2 du Code de la Propriété intellectuelle.

Au demeurant, il n’existe pas de règles précises concernant l’établissement du caractère substantiel du contenu. Ainsi, la reconnaissance d’un tel critère se fera au cas par cas par le juge du litige en question, et il convient donc aux utilisateurs des extracteurs de mesurer l’exploitation qu’ils feront de ces données.

B) Les moyens de lutte contre ces outils

Il est souvent recommandé aux utilisateurs d’outils comme les crawlers et scrapers d’agir avec mesure et parcimonie : par exemple, ceux-ci ne devront pas surcharger les serveurs des sites visités par un nombre de requêtes trop important, au risque de causer un déni de service qui pourra facilement s’apparenter à un acte de concurrence déloyale.

En outre, certains propriétaires de sites peuvent vouloir se prémunir face à ces outils, refusant de voir leurs données récoltées « pillées » .

Quoi qu’il en soi, si la pratique n’est pas formellement bannie, les propriétaires de sites peuvent réagir. La Cour d’appel de Paris, dans son arrêt « SAIF c/Google » du 26 janvier 2011, soutenait effectivement que « chaque webmaster peut, via son fichier robot.txt, contrôler la manière dont les données de son site sont visitées par les crawlers, notamment en interdisant l’accès à certaines d’entre elles » .

L’action en contrefaçon, ouverte à la suite de la violation d’un droit privatif conféré par la protection du droit d’auteur, ainsi que l’action en concurrence déloyale, fondée sur la responsabilité délictuelle, sont deux procédures judiciaires de règlement des conflits liés à de telles pratiques. Mais, comme on l’a vu, le propriétaire de bases de données peut également se prémunir de ces pratiques que d’aucuns considèrent comme attentatoires. La légalité, tout comme la légitimité, du crawling et du scraping restent donc encore aujourd’hui discutables.
>Aux États-Unis, la problématique du crawling et du scraping existe également et des entreprises veulent lutter contre ces pratiques. La société Linkedin a notamment voulu lutter contre le scraping, elle s’opposait à la collecte massive et automatisée de données. Cependant, la juridiction américaine a refusé l’action de la société, dans sa décision du 9 septembre 2019. En effet, la juridiction considère que la société n’avait pas de droit à agir, vu qu’elle n’est pas propriétaire des données publiées par ses membres, de plus, les membres avaient déjà connaissance que leurs données allaient être accessibles à des tiers, vu qu’il s’agissait de l’objectif principal du site.

Pour lire une version plus complète de cet article, cliquer sur le mot crawling

SOURCES :

(1) http://firstmonday.org/article/view/1394/1312_2
(2) https://fr.oncrawl.com/seo-technique/introduction-crawler-web/
(3) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(4) https://fr.wikipedia.org/wiki/Robot_d%27indexation
(5) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(6) https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-3eme-chambre-1ere-section-jugement-du-01-fevrier-2011/
(7) https://fr.wikipedia.org/wiki/Web_scraping
(8) http://curia.europa.eu/juris/document/document.jsf?docid=145914&doclang=FR
(9) https://www.islean-consulting.fr/fr/transformation-digitale/scraping-pages-web-legal/
(10) https://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.ht
Cour d’appel de Paris, 31 juillet 2019, n° 19/02352
Cour d’appel de Paris, 2 février 2021, n° 17/17688.
https://cdn.ca9.uscourts.gov/datastore/opinions/2019/09/09/17-16783.pdf

Par Commerce electronique, internet-et-droit • Tags: , , , , ,

Quelle responsabilité pour l’administrateur d’un page Facebook quant aux données personnelles ?

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées » . Mais quid de la responsabilité des administrateurs de pages Facebook ?

NOUVEAU : Utilisez nos services pour un problèmed de données personelles ou de contrefaçon en passant par le formulaire !

Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.

La Cour de justice de l’Union européenne (« CJUE »), qui n’a pas encore arrêté sa décision, devra prochainement assumer son rôle de « juge européen de la protection des données ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

I. La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

A) Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker installé sur leur disque dur, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.

Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données  ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

À l’heure actuelle, seul l’avocat général s’est prononcé sur la question, le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable » .

B) La reconnaissance d’une coresponsabilité

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques que constituent Facebook insights et autres cookies. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées » .

C’est précisément sur ce point que les conclusions insistent, en indiquant que la responsabilité quant au traitement des données et l’usage qui peut en être fait tiens les deux parties en cause, qui « poursuivent chacune des finalités étroitement liées » .

