Un enquêteur privé condamné pénalement pour avoir effectué, sur demande d’un employeur, des recherches sur des salariés et candidats, à partir de données librement accessibles sur internet.

L’utilisation quotidienne par des milliards d’utilisateurs, des réseaux sociaux, sites internet, et plateformes, et la publication de contenus librement accessibles, crée une manne d’informations accessibles à tous.

Dans ce contexte, nombreuses sont les personnes qui exploitent ou réutilisent ces données à des fins diverses, plus ou moins licites (preuve d’une violation d’une clause de non-concurrence, évaluation des tiers dans le cadre de la loi Sapin II, recherches de nouveaux candidats, preuve de fraude fiscale, escroquerie, etc.). Dans certains cas, elles ont recours aux services de sociétés ou de personnes spécialisées (détective privé, société d’OSINT, etc.). 

Récemment, la Cour de cassation s’est prononcée sur ce sujet, à la suite d’un dépôt de plainte d’un syndicat, et plus spécifiquement sur la réutilisation de données librement accessibles en ligne par un détective privé dans le cadre d’une relation employeur/employés.

Suivant les faits repris par l’arrêt de cassation, la société était susceptible de faire procéder à des enquêtes sur ses salariés, candidats à l’embauche, clients ou prestataires. Pour ce faire, elle a fait appel aux services d’un détective privé.

Une enquête préliminaire et une information judiciaire ont été ouvertes sur les pratiques de la société. Le détective privé a été renvoyé devant le tribunal correctionnel des chefs de collecte déloyale de données à caractère personnel et complicité, complicité de détournement de la finalité d’un fichier, pour des faits commis « courant 2009, 2010, 2011 et jusqu’au 11 juillet 2012, en tout cas […] depuis temps non couvert par la prescription ». 

Le prévenu a été condamné en première instance, puis en appel à un an d’emprisonnement avec sursis et 20 000 euros d’amende (Cour d’appel de Versailles, 9e chambre, en date du 27 janvier 2023).

La Cour d’appel de Versailles a estimé que :

« Le moyen de collecte de ces données est considéré comme déloyal dans les rapports employeur/employé dès lors que, issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, comme le prévenu l’a lui-même exposé lors de ses interrogatoires, de telles données ont fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ont été recueillies à l’insu des personnes concernées, ainsi privées du droit d’opposition institué par la loi informatique et liberté ».

Celui-ci a donc formé appel de la décision et le ministère public a formé un appel incident.

L’enquêteur a violé la réglementation relative aux données personnelles

Au soutien de son pourvoi, le prévenu énonce, en premier lieu, que « ne constitue pas un traitement déloyal de données à caractère personnel le fait, pour un enquêteur privé, de recenser des informations rendues publiques par voie de presse ou des informations diffusées publiquement par une personne sur un réseau social (données en open source) » et que la Cour d’appel a violé l’article 226-18 du Code pénal.

En second lieu, il estime que les juges d’appel n’ont pas assez motivé les faits reprochés et caractérisé leur caractère déloyal.

En troisième lieu, il conteste l’étendue des faits sur lesquels la Cour d’appel s’est prononcée, eu égard à ceux figurant dans sa saisine.

La Cour de cassation casse l’arrêt d’appel sur ce troisième moyen au motif que :

« L‘ordonnance du juge d’instruction ne renvoyant le prévenu devant le tribunal correctionnel que pour les faits commis de courant 2009 jusqu’au 11 juillet 2012, la cour d’appel ne pouvait, sauf à ce que l’intéressé accepte expressément d’être jugé sur les faits antérieurs, ce qui n’a pas été le cas, considérer qu’elle était saisie des faits commis avant l’année 2009 ».

Cependant, c’est le motif de rejet du premier moyen du pourvoi qui a retenu toute notre attention.

En effet, la Cour de cassation estime que :

« Le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».

L’on comprend ainsi que les traitements de données librement accessibles en ligne ne peuvent être réalisés que si :

• Les personnes concernées sont informées et, en conséquence, en mesure de pouvoir exercer leurs droits (notamment de s’opposer au traitement si la base légale du traitement est l’intérêt légitime)
• Les finalités de ces traitements ultérieurs sont compatibles avec les finalités initiales du traitement.

La fin des détectives privés?

Abstraction faîte des règles applicables en matière de loyauté de la preuve, cette position se comprend au regard des dispositions du RGPD relatives à l’obligation d’information des personnes faisant l’objet d’un traitement et à l’exigence d’une base légale nécessaire à sa mise en œuvre.

