Dalila Madjid avocat

L'actualité en droit du travail & en droit de la Propriété intellectuelle

430 clauses des conditions générales d’utilisation de Facebook déclarées abusives et illicites

avril 14, 2019
Dalila Madjid

Après Twitter en 2018 et Google en février 2019, l’association UFC QUE CHOISIR a remporté une bataille judiciaire de plus de 5 ans à l’encontre de Facebook, les clauses des conditions générales d’utilisation de Facebook, ont été déclarées abusives et/ou illicite par jugement du Tribunal de grande instance de Paris le 9 avril 2019. Cette décision démontre à quel point Facebook a « délaissé » la protection des données personnelles de ses utilisateurs.

1- Rappel des faits

Les conditions générales d’utilisation (CGU) de Facebook, liant les utilisateurs français au contrat de réseautage social Facebook comprennent trois documents contractuels principaux:

  • La « déclaration des droits et responsabilités »,
  • La  « politique d’utilisation des données »,
  • Les « standards de la communauté Facebook »,
  • Et un quatrième document intitulé  « cookies, pixels et technologies similaires », « qui, en déterminant la politique menée par Facebook en matière de cookies, complète les trois documents précités ».

L’association de l’UFC Que Choisir a assigné devant le Tribunal de grande instance de Paris la société FACEBOOK Ireland aux fins de faire constater le caractère abusif ou illicite de clauses des « Conditions Générales d’Utilisation » de la plate-forme au sein des quatre documents précités, dans les versions de 2013, 2015, 2016, de les faire supprimer ou de les faire réputées non écrites et de réparer le préjudice causé à l’intérêt collectif des consommateurs.

2- La décision du Tribunal de grande instance de Paris

Le Tribunal a déclaré recevable l’ensemble des demandes formées par l’association UFC Que Choisi à l’encontre de la société de droit irlandais FACEBOOK IRELAND.

Les juges ont considéré que les 430 clauses des conditions générales d’utilisation du réseau social Facebook dans sa version de 2013, 2015 et 2016, comprenant les quatre documents susmentionnés, sont réputées non-écrites en raison de leur caractère abusif ou illicite dans tous les contrats proposés par la société FACEBOOK, y compris ceux qui ne sont plus proposés.

Le Tribunal a ordonné à FACEBOOK de permettre à l’ensemble de ses adhérents français la lecture de l’intégralité du présent jugement par le moyen d’un lien hypertexte dans une bannière exclusivement dédiée devant figurer sur la page d’accueil de son site Internet pendant une durée de trois mois, sous astreinte provisoire de 5 000 € par jour de retard.

Il condamne FACEBOOK à payer au profit de l’association UFC Que choisir, la somme de 30 000 € en réparation du préjudice moral ayant été occasionné à l’intérêt collectif des consommateurs et 20 000 € pour les frais de justice qu’elle a été amenée à engager dans cette longue procédure.

3Motivation de la décision

  • La loi française est applicable à FACEBOOK

Tout d’abord, le Tribunal affirme que la loi française est applicable à FACEBOOK, car, l’activité du réseau social Facebook étant dirigée vers la France.

  • Les CGU de FACEBOOK sont soumises aux dispositions du Code de la consommation

Puis, le Tribunal précise que les CGU sont soumises au Code de la consommation, étant que FACEBOOK, qui, « agissant à des fins commerciales, tire profit de son activité, est un « professionnel » au sens de l’article liminaire du code de la consommation, lequel définit le professionnel, comme toute personne physique ou morale, publique ou privée, agissant à des fins entrant dans le cadre de son activité commerciale, y compris lorsqu’elle agit au nom ou pour le compte d’un autre professionnel ».

« L’utilisateur du réseau social, lorsqu’il est une personne physique agissant à des fins qui n’entrent pas dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole, est un consommateur au sens du même article liminaire ».

  • La loi informatique et liberté est applicable

Et enfin, le Tribunal affirme la loi française n°78-47 du 6 janvier 1978, dite « Loi Informatique et Libertés » est applicable au présent litige, conformément aux articles 4 §1, a) de la directive 95/46/CE et 5 I de la loi précitée. En effet, le fait de faire figurer sur le site des données à caractère personnel est considéré comme un traitement, qui est effectué dans le cadre des activités publicitaires et commerciales de FACEBOOK FRANCE.

