Archives de Tag: protection de la vie privée

L’action de groupe : arme efficace contre l’utilisation abusive des données personnelles ?

Les données à caractère personnel sont un sujet clé de la vie numérique et de l’économie digitale. A la suite d’un nombre non négligeable de scandales, leur protection a progressivement pris une dimension toute particulière.

On peut citer à titre d’exemple : le vol de données Uber ayant conduit la CNIL à infliger au géant américain une amende record de 50 millions d’euros ; ou encore l’affaire Cambridge Analytica, société de profilage politique, soupçonnée d’avoir compilé, au moyen d’un quizz de personnalité, les données personnelles de près de 87 millions d’utilisateurs Facebook.

Pour autant face à ces situations les moyens mis à disposition des individus pour assurer effectivement le contrôle et la protection de leurs données à caractère personnel paraissent insuffisants.

1. Quid de l’action de groupe en France ?

De manière générale, l’action de groupe se définit comme « une action judiciaire diligentée par un représentant d’un groupe, désigné par la loi, afin que ledit groupe, suite au dommage de masse causé par les manquements d’un professionnel, puisse obtenir une réparation judiciaire » [1]. En d’autres termes, elle permet à un titulaire, spécialement déterminé par la loi, d’agir afin d’obtenir réparation des préjudices subis par un groupe de personnes aux torts d’un seul et même protagoniste.

A l’aube des années 1980, en l’absence d’instrument juridique en mesure de prendre acte et de sanctionner « les litiges de masse », la doctrine française commence à réfléchir à l’introduction de l’action de groupe en droit français[2]. Cependant, fort des dissensions et alternances politiques, le gouvernement français a longtemps craint l’introduction d’un tel mécanisme[3].

L’action de groupe a finalement été consacrée pour la première fois par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon ». Elle a ensuite été étendue à diverses sphères du droit, notamment en droit de la santé[4], en droit de l’environnement[5], en matière de discrimination au travail[6], ainsi qu’en matière de données personnelles.

2. Quel est le cadre juridique français de l’action de groupe en matière de données personnelles ?

  • De la demande de cessation à l’action en réparation

L’action de groupe en matière de données personnelles a été introduite en France par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci a introduit dans la loi du 6 janvier 1978 dite « Informatique et Libertés » (LIL)[7], l’article 43 ter (désormais abrogé en raison d’une version plus récente du texte). L’objectif était de permettre aux personnes victimes de manquements aux obligations de protection des données personnelles, d’en demander la cessation devant la juridiction compétente.

Après la réforme législative du 20 juin 2018 relative à la protection des données personnelles, le champ de cette action de groupe a été élargie. Cette réforme insère dans la LIL un nouvel article 37[8], permettant d’une part de demander la cessation du manquement, et / ou d’autre part « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir réparation des préjudices matériels ou moraux subis ».

Conformément à l’article 37 de la LIL, lu en combinaison avec les articles 60 et suivants de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, cette action de groupe peut être respectivement portée devant la juridiction civile[9] ou la juridiction administrative[10] compétente. Le demandeur à l’action doit en informer la Cnil, afin que celle-ci puisse présenter des observations.

Il s’agit là de modifications opérées sous l’impulsion du droit de l’Union européenne et notamment du Règlement général sur la protection des données à caractère personnel du 27 avril 2016 dit « RGPD ». L’action de groupe est effectivement prévue par le RGPD, qui permet aux personnes physiques ayant subi un dommage matériel ou moral du fait de la violation d’obligations posées par le Règlement, d’obtenir réparation du préjudice subi.

  • Les conditions de l’action

Le fait générateur de l’action de groupe en matière de données personnelles est restreint : l’action ne peut être exercée que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature » aux dispositions du RGPD ou à celles de la loi du 20 juin 2018 relative aux données personnelles (LIL, art. 37 II).

Par ailleurs, en vertu de l’article 37 IV. de la LIL, seuls peuvent exercer une telle action :

  • « Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel» ;
  • « Les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs» ;
  • « Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre».

Il est important de noter, que l’action de groupe doit être précédée d’une mise en demeure en vue de faire cesser le manquement ou de réparer le(s) préjudice(s) subi(s). Ce n’est qu’à l’issue de l’expiration d’un délai de 4 mois, à compter de la réception de la mise en demeure, que l’action de groupe pourra être introduite devant la juridiction compétente[11].

3. Quelles sont les actions en cours ?

Alors même que les scandales portant sur l’utilisation massive et abusive des données à caractère personnel se multiplient, la France compte à ce jour un nombre restreint d’actions de groupe :

  • Internet Society France (ISOC France) c/ Facebook :

En novembre 2018, l’ONG annonçait vouloir engager la première action de groupe indemnitaire en matière de données personnelles[12].

Par une lettre de mise en demeure, l’ISOC France a alerté la plateforme de sept « atteintes récurrentes aux libertés et à la vie privée » de ses utilisateurs. L’internet Society reproche notamment au géant américain de collecter des données sensibles (l’orientation sexuelle, les opinions politiques et les croyances religieuses), de ne pas demander le consentement libre et éclairé des utilisateurs Facebook et WhatsApp ou encore l’absence de sécurisation efficace des données personnelles[13].