D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

 

II. Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B)

A) L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, affirme en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » .

De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

Pour rappel, cette tendance fait écho à la sanction infligée à Facebook par le régulateur espagnol des données personnelles, le 11 septembre dernier, pour la collecte de données sensibles des internautes visitant les pages dotées d’un tel module, sans leur consentement et à des fins de ciblage publicitaire.

Dans notre cas, l’avocat ne fait pas expressément référence à cette affaire, mais plutôt à celle encore pendante devant la CJUE dite « Fashion ID » (C-40/17) , qui relate cependant des mêmes faits.

Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

B) Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».

Néanmoins, ce dernier soutient que de l’exigence d’une coresponsabilité ne découle pas un régime de responsabilité égal.

À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent. Il impose en effet de redéfinir les contours du responsable de traitement.

Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.

D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles  de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

D’autres argumenteront, assez ironiquement, « [qu’à force] de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement ».

Quoi qu’il en soi, l’importance d’un tel arrêt est capitale, et la CJUE devrait en ce sens peser ses mots et faire apparaître une tendance claire, afin de clarifier une situation au cœur des enjeux du prochain grand texte européen en la matière.
Cet arrêt va permettre le développement d’une jurisprudence, en effet, dans un arrêt de la CJUE du 29 juillet 2019, portant sur une collecte de données personnelles, la Cour va confirmer le principe de responsabilité conjointe entre le réseau social et le gestionnaire d’un site internet.

En l’espèce, le site du gestionnaire disposait d’un bouton « J’aime » de Facebook, qui transférait les données personnelles de l’utilisateur du site au réseau social, ce traitement des données personnelles n’ayant pas été consenti préalablement par les utilisateurs. Cette pratique assez fréquente permet au gestionnaire du site de percevoir un bénéfice, vu que son site sera valorisé sur le réseau social, créant de la publicité pour ses produits ou services.

Dans sa décision, la CJUE retient comme dans l’arrêt Wirtschaftsakademie, une responsabilité conjointe du gestionnaire du site internet, malgré l’absence d’influence de ce dernier dans le traitement des données transmises au réseau social. Pour la CJUE toute personne qui perçoit un bénéfice de ce traitement des données personnelles peut être qualifiée de responsable de traitement des données personnelles et donc engager sa responsabilité.

Or, le gestionnaire du site était bien un bénéficiaire de ce traitement des données personnelles, de par la publicité obtenue en retour du transfert des données personnelles, il y a un avantage économique. Ainsi, comme le prévoit l’article 26 du RGPD, le gestionnaire du site engage sa responsabilité in solidum avec le réseau social.

Pour lire un article plus complet, cliquez sur responsable des bases de données sur Facebook

SOURCES :

(1)    http://www.lemonde.fr/pixels/article/2017/09/11/donnees-personnelles-facebook-condamne-en-espagne_5184060_4408996.html
(2)    http://curia.europa.eu/juris/document/document.jsf?docid=195902&doclang=FR
(3)    https://www.gesetze-im-internet.de/bdsg_1990/__11.html
(4)    https://www.nextinpact.com/news/105475-donnees-personnelles-responsabilite-dune-societe-face-a-sa-page-fan-sur-facebook.htm
(5)    https://www.lexology.com/library/detail.aspx?g=81f153ba-073b-48b5-9ba7-63588c0d5497
(6)    http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
(7)    https://www.doctrine.fr/d/CJUE/2017/CJUE62017CN0040
(8)    https://francoischarlet.ch/2017/administrateur-page-facebook-coresponsable-traitement/

Par internet-et-droit • Tags: , , , , , ,

QUEL AVOCAT POUR LA PROTECTION DE VOS DONNEES ?

La loi et le RGPD visent tous deux le « traitement des données à caractère personnel » qui, par son caractère automatique (absence d’intervention humaine) ou manuel (à partir de 2004), comporte des risques certains quant aux traitements et usages excessifs qui pourraient en être faits par détournement de finalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi, l’article 2 de la loi dite « Informatique et libertés » précise qu’elle s’applique « aux traitements automatisés en tout ou partie de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l’article 5 ».

Données à caractère personnel : La loi et le RGPD définissent les données à caractère personnel comme « toutes informations relatives à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

En outre, le développement des nouvelles technologies constitue un progrès indéniable. Dans de nombreux cas, leur utilisation facilite en effet le quotidien.