  • Sur le caractère abusif et/ou illicite des clauses de CGU de FACEBOOK

-Il est fait rappel des dispositions de l’article L. 132-1 du Code de la consommation devenu l’article L. 212-1 du Code de la consommation, aux termes desquelles« dans les contrats conclus entre professionnels et consommateurs, sont abusives les clauses qui ont pour objet ou pour effet de créer, au détriment du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat.

Sans préjudice des règles d’interprétation prévues aux articles 1188, 1189, 1191 et 1192 du code civil, le caractère abusif d’une clause s’apprécie en se référant, au moment de la conclusion du contrat, à toutes les circonstances qui entourent sa conclusion, de même qu’à toutes les autres clauses du contrat. Il s’apprécie également au regard de celles contenues dans un autre contrat lorsque les deux contrats sont juridiquement liés dans leur conclusion ou leur exécution (…) »Un décret pris dans les mêmes conditions, détermine une liste de clauses présumées abusives ; en cas de litige concernant un contrat comportant une telle clause, le professionnel doit apporter la preuve du caractère non abusif de la clause litigieuse.

Ces dispositions sont applicables quels que soient la forme ou le support du contrat. Il en est ainsi notamment des bons de commande, factures, bons de garantie, bordereaux ou bons de livraison, billets ou tickets, contenant des stipulations négociées librement ou non ou des références à des conditions générales préétablies.

Les clauses invalidées par le Tribunal :

Il ressort clairement du jugement en date du 9 avril 2019, rendu par le Tribunal de grande instance de Paris, que FACEBOOK ne respecte pas les droits fondamentaux de la loi Informatique et libertés relatifs au consentement, à l’information de la personne concernée, à la conservation des données supprimées, à la finalité de la collecte de données, à la communication des données personnelles à des tiers ou à la collecte de données par des tiers à l’insu des personnes, l’interdiction du traitement des données sensibles, l’effacement des données, la sécurité, etc. 

Parmi les nombreuses clauses qui ont été jugées illicites et/ou abusives, on citera quelques exemples :

Les Juges ont considéré illicite, la clause prévoyant la primauté de la version anglaise des dispositions contractuelles sur la version française en cas de conflit entre ces deux versions linguistiques est illicite, en ce qu’elle ne permet pas l’accès effectif au contrat, le consommateur français se voyant appliquer un texte qui n’est pas écrit dans sa langue et qu’il ne peut, de ce fait, pas appréhender correctement.

De manière irréfragable, a été présumée abusive, la clause qui prévoient que l’inscription puis la navigation sur le site vaut acceptation des conditions générales d’utilisation à un moment où l’utilisateur n’a pas pu avoir accès à celles-ci, est, selon l’article R. 132-1, 1°) devenu l’article R. 212-1 du code de la consommation.

De la même manière, le Tribunal reproche à FACEBOOK, que s’agissant d’un contrat conclu à distance en s’abstenant de respecter l’obligation mise à la charge du professionnel de fournir au consommateur ou de mettre à sa disposition – de manière lisible et compréhensible – les informations prévues à l’article L 221-5 du code de la consommation, en renvoyant à des « conditions commerciales », qui ne sont accessibles que sur le site internet de FACEBOOK, lequel ne constitue pas un support durable au sens de l’article 5 de la Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997, le renvoi textuel et par lien hypertexte, inséré au sein d’une clause, ne garantissant ni la remise effective desdites « Conditions », ni la permanence de son contenu dans le temps. Ainsi, le Tribunal a considéré ces clauses comme illicites au regard des dispositions précitées et abusives de manière irréfragable au regard de l’article R. 132-1 1°), devenu l’article R. 212 -1 1°) du Code de la consommation, en ce qu’elles constatent l’adhésion du consommateur à des clauses reprises dans un document, auquel il n’est pas fait expressément référence lors de la conclusion du contrat et dont le consommateur n’a pas eu connaissance avant sa conclusion.

Le Tribunal a également affirmé que les clauses dont les « contenus » – dont certains peuvent comprendre des données personnelles – sont conservés après la suppression du contenu, sans limitation de durée, FACEBOOK se réservant le droit de les conserver sans motif légitime pour une période sans lien avec la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

De sorte qu’en prévoyant que FACEBOOK conserve les contenus mis en ligne par l’utilisateur, alors que ce dernier a entendu les supprimer définitivement, la clause est illicite au regard des articles 6 5°) et 36 de la loi Informatique et Libertés.

