Veille Juridique n°53 – Novembre 2022

Recours en justice : une dynamique nouvelle pour les actions collectives ? Les recours en justice concernant les questions de protection des données à caractère personnel sont encore peu nombreux en France et en Europe.

Si la presse se fait régulièrement l’écho de sanctions à l’égard des géants de la tech, ces sanctions sont surtout le fait des autorités de contrôle.

En cause notamment, les dommages souvent difficiles à évaluer en matière de violation de la vie privée, face aux coûts d’une action en justice.

La situation pourrait évoluer prochainement, avec la transposition au niveau national de la directive (UE) 2020/1828 relative aux actions représentatives.

Les Etats membres ont en effet jusqu’au 25 décembre de cette année pour se conformer à cette directive qui vise à protéger les intérêts collectifs des consommateurs.

Les recours collectifs existent déjà en France, et leur champ d’application s’est progressivement élargi. L’action de groupe existe ainsi depuis la loi du 17 mars 2014 relative à la consommation.

Elle a été étendue progressivement à différents domaines dont les données personnelles par la loi du 18 novembre 2016, qui a créé un nouvel article 43ter dans la loi Informatique et libertés.

Le texte limite néanmoins le droit d’intenter une action de groupe aux associations de défense des consommateurs agréées, aux associations de plus de cinq ans ayant pour objet statutaire la protection de la vie privée, et aux organisations syndicales représentatives de salariés ou de fonctionnaires.

Ce cadre légal ne permettait pas la réparation des dommages aux personnes concernées.

C’est maintenant possible, depuis la loi du 20 juin 2018 qui adapte la loi Informatique et libertés au RGPD.

L’action de groupe permet dorénavant la réparation des préjudices matériels et moraux devant les tribunaux.

Le RGPD permet également d’obtenir une telle réparation en mandatant des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle.

La France n’est donc pas la plus mal lotie aujourd’hui en termes d’actions représentatives, comme le montrent par exemple les actions d’organisations telles que la Quadrature du Net, très active dans le domaine de la protection des données.

D’autres pays vont néanmoins plus loin.

L’action collective en France se base sur un « opt-in » et n’engage que les personnes qui rejoignent explicitement la procédure, contrairement à la « class action » qui inclut a priori toutes les personnes qui correspondent au profil des personnes lésées, et leur laisse la possibilité de se retirer de la procédure. On parle dans un tel cas d’« opt-out ».

Si ces deux types de procédures sont encore peu présentes en Europe, la class action au sens de procédure « opt-out » est encore plus rare.

Les Pays-Bas permettent ces deux types de recours.

Au cours des deux dernières années, plusieurs fondations y ont été ont été constituées dans l’objectif d’intenter des « class actions ».

Ces fondations se sont par exemple attaquées au comportement anticoncurrentiel d’Apple et de Google, aux pratiques de collecte de données de TikTok, Salesforce et Oracle, ou encore à Airbus et Airbnb.

Le fait que l’organisation représentative puisse réclamer des dommages-intérêts pour une catégorie entière de demandeurs sauf « opt-out » de ces derniers change considérablement la donne pour les recours collectifs en matière de protection des données, où les dommages-intérêts individuels sont généralement faibles.

Le caractère économiquement viable de telles actions a fait des Pays-Bas la première juridiction européenne en matière de « class action », et l’on y observe une augmentation du financement de ce type d’organisations par des tiers.

Aujourd’hui, Twitter est ainsi poursuivi aux Pays-Bas pour le traçage de ses utilisateurs.

Il en est de même pour d’autres applications populaires dont Shazam, Vinted, mais aussi des applications plus sensibles comme Grindr et des applications de suivi des cycles menstruels.

La Directive européenne laisse la possibilité aux pays de l’UE de choisir le modèle de l’opt-in ou de l’opt-out, sauf pour l’action en cessation qui prévoit -logiquement- un opt-out.

Précisons que le texte donne la possibilité aux organisations d’intenter des actions transfrontières et donne le choix entre plusieurs juridictions : l’action peut être intentée dans l’État membre où la société défenderesse a son siège social mais également dans tout État membre où elle a une succursale et dans l’état du domicile de la personne lésée.

La France devra dès lors se préparer à traiter des recours pan-européens.

Elle devra également adapter son cadre juridique au principe du « perdant payeur » pour ce qui concerne les honoraires d’avocat et coûts de procédure, et prévoir une procédure de « discovery », telle qu’elle existe dans les pays de Common Law, et qui permet par décision motivée du juge la production de pièces utiles au litige (comme l’identité des personnes lésées).