Force est de constater que tous ces systèmes informatisés sont enfin une source riche d’informations, y compris pour soi-même avec le développement des objets connectés. En effet, à bien y regarder, l’utilisation des nouvelles technologies, aussi généralisée et banale soit-elle, n’est pas sans risques : Risques d’immixtion dans la vie privée.

Comment protéger ses données à caractère personnel ? Quel spécialiste de la protection des données à caractère personnel est habilité à vous conseiller voire à protéger vos données ?

Pour répondre à toutes ces préoccupations, l’avocat spécialisé en droit de la protection des données à caractère personnel devient un recours indispensable pour la défense de vos droits.

Le cabinet d’Avocats de Maître Murielle-CAHEN, spécialisé (e) en droit internet et informatique ainsi qu’en droit de la Propriété intellectuelle intervient dans de nombreux domaines du droit des données personnelles, au-delà de la mise en conformité RGPD et accompagne ses clients au titre du conseil et en cas de contentieux (assistance en cas de contrôle, assistance suite à mise en demeure, sanctions).

I. L’avocat en droit des données à caractère personnel vous aide dans la mise en conformité RGPD

A. Objet et objectifs du RGPD

L’avocat en droit des données à caractère personnel vous aidera à la mise en conformité RGPD. En effet, depuis le 25 mai 2018, le RGPD ou règlement général sur la protection des données en vigueur depuis le 25 mai 2016 est directement applicable dans notre législation (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016).

Le RGPD est applicable dans toutes ses dispositions et obligations depuis le 25 mai 2018, mais les États membres ont sur certains points une latitude pour le mettre en œuvre. En effet, dix articles de la loi exploitent les 57 marges de manœuvre permises par le RGPD, règlement sui generis qui, bien que d’application directe, compte plus de cinquante dispositions renvoyant au droit des États.

Il abroge la directive 95/46/CE du 24 octobre 1995 du même nom et ses dispositions sont prises en compte dans la nouvelle Loi informatique et libertés du 20 juin 2018 (L. n° 2018-493, 20 juin 2018 : JO, 21 juin), dont l’objet de responsabiliser le responsable de traitement afin que les principes relatifs au traitement de données à caractère personnel soient respectés et que ces données soient traitées de manière licite, loyale et transparente.

La loi du 20 juin 2018 conformément à la logique de renforcement du contrôle a posteriori du RGPD, supprime la plupart des démarches préalables auprès de la CNIL, en adoptant un système de contrôle a posteriori. En passant d’une logique de déclaration préalable à un régime de mise en conformité, la réforme fait ainsi peser de nouvelles responsabilités sur les entreprises.

L’ordonnance du 12 décembre 2018 est venue réécrire la loi informatique et libertés, dans une 4e version, compte tenu des nombreuses incohérences qu’elle comportait encore à la suite de la synthèse difficile qu’elle avait opérée entre la directive et le RGPD (Ord. n° 2018-1125, 12 déc. 2018 : JO, 13 déc.).

B. Traitements de données à caractère personnel visés

Le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier (RGPD, 27 avr. 2016, art. 2, § 1). Cette définition reprend mot pour mot celle de la directive de 1995 (Dir. 95/46/CE, art. 3, § 1).

Le règlement européen protège les données à caractère personnel de personnes physiques telles, que par exemple les clients, les salariés d’une entreprise, données qui permet d’identifier la personne ou de la rendre identifiable.

Pour ce qui concerne les données personnelles, le RGPD vise les données ou informations se rapportant à une personne physique identifiée ou identifiable. À titre d’exemples, sont des données directement identifiantes les noms et prénom, une photographie, un e-mail nominatif, tandis que les données indirectement identifiantes sont un identifiant de compte, un numéro de téléphone, le NIR (le numéro de sécurité sociale), une empreinte digitale, une adresse IP.

Quant au traitement, ce n’est pas uniquement un fichier, une base de données ou un tableau Excel ; il peut aussi s’agir d’une installation de vidéosurveillance, d’un système de paiement par carte bancaire ou de reconnaissance biométrique (RGPD, art. 4, 2).

