Jurisprudence du numérique
Traitement des données à caractère personnel
• arrêt de la Cour de Justice de l'Union européenne C-61/19 du 11 novembre 2020 Orange România
La clause du contrat par laquelle le client d'un opérateur téléphonique consent à la collecte et à la conservation de son titre d'identité ne suffit pas à prouver son consentement, la case relative à cette clause a été cochée par l'opérateur avant la signature du contrat.
Saisie d'une question préjudicielle par le tribunal de Bucarest, la Cour de Justice de l'Union européenne a précisé la notion de consentement de la personne concernée par la collecte et la conservation de données personnelles.
Au visa de l'ancienne directive 95/46/CE du 24 octobre 1995 sur la protection des données personnelles, applicable au litige, et du règlement 2016/679 du 27 avril 2016 dit RGPD, la CJUE a dit que le consentement de la personne dont les données sont collectées peut rendre leur traitement licite. Néanmoins, ce consentement doit être actif et ne peut résulter d'une case cochée par défaut ou cochée en cas d'inactivité. Le consentement doit également être spécifique et ne peut être déduit d'une manifestation de volonté ayant un autre objet. il soit enfin être libre et éclairé, la personne devant connaître le type de données à traiter, l'identité du responsable du traitement, la durée et les modalités de ce traitement et les finalités poursuivies.
→ lire l'arrêt
→ lire les conclusions de l'avocat général
(manquements aux obligations de transparence et d’information et manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre des données à caractère personnel)
La société de droit américain GOOGLE LLC, créée en 1998, et disposant d’un établissement en France, a développé divers services à destination des entreprises et des particuliers : messagerie Gmail, moteur de recherche google search, you tube etc et également un système d’exploitation pour les terminaux mobiles Android avec les applications Google play.
En 2018, la CNIL est saisie par l’association française La quadrature du Net et par l’association autrichienne None of your business de deux actions collectives. Les associations dénoncent :
- l’obligation qui est faite aux utilisateurs de terminaux mobiles Android d’accepter la politique de confidentialité et les conditions générales des services de Google, et qu’à défaut ils ne peuvent utiliser leur terminal
- l’absence de bases juridiques valables pour mettre en œuvre les traitements de données personnelles à des fins d’analyse comportementale et de ciblage publicitaire.
La CNIL a considéré que l’architecture générale de l’information délivrée par la société ne permet pas de respecter les obligations du RGPD (exigeant des informations claires et compréhensibles) puisque les informations sont éparpillées dans plusieurs documents, les choix ergonomiques obligent l’utilisateur à multiplier les clics pour accéder aux divers documents, dans lesquels il doit ensuite de détecter les éléments pertinents puis comprendre quelles données sont collectées en fonction des paramétrages choisis, de telle sorte que certaines informations sont difficilement trouvables.
Elle a en outre relevé que les traitements de données sont particulièrement massifs et intrusifs, et que les données proviennent de sources extrêmement variées.(téléphone, gmail, you tube, ou sites sur lesquels des cookies Google analytics sont déposés) et qu’elles sont de diverses nature (sources externes, données générées par son activité, données générées par son activité, données dérivées ou inférées).
Elle a également considéré que la mention de la base juridique des traitements de la personnalisation de la publicité manque de clarté et de caractère compréhensible. Si GOOGLE indique qu’elle se fonde uniquement sur le consentement pour les traitements de personnalisation de la publicité, la CNIL estime que ce consentement ne peut être suffisamment éclairé puisque l’information fournie n’est pas suffisamment claire et compréhensible. Elle ajoute que le consentement n’est pas spécifique puisque l’utilisateur accepte en bloc l’ensemble des traitements de données à caractère personnel.
Considérant que les manquements sont particulièrement graves au regard :
- de la nature particulière des manquements relevés, les obligations prévues en termes de transparence et de bases juridiques constituant des garanties fondamentales permettant aux personnes de garder la maîtrise de leurs données.