Tout comme les clauses qui laissent croire à l’utilisateur qu’il peut restreindre l’accès à ses données à caractère personnel et maitriser cet accès auprès des tiers grâce au paramétrage, alors que certaines de ses données (les « informations publiques ») échappent à tout contrôle et restent en permanence publiques et par suite accessibles à tous, empêchant de ce fait l’utilisateur de connaitre l’étendue de la divulgation de ses données personnelles à des tiers, les clauses critiquées sont abusives au sens de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, car elle créent un déséquilibre significatif entre les droits et obligations des parties, au détriment de l’utilisateur consommateur.

Les juges ont également affirmé qu’en laissant croire à l’utilisateur qu’il a la charge de la sécurité de ses données à caractère personnel, alors qu’en sa qualité de responsable de traitement, FACEBOOK est tenue d’une obligation de préservation des données ainsi que de prévention de leur déformation, de leur endommagement ou de leur accessibilité par des tiers, les clauses sont également illicites au regard de l’article 34 de la Loi Informatique et Libertés.

Les juges ont déclaré ces clauses irréfragablement présumée abusives au regard de l’article R. 132-1 6°) devenu l’article R. 212-1 6°) du code de la consommation, parce qu’elles ont pour effet d’exonérer le professionnel de son éventuelle responsabilité et de supprimer ou de réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une de ses obligations.

En outre, les clauses ont aussi été jugées illicites, en raison de l’imprécision des termes et expressions employés dans leur rédaction (« accord et tous les droits ; « utilisateurs » ; « internautes », « les informations auxquelles ils ont accès sur Facebook ») et du caractère technique et inexpliqué du terme « synchronisation ».

Les clauses sont également illicites au regard de l’article 6 de la Loi Informatique et Libertés, en ce qu’elles placent l’utilisateur dans l’impossibilité d’apprécier, à l’occasion de l’opération de synchronisation, la nature, le volume et des données collectées, et ne permettent pas non plus d’identifier les personnes susceptibles d’accéder à son compte et, par suite, à ses données personnelles.

Par ailleurs, le Tribunal a jugé qu’en s’abstenant d’informer l’utilisateur de la collecte de ses données personnelles, des finalités déterminées, explicites et légitimes du traitement pour lequel elles ont été collectées et des destinataires ou des catégories de destinataires des données – la clause permettant à des tiers, annonceurs ou partenaires, de publier des publicités à partir des données à caractère personnel que FACEBOOK collecte auprès de l’utilisateur – en ne recueillant pas son consentement préalable, la collecte de données ainsi réalisée ne répond pas aux exigences des articles 6 et 32-I de la Loi Informatique et Libertés. Elles sont donc illicites.

Les clauses ont été jugées abusives en ce qu’elles ont pour objet ou pour effet de conférer au professionnel un droit exclusif d’interpréter une clause ambiguë dans le sens qui lui serait le plus favorable. En effet, ont été jugées ambiguë, le fait d’organiser de manière pérenne l’autorisation donnée par l’utilisateur à FACEBOOK de communiquer aux tiers des données à caractère personnel à des fins publicitaires (« à utiliser votre nom, votre photo de profil, vos contenus et vos informations dans le cadre d’un contenu commercial (…) »), tout en affirmant dans le même paragraphe que la société respectera, lors de leur « utilisation », le public spécifique sélectionné par l’utilisateur pour les contenus ou les informations, alors que la diffusion des données s’opère vers des publicitaires et en assurant que la société ne transmet « les contenus ni (les) informations (de l’utilisateur) aux annonceurs » « qu’avec son accord ».

Par ailleurs, on note aussi parmi les clauses qui ont été jugées abusives, celles, qui dans le cadre d’un litige opposant l’utilisateur français à la société FACEBOOK, attribuent compétence aux juridictions californiennes, dont l’éloignement est de nature à dissuader l’utilisateur, en raison des difficultés pratiques et du coût relatifs à leur accès, d’exercer toute action et de le priver de tout recours à l’encontre du fournisseur de réseau social.

Tout comme le fait d’imposer au consommateur l’application d’une loi étrangère constitue une entrave à l’exercice par un utilisateur français d’actions en justice ou de voies de recours contre le professionnel.