II. L’avocat en droit des données à caractère personnel défend votre consentement pour l’utilisation de vos données

L’avocat pourra défendre vos droits au consentement RGPD devant les juridictions. En effet, le responsable peut procéder à un traitement de données personnelles dès lors que la personne concernée a consenti à ce traitement pour une ou plusieurs finalités spécifiques. Le consentement doit ici être compris au sens donné par la RGPD qui indique qu’il s’agit de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (RGPD, art. 4, § 11).

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ». Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire.

Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

Le consentement doit encore être spécifique en ce sens qu’il doit être donné pour un traitement en particulier pour une finalité donnée. Dès lors que plusieurs finalités sont visées, la personne concernée devrait pouvoir consentir indépendamment pour l’une ou l’autre des finalités. Le G29 préconisait en ce sens une granularité des consentements en fonction des finalités (Lignes directrices CEPD n° 05/2020, 4 mai 2020).

Troisièmement, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

Enfin, le consentement doit être univoque. Cela signifie qu’il doit être exprimé sans aucune ambiguïté.

Pour cette raison, le RGPD édicte que « si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples » (RGPD, art. 7, § 2).

 La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante.

De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non. S’agissant des cookies, rappelons qu’en juillet 2019, la CNIL a adopté une délibération par laquelle elle a modifié sa doctrine en matière de recueil de consentement au moment de déposer les cookies pour exiger un consentement conforme à celui du RGPD.

Il est à noter que la décision de la CNIL de reporter d’un an l’application de cette exigence de consentement conforme au RGPD en matière de cookies a fait l’objet d’un recours devant le Conseil d’État qui a été rejeté le 16 octobre 2019 (CE, 16 oct. 2019, n° 433069).

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptés par la CNIL le 4 juillet 2019, mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. Cette pratique consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion (CE, 19 juin 2020, n° 434684).

III. L’avocat en droit des données à caractère personnel vous accompagne dans votre recours en cas de non-respect de vos droits

A. Droit de saisir la CNIL

L’avocat pourra saisir la CNIL pour la défense des droits de son client. En effet, toute personne concernée a le droit d’introduire une réclamation, une pétition ou une plainte auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du RGPD. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel (RGPD, art. 77).

Si elle estime que la réclamation est fondée, la CNIL peut désormais demander au Conseil d’État d’ordonner, le cas échéant sous astreinte, soit la suspension d’un transfert de données, soit la prolongation de la suspension d’un tel transfert qu’elle aurait elle-même préalablement ordonnée.

Elle doit alors assortir ses conclusions d’une demande de question préjudicielle à la CJUE en vue d’apprécier la validité de la décision d’adéquation et les actes pris par la Commission européenne ayant fondé le flux de données litigieux. Cette disposition fait directement écho à l’arrêt Schrems dans lequel la CJUE avait invalidé la décision de la Commission européenne autorisant les transferts de données dans le cadre des principes du « Safe Harbor » (L. n° 78-17, 6 janv. 1978, art. 39).

Pour l’année 2018, la CNIL indique avoir enregistré 11 077 plaintes de personnes concernées, soit une hausse de 32,5 % par rapport à l’année précédente. La CNIL précise que, le plus souvent, elle « intervient auprès du responsable du fichier pour l’informer des manquements soulevés par le plaignant et des textes applicables, afin qu’il se mette en conformité et respecte les droits des personnes ». Pour 2018, ces plaintes portent sur la diffusion de données sur internet (373 demandes de déréférencement), sur le secteur marketing/commerce, sur celui des ressources humaines, sur les secteurs de la banque et du crédit ou encore de la santé et du social (CNIL, Rapp. D’activité 2018, La Documentation française, avr. 2019, p. 42 et s.).

B. Droit de saisir les juridictions des ordres administratifs et judiciaires

L’avocat pourra saisir les juridictions de l’ordre administratif et judiciaire. En effet, l’’action peut être exercée pour lutter contre une décision de la CNIL (RGPD, art. 78) ou du responsable de traitement ou sous-traitant (RGPD, art. 79). Dans le cadre d’un litige transfrontalier, l’action est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement ou le sous-traitant dispose d’un établissement ou devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique (RGPD, art. 79, § 2).

Le recours peut être formé à titre individuel ou collectif. Cette possibilité de mettre en œuvre une action de groupe en cas de violation des règles inhérentes au traitement de données personnelles est une innovation du RGPD (RGPD, art. 80). Elle a été intégrée dans le corpus juridique français aux articles 37 et suivants de la loi du 6 janvier 1978.