- du fait que les manquements perdurent au jour de la décision
- du nombre de personnes concernées, des multiples procédés technologiques sont utilisés par la société afin de combiner et analyser des données provenant de différents services
- du modèle économique de la société, en particulier de la place du traitement des données des utilisateurs à des fins publicitaires,
La CNIL a prononcé à l’encontre de la société Google LLC, une sanction pécuniaire d’un montant de cinquante millions d’euros assortie d’une sanction complémentaire de publicité.
Usurpation d'identité
• Cour d’appel de Riom, 16 janvier 2019, n° 18/01327 société Facebook c/ Philippe S. (Usurpation d’identité sur Facebook)
En mai 2017, Monsieur X, boulanger, a appris l’existence d’une page Facebook au nom de sa boulangerie, créée par un usurpateur. En juin 2017, il sollicite la suppression de la page frauduleuse auprès de la société Facebook France puis de Facebook Ireland.
A défaut de réponse, il a assigné en référé Facebook France puis Facebook Ireland, aux fins de faire supprimer la page, lui communiquer toutes les informations permettant l’identification du créateur de cette page et lui verser une provision de 15 000 € à valoir sur l’indemnisation de ses préjudices.
Par ordonnance du 27 février 2018, le juge des référés du tribunal de grande instance de Clermont Ferrand a mis hors de cause Facebook France et a condamné Facebook Ireland, sous astreinte, à communiquer les informations de nature à permettre d’identifier le créateur de la page et à supprimer définitivement le profil apparaissant sur cette page. Facebook Ireland a en outre été condamnée à verser à M.X une provision de 2000 € à valoir sur l’indemnisation de son préjudice subi.
Par arrêt du 16 janvier 2019, la cour d’appel de Riom a rejeté la demande de M. X, tendant à la communication des données de nature à permettre d’identifier le créateur de la page litigieuse, condamné Facebook Ireland à supprimer définitivement le profil apparaissant sur cette page sous astreinte et à verser à M.X une indemnité provisionnelle de 4 000 €.
La cour a constaté le trouble manifestement illicite résultant de la mise en ligne de la page litigieuse par un tiers ayant l’intention de nuire, au vu des textes et photographies publiés.
Par ailleurs, au visa de l’article 6 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique dans sa version alors applicable, elle rappelle que l’hébergeur ne peut voir sa responsabilité engagée du fait des activités d’un tiers s’il n’a pas eu effectivement connaissance du caractère illicite du contenu hébergé à la demande d’un tiers, ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ou rendre inaccessible le dit contenu.
En l’espèce, le message suivant apparaissait lors de la connexion sur la page de la boulangerie : 'Désolé ce contenu n’est pas disponible actuellement. Le lien que vous avez suivi a peut-être expiré ou la page n’est peut-être accessible qu’à une audience dont vous ne faites pas partie'.
Alors que Facebook soutenait que M.X ne démontrait pas que la page litigieuse était encore référencée (entendant ainsi faire peser la charge de la preuve sur M.X), la cour rappelle qu’il appartient à l’hébergeur d’apporter la preuve qu’il s’est libéré de son obligation prévue à l’article 6 de la loi du 21 juin 2004, preuve qu’elle ne rapportait pas.
Par ailleurs, la cour a constaté que Facebook avait transmis à M.X l’ensemble des informations qu’elle détenait sur le créateur de la page, à savoir la date de création, le pseudonyme, l’adresse IP et deux adresses de messagerie électronique. Elle ajoute que le créateur ayant dissimulé sa véritable identité, y compris à l’égard de Facebook, il n’est pas certain que cette société ait connaissance d’autres données que celles qu’elle a déjà communiquées.
Enfin, la cour retient que « la responsabilité de la société Facebook apparaît manifestement engagée », puisqu’elle a laissé sans réponse la mise en demeure, qu’elle ne prouve pas qu’elle a fait cesser ce trouble de manière générale et définitive et a méconnu l’obligation « non sérieusement contestable » d’une action rapide.