Si les prochains mois permettront de clarifier les conditions d’application de la directive, il semble déjà certain qu’elle aura un impact sur le nombre d’actions représentatives en Europe.

Il serait bon de s’y préparer et de suivre de près sa transposition en France.

Et aussi

France :

La CNIL a condamné la société DISCORD INC. à une amende de 800 000 euros pour ne pas avoir respecté plusieurs obligations du RGPD, notamment en ce qui concerne les durées de conservation des données et la sécurité des données personnelles.

La CNIL souligne également un manque de protection des données par défaut : les utilisateurs n’étaient pas informés de ce que leurs conversations pouvaient encore être entendues lorsqu’ils pensaient avoir quitté un salon vocal.

Enfin, il a été reproché à la société de ne pas avoir effectué d’analyse d’impact avant la mise en œuvre des traitements.

La Commission a également publié le 24 novembre un plan d’action visant à accompagner la mise en conformité des applications mobiles et de protéger la vie privée des utilisateurs.

Elle entend approfondir son expertise, accompagner les professionnels et informer les citoyens, par exemple sous la forme de guides et de recommandations.

Elle procédera enfin à des contrôles ciblés et, si besoin, engagera des actions répressives vis-à-vis des organismes ne respectant pas leurs obligations.

La CNIL précise, à la suite d’un grand nombre de plaintes, dans quelles conditions les organismes d’assurance maladie complémentaire peuvent collecter des données de santé.

Elle constate que les textes applicables ne sont pas suffisamment précis et recommande l’adoption d’une loi.

Le 1er janvier 2023 marquera la fin des tickets de caisse au format papier.

Cette mesure « anti-gaspillage » pose des questions en matière de protection de la vie privée car les commerçants pourront identifier l’ensemble de leur clientèle, y compris les personnes qui ne disposent pas de carte de fidélité.

La Cnil a souligné dans son livre blanc qu’une adresse électronique recueillie à des fins d’envoi d’un ticket de caisse ou de paiement dématérialisé ne saurait être utilisée à des fins de prospection commerciale, ces deux finalités étant bien distinctes.

Il importera de recueillir le consentement de la personne concernée, ou, en cas prospection concernant des produits ou services analogues à ceux déjà fournis par l’entreprise, de l’informer des finalités et de la possibilité de s’opposer préalablement au moment de la collecte.

La Cour de cassation a considéré dans son arrêt du 7 novembre dernier que le code de déverrouillage d’un écran d’accueil de téléphone peut constituer une « clé de déchiffrement ».

S’il est susceptible d’avoir été utilisé pour la préparation ou la commission d’un crime ou d’un délit, son détenteur est tenu de donner aux enquêteurs le code de déverrouillage de l’écran d’accueil.

S’il refuse de communiquer ce code, il commet l’infraction de « refus de remettre une convention secrète de déchiffrement », passible d’amende et de peine de prison.

Europe :

Le 16 novembre 2022, le Règlement sur les services numériques (DSA) est entré en vigueur.

Ce règlement prévoit de nouvelles responsabilités pour les plateformes numériques, afin de limiter la diffusion de contenus et de produits illégaux, d’accroître la protection des mineurs, et de donner aux utilisateurs plus de choix et de meilleures informations.

Le Comité européen de la protection des données (EDPB) a publié ses recommandations sur la procédure d’approbation et les éléments à inclure dans les règles d’entreprises contraignantes (BCRs) à destination des responsables de traitement.

Le document est soumis à consultation publique jusqu’au 10 janvier 2023.

Le Contrôleur européen de la protection des données (EDPS) a publié son avis sur la proposition de règlement sur la cybersécurité.

Le texte entend définir des exigences de cybersécurité à l’échelle de l’UE pour une large gamme de produits matériels et logiciels tels que navigateurs, systèmes d’exploitation, pare-feu, systèmes de gestion de réseau, compteurs intelligents ou routeurs.

L’EDPS recommande d’intégrer à ce texte les principes de protection des données dès la conception et par défaut.

Il a également souligné qu’un certificat européen de cybersécurité ne pourrait pas remplacer la certification RGPD.

L’EDPS s’est également prononcé sur la proposition de règlement établissant un cadre commun pour les services de médias : dans son avis du 14 novembre, il souligne l’insuffisance des mesures envisagées pour protéger les journalistes, leurs sources et les fournisseurs de services de médias.