En l’absence de réponse, l’ONG a décidé de porter l’affaire devant les tribunaux français. Selon l’Agence France Presse (AFP), l’ISOC France a déclaré vouloir introduire une assignation devant le tribunal de grande instance de Paris au cours du mois de septembre 2019[14].

  • UFC-Que choisir c/ Google:

Le 26 juin dernier, UFC-Que choisir a introduit une action de groupe contre le géant de l’internet, pour collecte et exploitation de données utilisateurs contraires aux obligations posées par le RGPD.

Cette action concerne principalement les utilisateurs de produits Android. L’association pointe notamment du doigt le processus de création de compte : « nous considérons que le consentement des utilisateurs n’est pas obtenu de façon légale, notamment au travers de cases pré-cochées camouflées ». Selon elle, les utilisateurs n’auraient pas conscience de « l’intrusion massive » dans leur vie privée notamment au travers des données de géolocalisation et à fortiori de la finalité de cette collecte.

L’organisme a assigné Facebook devant le Tribunal de grande instance de Paris et est en attente d’une décision sur la responsabilité de Google dans le cadre de la collecte et du traitement des données personnelles de ses utilisateurs.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

[1] S. GUINCHARD, CHAINAIS et FERRAND, Procédure civile. Droit interne et droit de l’Union européenne, 2014, coll. Précis, Dalloz, n° 404

[2] Commission de refonte du droit de la consommation, sous la direction de J. CALAIS-AULOY, 1985

[3] Action de groupe – Sonia BEN HADJ YAHIA – Juin 2015, n°2 et suivants

[4] Article 184 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

[5] Article L142-3-1 du code de l’environnement.

[6] Articles L.1134-6 à L.1134-10 du Code du travail.

[7] La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle est venu modifier la loi Libertés et Informatiques.

[8] Article 37 de la  LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[9] Article 60 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[10] Article 85 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[11] Article 64 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[12] Communiqué de l’ISOC France en date du 9 novembre 2018.

[13] Lettre recommandée avec accusé de réception adressée à Facebook France, Facebook Ireland LTD, Facebook Inc.

[14] Article de presse en date du 26 mars 2019 rédigé par l’AFP et publié sur CB News.

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

Quand l’autorité de la concurrence allemande fait du droit des données personnelles pour contraindre Facebook

Entre les soupçons d’ingérence russe dans la campagne présidentielle américaine, l’audition de M. Zuckerberg devant le congrès américain en marge du scandale Cambridge Analytica et les innombrables procédures judiciaires et enquêtes de régulateurs, Facebook n’en finit plus d’être sous les feux de la rampe.

Dans le prolongement d’une enquête ouverte en mars 2016, le Bundeskartellamt, (l’autorité de concurrence allemande) vient de rendre une décision le 7 février dernier dans laquelle elle interdit à Facebook « de croiser les données d’utilisateurs provenant de différentes sources ».

C’est une décision rare en ce sens que l’autorité allemande a largement intégré le droit des données personnelles dans ses raisonnements pour sanctionner Facebook, alors même que sa compétence se limite en principe au droit de la concurrence allemand et, dans une certaine mesure, au droit européen.

Cette décision met en lumière les interactions croissantes entre ces deux disciplines. En France, l’Autorité de la concurrence s’intéresse également aux données personnelles. Elle vient de publier un avis « portant sur l’exploitation des données dans le secteur de la publicité sur Internet[1] » et avait réalisé une étude conjointe en mai 2016 « sur les données et leurs enjeux pour leur application du droit de la concurrence[2] » avec le Bundeskartellamt, justement.

Le fonctionnement de Facebook décortiqué

Dans les documents explicatifs de la décision publiés en anglais[3], l’autorité allemande a constaté qu’en acceptant les conditions générales d’utilisation de Facebook, tout utilisateur consent à ce que Facebook collecte et utilise trois types de données le concernant :

  • les données collectées sur Facebook ;
  • les données collectées sur les services appartenant à Facebook, comme Instagram et Facebook Messenger, mais aussi WhatsApp ; et
  • les données collectées sur les « sites et applications tiers ».

Cette dernière catégorie de données est collectée de différentes manières et recouvre les cas où Facebook est « incorporé » à un site ou une application tierce, connecté aux API de Facebook. C’est par exemple la situation où l’on utilise notre profil Facebook pour se connecter à un service, plutôt que de créer un compte avec notre adresse email, ou lorsque l’on commente une page d’un site Internet avec notre profil Facebook.

Conformément à ses conditions générales d’utilisation, Facebook agrège l’ensemble des données collectées sur ces différents services, et les relie au profil Facebook de l’utilisateur concerné. Cette collecte de données à travers trois sources différentes (Facebook, les services détenus par Facebook, et les services tiers) permet évidemment d’avoir une connaissance encore plus fine de l’utilisateur et donc d’offrir aux annonceurs un ciblage encore plus pertinent.