Elles ont été jugées illicites, car elles privent l’utilisateur de la protection assurées par les dispositions prises par un Etat membre de l’Union européenne en application de la directive 93/13/CEE du Conseil du 5 avril 1993 concernant les clauses abusives dans les contrats conclus avec les consommateurs et constitue une clause abusive au sens des articles l’article R. 132-2, 10°) devenu l’article R. 212-2 10°) du code de la consommation.

De plus, les juges ont considéré comme abusive au regard des dispositions de l’article L. 132-1 devenu l’article L. 212-1 du code de la consommation, le fait de laisser croire que le professionnel est dispensé de toute obligation à l’égard du consommateur/utilisateur, lorsqu’il collecte, traite, utilise ou partage des « données » qui peuvent être qualifiées de données à caractère personnel, la clause est de nature à créer un déséquilibre significatif entre les droits et obligations des parties au contrat.

Tout comme, le fait d’user de termes vagues ou d’expressions générales telles que  » différents types d’informations », « notamment », « par exemple », « parmi lesquelles », « telles que », « peuvent », « pouvant », les clauses ne permettent pas à l’utilisateur d’appréhender l’étendue des données à caractère personnel qui vont être collectées puis utilisées par FACEBOOK.

Ces clauses ont été jugées illicites au regard des articles L. 133-1 et L. 133-2, devenus l’article L. 211-1 du code de la consommation qui contraignent le professionnel à une présentation et une rédaction claire et compréhensible des clauses des contrats qu’ils proposent au consommateur.

Par ailleurs, le Tribunal remet aussi en cause le fait « de subordonner l’utilisation des services de Facebook à une concession par l’utilisateur d’une licence d’exploitation mondiale, non-exclusive, sans durée et « gratuite » sur les contenus qu’il poste sur le réseau social et sans connaître l’utilisation qui en sera faite ».

Le Tribunal dénonce le fait que Facebook trompe l’utilisateur en lui faisant croire qu’il a un certain contrôle sur l’usage qui peut être fait de ses données.

En somme, par un tel jugement, il est désormais interdit à Facebook de conserver indéfiniment les données de ses inscrits après la suppression de leur compte. Tout comme, il ne pourra plus supprimer un contenu ou un compte sans avertissement ni justification.

Sous réserve que FACEBOOK n’interjète pas appel du jugement rendu le 9 avril 2019, il lui est ordonné de rendre le jugement accessible à ses utilisateurs, depuis sa page d’accueil.

Toutefois, selon un porte-parole de Facebook auprès de l’AFP, au sujet de ce jugement rendu le 9 avril 2019, « il s’agit d’une affaire ancienne remontant à 2014, concernant des politiques et conditions d’utilisation qui ont été modifiées depuis et sont par conséquent obsolètes », il a ajouté que « Garantir la transparence de nos outils et services, et une information claire à nos utilisateurs est essentiel pour Facebook. C’est pourquoi nous avons annoncé une nouvelle évolution prochaine de nos conditions générales, qui ont d’ailleurs été revues et saluées par la Commission européenne et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) ».

En revanche, la Commission européenne et la DGCCRF « ont obtenu que Facebook modifie profondément ses conditions d’utilisation qui devront désormais être formulées dans un langage clair et compréhensible pour les utilisateurs ». 

(Jugement du TGI de Paris du 9 avril 2019, UFC-Que Choisir / Facebook Inc).

La CEDH : Confirme que les fichiers du salarié non identifié comme « privé » peuvent être consultés par l’employeur

mars 4, 2018
Dalila Madjid

1- RAPPEL DES FAITS

Un salarié-cadre employé par la SCNF avait constaté que son ordinateur professionnel avait été saisi et le disque dur de cet ordinateur avait été analysé.

Convoqué à un entretien disciplinaire, le directeur régional de la SNCF décide de sa radiation des cadres et de son licenciement, aux motifs que, l’analyse des fichiers dénommés « données personnelles »  du disque dur de son ordinateur professionnel, utilisé dans le cadre de ses fonctions contenait de fausses attestations et 1562 fichiers contenant des images et des films à caractère pornographique (zoophilie et scatophilie) représentant un volume de 787 mégaoctets sur une période de 4 années. Ces faits ont été jugés par sa direction, comme contraires à « l’obligation d’exemplarité particulière liée aux fonctions qu’il occupait ».

2- LA DECISION DE LA COUR D’APPEL 

Le salarié a saisi le conseil de prud’hommes puis la Cour d’appel, pour soutenir que la SNCF a porté atteinte à sa vie privée en ouvrant en son absence des éléments identifiés comme personnels dans son ordinateur.