Pour l’intenter, il est nécessaire que plusieurs personnes physiques placées dans une situation similaire aient subi « un dommage ayant pour cause commune un manquement de même nature aux dispositions du RGPD ou de la loi informatique et libertés par un responsable du traitement ou un sous-traitant » (L. n° 78-17, 6 janv. 1978, art. 37, II). Quant à ses modalités, l’action peut être portée à l’encontre d’un responsable de traitement ou d’un sous-traitant devant une juridiction administrative ou civile par trois catégories de personnes morales.

Il peut s’agir d’une association régulièrement déclarée depuis au moins cinq et ayant dans son objet statutaire la protection de la vie privée ou la protection des données à caractère personnel, d’une association de défense des consommateurs représentative au niveau national et agréé dès lors que le manquement en cause affecte un consommateur ou d’une organisation syndicale de salariés, de fonctionnaires ou de magistrats de l’ordre judiciaire représentative quand le traitement affecte les intérêts des personnes dont elles ont la défense en vertu de leurs statuts. Les cabinets d’avocats en sont par conséquent exclus.

La CNIL doit être tenue informée de la procédure. Pour que l’action aboutisse, le manquement doit être intervenu après le 24 mai 2018 et être de même nature pour toutes les personnes concernées qui décident d’engager la procédure. Si l’action est fondée, le responsable ou le sous-traitant peut se voir contraint de cesser le manquement et/ou, et c’est une nouveauté, d’indemniser les préjudices moraux et matériels subis par les personnes concernées.

Le dispositif encadrant les recours ouverts à la personne concernée est complété par la possibilité pour toute personne de mandater une association ou une organisation afin qu’elle agisse en son nom et pour son compte. Ici, le mandataire peut être l’une des personnes visées dans le cadre de l’action de groupe ou une association ou organisation dont l’objet statutaire est en relation avec la protection des droits et libertés ou encore une association dont la personne concernée est membre et dont l’objet statutaire implique la défense d’intérêts en relation avec les finalités du traitement litigieux.

L’éventail des personnes susceptibles d’agir en qualité de mandataire est donc plus large. Il faut noter qu’en matière pénale, cette action peut être portée devant la CNIL, contre la CNIL ou devant un juge contre un responsable de traitement ou un sous-traitant (L. n° 78-17, 6 janv. 1978, art. 38).

C. Conséquences de l’action – Engagement de la responsabilité du responsable et/ou du sous-traitant

Aux termes de l’article 82, § 2 du RGPD, il suffit qu’un responsable ait participé au traitement pour que sa responsabilité puisse être engagée en cas de dommage causé par une violation du règlement, à moins de prouver que le fait qui a provoqué le dommage ne lui est nullement imputable. À la lecture du texte, la responsabilité du responsable semble donc pouvoir être retenue largement.

Ce cadre diffère pour le sous-traitant dont la responsabilité peut désormais être engagée avec le RGPD. Tel est le cas s’il n’a pas respecté les obligations prévues par le règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. À l’image du responsable du traitement, le sous-traitant peut s’exonérer s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable (RGPD, art. 82, § 2).

Pour la personne concernée, ce partage de la responsabilité n’est pas le système le plus protecteur. Pour cette raison, l’article 82, § 4 du RGPD instaure un mécanisme de solidarité lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement.

Dans cette situation, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective. Celui qui a réparé intégralement le préjudice dispose dans un second temps, d’une action récursoire à l’encontre de ses codébiteurs (RGPD, art. 82, § 5).

Cette action récursoire n’est pas superflue au regard du renforcement des sanctions pécuniaires pouvant être prononcées par une autorité de contrôle. En effet, le RGPD alourdit considérablement l’amende administrative que la CNIL peut prononcer à l’encontre d’un organisme qui ne respecterait pas le texte.

Cette amende varie en fonction de l’infraction commise, la CNIL pouvant tantôt sanctionner à hauteur de 10 M€ ou 2 % du chiffre d’affaires annuel mondial de l’organisme fautif, tantôt sanctionner à hauteur de 20 M€ ou 4 % du chiffre d’affaires annuel mondial, la plus haute des deux étant à chaque fois retenue comme amende maximum pouvant être prononcée (RGPD, art. 83, § 4 et 5).

Pour lire une version plus complète de cet article sur l’avocat et la protection des données personnelles, cliquez

SOURCES :

Par internet-et-droit • Tags: , , ,

«< 7 8 9 10 11 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes