Panne chez OVH: une belle frayeur pour l’hébergeur français.
Chaque lundi, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour décrypter les évolutions juridiques et judiciaires nées de la digitalisation. Cette semaine, Eric Caprioli et Isabelle Cantero détaillent les conséquences de la réglementation sur la protection des données personnelles pour la vie juridique de l’entreprise.
Les exigences de la loi Informatique et Libertés du 6 janvier 1978 modifiée, de la loi pour une république numérique du 7 octobre 2016 ainsi que celles du Règlement européen (RGPD) applicables à compter du 25 mai 2018 ont des conséquences directes sur l’ensemble de la vie juridique de l’entreprise. Les données personnelles définies à l’article 4 du RGPD comme « toute information se rapportant à une personne physique identifiée ou identifiable » doivent plus que jamais être une préoccupation majeure des entreprises. Si leur protection était jusqu’à récemment l’apanage des autorités de contrôle comme la CNIL, ou du juge de la vie privée, la jurisprudence ne cesse de donner des exemples d’élargissement à d’autres domaines juridiques. Ainsi, les solutions de litiges prud’homaux, commerciaux ou dans le domaine des contrats sont impactées.
UNE APPROCHE TRANSVERSALE
L’article premier du RGPD rappelle qu’il vise à protéger « les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». Le terme « droit fondamental » est aussi utilisé dans l’article 7-5° de la loi Informatique et libertés et à plusieurs autres reprises ce qui caractérise une approche transversale. Les problématiques relatives aux données personnelles sont susceptibles de donner lieu à des sanctions administratives (sanctions par les autorités de contrôle comme la CNIL) ou judiciaires : litige avec une partie (salarié, partenaire commercial, commission d’une infraction pénale,…).
On peut constater la transversalité de la protection des données à caractère personnel à travers l’exemple d’une entreprise comme Facebook, particulièrement exposée à des sanctions comme cela a été le cas récemment à deux reprises. Elles concernaient d’une part le non-respect des règles en matière de protection des données personnelles proprement dite et d’autre part le non-respect de la règlementation en matière de concentration.
Le 27/04/2017, la CNIL a sanctionné le réseau social en prononçant une sanction pécuniaire de 150.000 EUR à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND. L’autorité indépendante avait relevé de nombreux manquements relatifs à la combinaison massive de données personnelles afin de proposer aux utilisateurs des publicités ciblées (sans recueil de leur consentement afin qu’ils puissent s’y opposer) et un traçage des internautes avec ou sans compte sur des sites tiers grâce à un cookie nommé « datr » (bandeau informatif imprécis). La CNIL a dès lors mis en demeure Facebook de se mettre en conformité avec la Loi « Informatique et Liberté ». N’ayant pas reçu de réponse satisfaisante, elle a prononcée une sanction.
Plus récemment encore, en matière de droit de la concurrence la commission européenne a annoncé le 18 mai 2017 que Facebook a écopé d’une sanction de 110 Millions d’euros pour ne pas avoir respecté le règlement européen relatif au contrôle des concentrations entre entreprises du 20 janvier 2004 lors de l’acquisition de WhatsApp. Facebook a « fourni des renseignements inexacts ou dénaturés au cours de l’enquête que la Commission a effectuée en 2014 au titre du règlement de l’UE sur les concentrations, concernant l’acquisition de WhatsApp par Facebook ». Il est reproché à la société de Paolo Alto d’avoir autorisé l’absorption de données personnelles de comptes WhatsApp vers Facebook après avoir affirmé le contraire.
INCIDENCE EN DROIT DU TRAVAIL
La règlementation en matière de données à caractère personnel impacte aussi le droit du travail. Les juridictions peuvent être amenées à apprécier les méthodes de surveillance des salariés et le traitement des données obtenues : système de tracking dans un camion Cass. soc. 14 janv. 2014 n°12-16218 ou de contrôle de présence Cass. soc. 10 juill. 2013 12-20.851. Les juges du fond ne manquent pas d’apprécier la déclaration des traitements auprès de la CNIL mais aussi les manquements à l’information préalable des salariés et des instances représentatives du personnel sur l’existence et les finalités de ces traitements : CA Colmar, ch. Soc, 9 mai 2017. Les licenciements sur la base de preuves collectées à partir de ces traitements non conformes peuvent être invalidés.
EN DROIT COMMERCIAL
Le non-respect d’une exigence de la loi informatique et liberté peut être constitutif de la nullité du contrat. Un arrêt de la chambre commerciale de la Cour de cassation avait fait couler beaucoup d’encre : Cass. com 25 juin 2013, n°12-17037. La licéité de l’objet était examinée à l’aune de la loi du 6 janvier 1978, ce qui constituait une immixtion sans précédent dans le sacrosaint droit des contrats. Le croisement des sources étant assez rare dans ce domaine. Au visa des articles 1128 du Code civil et 22 de la loi informatique et liberté, la Cour avait prononcé la nullité de la cession d’un fichier de clientèle non déclaré à la CNIL pour illicéité de l’objet. Il fallait alors comprendre que le juge du contrat, à l’instar du juge pénal ou du juge des relations de travail allait reconnaître et intégrer la législation informatique et liberté dans ses décisions. Quatre ans après, cette jurisprudence est toujours appliquée : « un fichier clients non déclaré à la CNIL est hors commerce et ne peut faire l’objet d’une disposition contractuelle » (CA Bordeaux, Civ 1, 16 janv. 2017).
ANTICIPER LES RISQUES
L’entreprise doit tant bien que mal s’adapter à la rigueur des textes. Ceux-ci peuvent, à bien des égards, être particulièrement difficiles à mettre en œuvre selon la taille et les moyens de l’entreprise. Si les sanctions pécuniaires de GAFAM comme Facebook paraissent dérisoires (en attendant l’application du RGPD), le tissu économique français représenté en majorité par les TPE/PME/PMI, en ce compris les start-up, risque de ne jamais s’en remettre. Anticiper et éviter un contentieux souvent long, coûteux et aléatoire nécessite une expertise et une maîtrise parfaite de la matière. Afin d’éviter les faiblesses que peuvent représenter les conventions, la mise en œuvre d’un processus d’ingénierie contractuelle sur mesure est indispensable. Les correspondants informatiques et liberté (CIL) actuellement en fonction et les futurs délégués à la protection des données (data protection officer DPO) internes ou externes à l’entreprise devront avoir une vision d’ensemble des risques et collaborer étroitement avec leurs services juridiques (art. 38 et 39 du RGPD). L’objectif est de se préparer aux contrôles des autorités de régulation et d’éviter l’exposition aux risques que peuvent provoquer des litiges nés ou à naître.
A un an de l’entrée en vigueur du RGPD, il convient de rappeler que le DPO doit être désigné dans trois cas (art. 37 du RGPD) :
« Lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des tribunaux) ;
Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données particulières citées à l’article 9 (ex : données de santé, données biométriques, …) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »
Anticipation et collaboration des services de l’entreprise sont les maîtres mots sur le chemin de la conformité au RGPD.
Related posts