Le conseil des prud’hommes juge que la décision de radiation du requérant des cadres était justifiée et, en conséquence, rejète ses demandes.

La cour d’appel confirme ce jugement. Elle juge qu’il est de règle que les documents détenus par le salarié dans le bureau de l’entreprise sont, sauf lorsqu’il les identifie comme étant personnels, présumés avoir un caractère professionnel, en sorte que l’employeur peut y avoir accès hors sa présence.

Que les photos et vidéos pornographiques ont été trouvées dans un fichier dénommé « rires » contenu dans un disque dur dénommé « D:/données personnelles ».

Elle ajoute qu’un salarié ne peut utiliser l’intégralité d’un disque dur, censé enregistrer des données professionnelles, pour un usage privé. Ainsi, la SNCF était donc en droit de considérer que la désignation « données personnelles » figurant sur le disque dur ne pouvait valablement interdire l’accès à cet élément et qu’en tout état de cause, le terme générique de « données personnelles » pouvait se rapporter à des dossiers professionnels traités personnellement par le salarié et ne désignait donc pas de façon explicite des éléments relevant de sa vie privée.

La Cour explique aussi que le terme « rires » ne confère pas d’évidence au fichier ainsi désigné un caractère nécessairement privé. Que cette désignation peut se rapporter à des échanges entre collègues de travail ou à des documents professionnels, conservés à titre de « bêtisier », par le salarié.

Il est fait allusion et ce qui a toute son importance dans la dénomination des fichiers par les salariés, à la charte de utilisateur de la société qui prévoit que « les informations à caractère privé doivent être clairement identifiées comme telles (option « privée » dans les critères outlook) » et qu’il en va de même des « supports recevant ces informations (répertoire « privé »). Que le premier juge a donc considéré à juste titre que le fichier n’était pas identifié comme personnel.

La cour d’appel juge en outre que la radiation n’était pas disproportionnée.

Elle souligne à cet égard que tant le code de déontologie de la SNCF que les référentiels internes rappelaient que les agents devaient utiliser les moyens informatiques mis à leur disposition à des fins exclusivement professionnels, une utilisation ponctuelle à titre privée étant seulement tolérée. Or, constata-t-elle, le requérant avait « massivement contrevenu à ces règles, n’hésitant pas au surplus à utiliser son matériel professionnel pour confectionner un faux document ». Selon elle, ces agissements étaient d’autant plus graves que sa qualité d’agent chargé de la surveillance générale aurait dû le conduire à avoir un comportement exemplaire.

3- LA DECISION DE LA COUR DE CASSATION

Le salarié s’est pourvu en cassation. Il soutient notamment que l’article 8 de la Convention avait été violé.

La chambre sociale de la Cour de cassation rejète le pourvoi et reprend les arguments de la Cour d’appel, en l’occurence,

« (…)  que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur. »

4- LA DECISION DE LA CEDH

Le salarié a saisi en dernier ressort la Cour européenne des droits de l’homme.

Il se plaint d’une violation de son droit au respect de sa vie privée résultant du fait que son employeur a ouvert en dehors de sa présence des fichiers personnels figurant sur le disque dur de son ordinateur professionnel. Il se fonde sur l’article 8 de la Convention européenne de sauvegarde des droits de l’homme, aux termes duquel :

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien‑être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

Pour confirmer qu’un employeur peut consulter les fichiers d’un salarié, en son absence, s’ils ne sont pas clairement identifiés comme étant « privés », la Cour européenne s’est appuyée sur le droit positif français en la matière et la charte informatique de la SNCF, à savoir :

  • Article L. 1121-1 du Code du travail : 

« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »

  • Article L. 1321-3 du Code du travail :

« Le règlement intérieur ne peut contenir : (…)  Des dispositions apportant aux droits des personnes et aux libertés individuelles et collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché (…). »

  • Dans un arrêt du 2 octobre 2001, la chambre sociale de la Cour de cassation a jugé que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée, celle-ci impliquant en particulier le secret des correspondances. Elle en a déduit que l’employeur ne pouvait prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail, même dans le cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur (Bulletin 2001 V No 291 p. 233).
  • Dans un arrêt du 17 mai 2005, elle a précisé que, « sauf risque ou événement particulier, l’employeur ne [pouvait] ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé » (Bulletin 2005 V No 165 p. 143). Dans un arrêt du 18 octobre 2006, elle a ajouté que les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail étaient présumés, sauf si le salarié les identifiait comme étant personnels, avoir un caractère professionnel, de sorte que l’employeur pouvait y avoir accès hors sa présence (Bulletin 2006 V No 308 p. 294).