Il recommande de clarifier que tout journaliste bénéficierait de cette protection, et enjoint à restreindre davantage les exceptions qui permettent l’interception des communications par logiciels espions ou autres formes de surveillance.

Après deux ans de négociations avec Microsoft, le comité conjoint de l’autorité fédérale allemande de protection des données et des 16 régulateurs d’État a publié une déclaration dont l’impact risque d’être conséquent :  les responsables de traitement ne peuvent actuellement pas utiliser MS365 de manière légale en vertu du RGPD.

L’autorité néerlandaise de protection des données a publié le 14 novembre une mise en garde à l’intention de son gouvernement, afin de le dissuader d’utiliser les services cloud américains. Elle exhorte le gouvernement à utiliser des alternatives européennes.

L’APD hongroise a ordonné à l’exploitant d’un site web de prévisions météorologiques de cesser de transférer des données vers les États-Unis via Google.

L’APD a estimé que l’opérateur du site web utilisait Google Analytics sans mettre en œuvre des garanties adéquates pour les transferts de données vers les États-Unis.

Le 17 novembre, l’Irish Council for Civil Liberties a souligné dans une lettre à la Commission européenne que Meta enfreignait le RGPD et ne pouvait pas se conformer au règlement sur les marchés numériques (DMA).

L’ICCL cite des documents judiciaires récemment rendus publics en Californie, selon lesquels Meta n’a pas été en mesure de répondre à une demande d’information sur ce que font 149 de ses systèmes de traitement de données, indiquant que le fonctionnement de ces systèmes n’était pas compréhensible pour les humains.

La Commission irlandaise de protection des données a adopté le 25 novembre sa décision dans l’enquête sur le « Data Scraping » de Facebook, concernant la disponibilité en ligne des données personnelles de plus de 530 millions d’utilisateurs.

Les principes en jeux concernaient la protection des données dès la conception et par défaut prévue par le RGPD.

La décision impose des amendes administratives d’un montant total de 265 millions d’euros et des mesures correctives.

Meta fait face en Europe à trois autres procédures en infraction en vertu du RGPD.

Celles-ci concernent les conditions générales de Facebook mais aussi d’Instagram et de WhatsApp.

Les conclusions de l’EDPB concernant ces dernières devraient être publiées ce 5 décembre et sont très attendues. 

Elles concernent la base légale de la collecte de données des utilisateurs des réseaux sociaux.

Meta a modifié cette base légale pour passer du consentement à la nécessité du traitement dans le cadre d’un contrat, avec des répercussions juridiques qui, si elles étaient approuvées par les autorités de protection des données, dépasseraient largement le contexte de cette affaire.

L’Information Commissioner’s Office a publié le 17 novembre une mise à jour de ses lignes directrices sur les transferts internationaux.

Cette mise à jour comprend une nouvelle section sur les évaluations des risques de transfert (TRA) et un outil à l’intention des responsables de traitement.

Le Royaume-Uni a conclu un accord concernant le transfert de données à caractère personnel avec la Corée, qui entrera en vigueur le 19 décembre.

Il indique que son accord est « plus large » que celui de l’UE, puisqu’il autorise les entreprises à transférer des données relatives aux informations de crédit.

International :

Google a accepté de payer la somme record de 391,5 millions de dollars dans le cadre d’une transaction pour violations de la vie privée dans 40 États des Etats-Unis.

L’affaire concerne les pratiques de géolocalisation de la société : les utilisateurs ont selon les procureurs généraux été induits en erreur sur les conditions de désactivation de leur géolocalisation dans les paramètres de leur compte.

Les autorités de protection des données européennes ont averti que les deux applications Ehteraz et Hayya imposées par les autorités qataries pour l’entrée dans le pays génèrent des violations massives de la vie privée, en permettant un accès étendu aux données des utilisateurs, dont les données de localisation et les données d’appel.

La CNIL a recommandé aux personnes se rendant au Qatar d’utiliser un téléphone vierge ou réinitialisé.

Le Global Privacy Control, créé en octobre 2020, voit aujourd’hui son utilisation se développer grâce à son adoption par les principaux éditeurs et les plateformes de gestion du consentement en ligne.

Le GPC permet aux utilisateurs de refuser en un clic la vente d’informations personnelles au niveau du navigateur, pour tous les sites Web ou pour certains d’entre eux.

Contrairement aux gestionnaires de refus (opt-out) qui chargent souvent le contenu et commencent à collecter des données avant que l’utilisateur ait eu la possibilité de s’y opposer, le GPC honore le choix de l’utilisateur avant le chargement du site.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.