Les griefs et le raisonnement du Bundeskartellamt

La caractérisation d’un abus de position dominante en droit de la concurrence nécessite la réunion de deux conditions : (i) une position dominante sur un marché spécifique à l’affaire, ici celui des réseaux sociaux en Allemagne, et (ii) l’abus de cette position dominante.

La position dominante de Facebook n’a pas été difficile à prouver puisque comme dans la plupart des pays où Facebook est actif  le service est massivement utilisé par les populations (sauf en Asie, et notamment en Chine),. En Allemagne, la part de marché de Facebook s’élève à 90%. Le Bundeskartellamt a souligné que même si l’on devait inclure dans le marché pertinent d’autres services proches d’un service de réseau social, les plus importants appartenaient de toute façon à Facebook, à savoir Instagram et WhatsApp. L’autorité allemande a aussi relevé que Google + n’avait jamais réussi à concurrencer Facebook et avait fini par disparaitre.

C’est la caractérisation de l’abus qui présente une certaine originalité. Il y a deux grandes catégories d’abus en droit de la concurrence : les abus d’éviction (qui évincent les concurrents d’un marché) et les abus d’exploitation (qui imposent des conditions commerciales excessives et/ou injustifiées).

Pour retenir un abus d’exploitation en l’espèce, l’autorité allemande s’est fondée sur une jurisprudence de la Cour fédérale de justice (l’équivalent de la Cour de cassation française) selon laquelle les principes du droit civil peuvent être mobilisés pour caractériser un abus de position dominante. Alors que ce type de jurisprudence sert généralement à mobiliser des principes de droit des contrats visant à assurer l’équilibre des rapports entre les parties, c’est ici le droit des données personnelles qui a servi de fondement, ce qui est assez novateur. L’autorité allemande a alors constaté que Facebook violait de nombreuses dispositions du RGPD et a pu constater l’abus.

La sanction

Comme l’a résumé le président du Bundeskartellamt, la décision peut être comparée à un « démantèlement interne des données de Facebook ».

Cette expression est une référence historique aux origines du droit de la concurrence et résume assez bien la sanction. Le droit de la concurrence est né d’un monopole, celui de l’entreprise de raffinage et de distribution « Standard Oil » fondée par John Rockfeller et qui avait fini par contrôler la quasi-totalité de la production et de la distribution de pétrole aux États-Unis à la fin du XIXe siècle. Le gouvernement américain avait fini par démanteler (« divest ») la Standard Oil et avait peu après adopté les premières règles sur le droit de la concurrence, et notamment les règles sur l’abus de position dominante, qui visent à empêcher les monopoles de se constituer.

En substance, Facebook ne pourra plus combiner les données issues (i) de Facebook, (ii) des autres services qu’elle détient et (iii) des services tiers pour les agréger au profil Facebook de l’utilisateur, à moins d’obtenir un consentement de façon licite. Facebook peut toujours collecter des données de ces trois manières, mais de façon séparée, la combinaison des trois n’étant permise que si l’utilisateur a été en mesure d’exprimer son consentement conformément aux standards du RGPD.

Chose assez rare, l’autorité allemande n’a pas imposé d’amende, alors qu’elles constituent généralement le remède le plus utilisé par les autorités de concurrence. L’autorité a indiqué que « l’enjeu ici est de parvenir à des changements dans le comportement de [Facebook] au bénéfice des concurrents et des consommateurs et de contraindre [Facebook] d’adhérer à ces changements. (…) L’objet de cette procédure n’est pas d’imposer une amende ».

La compétence de l’autorité allemande est limitée, si bien que Facebook n’est contraint de procéder à ce « démantèlement » que pour les utilisateurs de Facebook résidant en Allemagne.

Quelles suites ? 

Comme Google après sa condamnation par la Commission européenne, Facebook a rapidement réagi en publiant un article intitulé « Pourquoi nous ne sommes pas d’accord avec le Bundeskartellamt[4] » et en annonçant avoir fait appel de la décision, qui sera revue par un tribunal allemand. Facebook explique notamment que la « popularité n’est pas la domination », et que Facebook est directement en concurrence avec de nombreux autres services comme Snapchat, Twitter ou YouTube.

Il sera intéressant de voir comment un juge abordera le raisonnement de l’autorité allemande (le Bundeskartellamt reste une autorité administrative), et si une question préjudicielle sera éventuellement posée à la Cour de justice de l’Union Européenne pour clarifier les règles applicables à ce type de pratiques.

Mise à jour : dans une décision du 26 août 2019, la Cour d’appel régionale de Dusseldörf (« Oberlandesgericht« ) a suspendu la décision du Bundeskartellamt. Facebook n’a pas encore exécuté la décision de l’autorité de concurrence allemande, et n’aura donc pas à le faire tant que la procédure n’est pas achevée. Le président de l’autorité allemande a annoncé qu’un appel serait porté devant la juridiction supérieure, la Cour suprême fédérale. L’affaire est donc toujours en cours.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

 

[1] Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet

[2] Etude conjointe « Droit de la concurrence et données », 10 mai 2016, disponible à l’adresse suivante : http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf

[3]https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html

[4] https://newsroom.fb.com/news/2019/02/bundeskartellamt-order/

Poster un commentaire

Classé dans Union Européenne