 

  • LA CHARTE DE L’UTILISATEUR POUR L’USAGE DU SYSTEME D’INFORMATION DE LA SNCF

La charte de l’utilisateur pour l’usage du système d’information de la SNCF précise notamment ce qui suit :

« (…) Accès aux ressources

L’utilisation des ressources du système d’information de la SNCF n’est possible que dans le cadre de l’activité professionnelle des personnels, défini par leur fonction et dans les limites des délégations qui leur sont accordées. Un usage personnel ponctuel et raisonnable de la messagerie et de l’Internet est néanmoins toléré en aide à la vie pratique ou familiale dès lors qu’il n’est pas susceptible d’affecter la qualité du service associé. Les informations à caractère privé doivent être clairement identifiées comme telles (option « Privé » dans les critères OUTLOOK, notamment). Il en est de même des supports recevant ces informations (répertoire « PRIVÉ »). Cette utilisation est soumise à une autorisation strictement personnelle qui ne peut, en aucune manière, être cédée, même temporairement, à un tiers sans engager la responsabilité du titulaire. Elle peut être révoquée à tout instant et prend fin en cas de suspension momentanée ou définitive de l’activité professionnelle qui l’a justifiée. (…) »

– La décision de la CEDH : 

La Cour européenne considère qu’il n’y a pas eu de violation de l’article 8 de la convention. Mais elle considère également que la Sncf a poursuivi un but légitime visant à garantir la protection des droits d’autrui. « Il s’agit de ceux de l’employeur, qui peut légitimement vouloir s’assurer que ses salariés utilisent les équipements informatiques qu’il met à leur disposition pour l’exécution de leurs fonctions en conformité avec leurs obligations contractuelles et la règlementation applicable. Elle rappelle à cet égard qu’elle a indiqué dans l’arrêt Bărbulescu précité (§ 127) que l’employeur a un intérêt légitime à assurer le bon fonctionnement de l’entreprise, ce qu’il peut faire en mettant en place des mécanismes lui permettant de vérifier que ses employés accomplissent leurs tâches professionnelles de manière adéquate et avec la célérité requise. ».

Enfin, la Cour s’est assurée que les mesures de surveillance mises en place par la Sncf s’accompagnent de garanties suffisantes contre les abus. « La Cour constate que le droit positif français contient un dispositif visant à la protection de la vie privée. Le principe est en effet que, si l’employeur peut ouvrir les fichiers professionnels qui se trouvent sur le disque dur des ordinateurs qu’il met à la disposition de ses employés dans le cadre de l’exercice de leurs fonctions, il ne peut, « sauf risque ou événement particulier », ouvrir subrepticement les fichiers identifiés comme étant personnels. Il ne peut procéder à l’ouverture de fichiers ainsi identifiés qu’en présence de l’employé concerné ou après que celui-ci ait été dûment appelé. « 

(Arrêt Cour européenne des droits de l’homme du 22 février 2018, section 5, M X. C/ France)

La non-conformité de traitement des données à caractère personnel par les sites de rencontre: mises en demeure de la CNIL

août 2, 2015
Dalila Madjid

La présidente de la CNIL, suite à un contrôle, a mis en demeure huit sites de rencontre, pour manquement à la loi informatique et libertés.

13 sites de rencontres ont été contrôlés, notamment: Meetic, Attractive World, Adopte un mec, Easyflirt, Rencontre obèse, Destidyll, Forcegay, Mektoube, Jdream, Feujworld, Marmite love, Gauche rencontre, Celibest.

Parmi les manquements à la loi informatique et libertés constatées :

– « Les sites ne recueillent pas le consentement exprès des personnes pour la collecte de données sensibles (par exemple : données relatives à la vie et aux pratiques sexuelles, aux origines ethniques, aux convictions et pratiques religieuses, aux opinions politiques). Or, il est important que les internautes aient conscience de la protection attachée à ces données qui révèlent des éléments-clés de leur intimité. Ce recueil pourrait prendre la forme d’une case à cocher permettant de sensibiliser les internautes sur la sensibilité des données qu’ils renseignent« ;

« Exemple de case à cocher

Les informations relatives à vos convictions politiques, croyances et pratiques religieuses, orientations et pratiques sexuelles, collectées pour l’inscription à ce site de rencontres, constituent des informations sensibles. 
J’accepte que ces données soient traitées par le site XXX« 

En effet, l’article 8 de la loi du 6 janvier 1978 modifiée prévoit notamment, qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives aux origines raciales ou ethniques, aux opinions religieuses et à la vie sexuelle des personnes, sauf en cas de consentement exprès des personnes concernées.

Or, comme l’a précisé la Présidente, le consentement ne peut être exprès que s’il est donné en toute connaissance de cause, c’est-à-dire après délivrance d’une information adéquate sur l’usage qui sera fait des données personnelles, indépendamment de  la possibilité laissée à l’internaute de cocher une case « Je le garde pour moi » ou de ne pas renseigner ses données.

Elle a également ajouté que, toutefois, qu’il s’agisse des données relatives à la vie sexuelle des personnes ou des données relatives aux origines raciales ou ethniques ainsi que des opinions religieuses, aucun moyen technique à l’endroit de la collecte n’est mis à la disposition de la personne auprès de laquelle les données « sensibles » sont collectées et traitées afin de s’assurer qu’elle y consent de manière expresse sur la base d’une information spécifique.

Ces faits constituent un manquement à l’article 8 de la loi du 6 janvier 1978 modifiée qui prévoit notamment qu’il est interdit de collecter ou de traiter des données à caractère personnel qui sont relatives à la vie sexuelle des personnes, sauf dans les cas prévus au II de cet article, notamment en cas de consentement exprès des personnes concernées.

Et en application des articles 226-19 et 226-24 du Code pénal combinés, le fait pour une personne morale, hors les cas prévus par la loi, de mettre ou conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle de celle-ci, est puni d’une peine d’amende pouvant atteindre 1 500 000 €.

– « Les sites ne procèdent pas à la suppression des données des membres ayant demandé leur désinscription ou ayant cessé d’utiliser leurs comptes depuis une longue durée »;

« Ils mettent en œuvre des fichiers afin d’exclure des personnes de l’accès au service sans avoir procédé à des demandes d’autorisation auprès de la CNIL « 

– « Ils n’informent pas correctement les internautes de leurs droits (accès, suppression, rectification) ainsi que des conditions dans lesquelles des cookies sont déposés sur leur ordinateur ».

Si les sociétés ne se conforment pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi  Informatique et Libertés, de prononcer une sanction à leur égard.

(Décision n°2015-021 du 24 juin 2015Décision n°2015-048 du 24 juin 2015Décision  n°2015-049 du 24 juin 2015, Décision n°2015-050 du 24 juin 2015, Décision n°2015-058 du 24 juin 2015, Décision n°2015-059 du 24 juin 2015, Décision n°2015-060 du 24 juin 2015,Décision n°2015-061 du 24 juin 2015 )

Preuve illicite: les informations collectées avant la déclaration à la CNIL

octobre 20, 2014
Dalila Madjid

Une salariée a été engagée par une société en qualité d’assistante en charge de l’analyse financière des dossiers.

La salariée a été licenciée pour cause réelle et sérieuse par lettre du 23 décembre 2009, l’employeur lui reprochant une utilisation excessive de la messagerie électronique à des fins personnelles.

La Cour d’appel a approuvé le licenciement pour cause réelle et sérieuse et a rejeté les demandes de dommages intérêts pour licenciement sans cause réelle et sérieuse et pour licenciement vexatoire formées par la salariée.

Les Juges du fond ont rendu une telle décision en se fondant uniquement sur les éléments de preuve obtenus à l’aide d’un traitement automatisé de données à caractère personnel avant qu’il ne soit déclaré à la CNIL.

Les juges retiennent que : « le nombre extrêmement élevé de messages électroniques à caractère personnel envoyés et/ou reçus par l’intéressée durant les mois d’octobre et novembre 2009, respectivement 607 et 621, qui ne peut être considéré comme un usage raisonnable dans le cadre des nécessités de la vie courante et quotidienne de l’outil informatique mis à sa disposition par l’employeur pour l’accomplissement de son travail, doit être tenu comme excessif et a eu un impact indéniablement négatif sur l’activité professionnelle déployée par la salariée durant la même période pour le compte de son employeur, celle-ci occupant une part très importante de son temps de travail à des occupations privées » .

Ce n’est pas la position de la Cour de cassation qui a souligné que les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL, constituent un moyen de preuve illicite.

En effet, la Haute juridiction a cassé l’arrêt de la Cour d’appel au visa des articles 2 et 22 de la loi dite « Informatique et liberté » du 6 janvier 1978 et 9 du Code civil, selon le motif suivant: « en se fondant uniquement sur des éléments de preuve obtenus à l’aide d’un système de traitement automatisé d’informations personnelles avant qu’il ne soit déclaré à la CNIL, alors que l’illicéité d’un moyen de preuve doit entraîner son rejet des débats, la cour d’appel a violé les textes « . 

A titre de rappel les articles 2 et 22 de ladite loi, correspondent d’une part à la définition de données à caractère personnel et d’autre part, aux formalités préalables à la mise en oeuvre des traitements.

Et l‘article 9 du Code civil dispose que : »Chacun a droit au respect de sa vie privée (…) ».

( Cass. soc. 8 octobre 2014, n°13-14991)

L’adresse IP de l’auteur d’une suppression de données sur Wikipedia : preuve insuffisante

octobre 20, 2013
Dalila Madjid

La société Hi-média créée en 1996 s’est développée sur le marché de l’édition de sites internet. Elle intervient aussi sur le marché de la publicité interactive et celui des paiements électroniques.

La société Rentabiliweb, créée en 2002, est spécialiste de la monétisation des audiences numériques internet et mobile.

Les deux sociétés sont cotées en bourse et exercent des activités concurrentielles.

La société Rentabiliweb a estimé que la société Hi-media avait entrepris des manoeuvres sur l’ensemble des sites web tendant à la discréditer, consistant à la faire disparaître de la fiche Wikipédia sur le micropaiement, à modifier la fiche de documentation du site Boku et à mettre en ligne des textes la dénigrant.

La société Rentabiliweb soutient qu’au vu de l’article 1382 du Code civil, la société Hi-média est l’auteur des modifications, suppressions des mentions et des références de la société Rentabiliweb Europe sur l’encyclopédie numérique Wikipédia.

Elle considère en faire la démonstration grâce à l’adresse IP de la société Hi-média, celle-ci étant utilisée pour réaliser les modifications.

La société Hi-média réplique que la société Rentabiliweb s’est constituée une preuve à elle-même et évoque un piratage de son adresse IP dans la mesure où la société Rentabiliweb ne justifie pas du processus utilisé pour parvenir à cette identification.

La société Hi-média fait valoir que les fichiers détenus par des fournisseurs d’accès à internet sont des données à caractère personnel et bénéficiant à ce titre d’une protection telle qu’ils ne peuvent être obtenus que par réquisition du juge.

La société Rentabiliweb le conteste faisant valoir que l’adresse IP se rapporte à un ordinateur ce qui ne permet pas d’identifier l’utilisateur et qu’il ne s’agit donc pas d’une donnée personnelle.

La société Hi-média prétend que le piratage est une manoeuvre aisée et verse une étude publiée par l’UFC, indiquant : »le piratage d’un réseau wifi d’un abonné »: ce piratage ne requiert aucune compétence particulière, ni en informatique, ni en cryptologie, ni matériel autre qu’un ordinateur ordinaire. Le piratage du réseau wifi d’un abonné offre une complète impunité à l’auteur d’un acte délictueux, celui-ci étant réalisé sans l’adresse IP de l’abonné piraté ».

La Cour d’appel de Paris, pôle 5 chambre 5, dans son arrêt du 3 octobre 2013, a débouté la société Rentabiliweb de sa demande et déclare que :

« La société Rentabiliweb a eu connaissance des numéros IP de la société Hi-média, qu’en revanche, elle ne précise pas comment elle a pu identifier la société Hi-média comme étant le titulaire, et n’apporte aucun élément circonstancié permettant de retenir la société Hi-média comme étant l’auteur d’une intervention ayant eu pour objet de supprimer le référencement de la société Rentabiliweb sur les sites Wikipédia et Boku, la seule mention d’une adresse IP correspondant à un ordinateur de la société Hi-média sur des documents non authentifiés, étant insuffisant pour démontrer la réalité des faits allégués. »

CA Paris Pôle 5 chambre 5, 3 octobre 2013

Propulsé par WordPress.com.
%d blogueurs aiment cette page :