Néanmoins, en pratique cette décision pourrait sonner le glas de la profession de détective privé. En effet, elle implique que le détective privé informe systématiquement les personnes sur lesquelles il enquête, alors même que le secret des investigations et la discrétion sont l’essence même de sa profession.

En outre, le RGPD lui-même prévoit une exception à l’obligation d’information en cas de collecte indirecte, lorsque l’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ».

En l’espèce, le régime applicable était celui issu du Code pénal et non du RGPD. Néanmoins, la Cour suprême aurait peut-être dû s’inspirer de l’exception prévue par le règlement européen, pour tenter de dégager une solution moins radicale.

Source: Arrêt du 30 avril 2024

Le 31 mai 2023, la FTC l’agence publique américaine en charge de l’application du droit de la consommation et de la concurrence, a annoncé avoir déposé auprès de l’autorité compétente une proposition d’accord transactionnel concernant la société Ring, qui doit encore être homologuée.

L’accord prévoit notamment le paiement de 5.8 millions de dollars par Ring à ses clients.

Les manquements liés à l’accès aux données au sein de l’organisation

En l’espèce, la FTC reprochait dans une plainte à la société de ne pas avoir limité l’accès aux vidéos de ses clients, accessibles depuis les caméras connectées. Fait d’autant plus grave que la campagne publicitaire autour de ces produits était axée au tour de la sécurité apportée par la vidéo-surveillance (« protect your home » « bring protection inside ».)

Une absence totale de restriction à l’utilisation des données des utilisateurs

La FTC révèle en effet que tout employé ou prestataire de la société était autorisé à accéder aux vidéos enregistrées chez les clients. La FTC souligne que cet accès était évidemment non nécessaire et était complet, aucune mesure de restriction n’ayant été mise en place.

La plainte souligne notamment que des sous-traitants basés en Ukraine ont donc pu avoir un accès total aux vidéos enregistrées par les détenteurs de caméras Ring.

L’accès aux vidéos des clients n’était donc pas limité aux fonctions pour lesquelles il était nécessaire : le service support ou les équipes en charge de l’amélioration du produit.

A titre d’exemple, la FTC relève qu’un ingénieur en charge des réglages des projecteurs accompagnant les caméras aurait pu avoir accès si nécessaire à des vidéos d’utilisateurs installées en extérieur, mais certainement pas à celles tournées par des caméras installées dans une chambre.

Pire, aucune restriction technique n’empêchait le téléchargement, la sauvegarde ou le transfert de ces vidéos par les employés et collaborateurs de Ring. Il était même possible pour les collaborateurs de Ring de rechercher sur une base de données les vidéos enregistrées par les caméras, selon le nom donné à celles-ci. Cela a notamment permis à un employé de rechercher prioritairement des vidéos d’espaces « intimes » en utilisant le mot clé « bedroom » ou « bathroom ».

L’autorité américaine souligne que la filiale d’Amazon a échoué à mettre en place les mesures de sécurité les plus élémentaires. Cette imprudence a notamment permis à un employé de la société d’accéder à des milliers d’enregistrements de clientes dans leurs chambres ou salles de bain.

Un défaut de contrôle et de suivi de l’utilisation des données

Circonstance aggravante, une fois cette entorse à la règlementation relative au droit à la vie privée détectée, Ring a mis en place des restrictions concernant l’accès des vidéos par son personnel mais n’a pas été en mesure de garder la trace de ceux-ci et donc de déterminer s’ils étaient légitimes.

Ring même après avoir limité l’accès de son personnel à ses bases de données n’était donc aucunement en mesure de détecter une fuite ou un accès non-autorisé.

La FTC insiste sur l’absence de moyens techniques permettant de gérer les accès aux données sensibles

L’autorité ajoute dans sa plainte que Ring n’a ainsi « aucune idée » du nombre d’accès non autorisés ayant eu lieu.

La FTC indique que Ring a découvert les agissements de certains de ses collaborateurs uniquement par « chance » et qu’il est donc extrêmement probable que de nombreux incidents n’aient pas été détectés.

Ces révélations ne reposent effectivement que sur la vigilance des employés ayant rapporté à la direction ces atteintes à la vie privée, alors même qu’ils ne s’étaient pas vus confier cette mission.

La plainte relève également la légèreté d’un supérieur hiérarchique auquel un rapport avait été remonté par une employée concernant les accès à de très nombreuses vidéos par un ingénieur employé par Ring.

Le personnel de Ring ne bénéficiait d’aucune formation en lien avec les données sensibles des utilisateurs, et donc d’aucun mécanisme d’alerte ou de procédure de traitement des incidents.

Cela pourrait expliquer que les pratiques de l’entreprise se soient améliorés de manière très lente, la FTC considère que Ring a échoué à mettre en place des mesures de sécurité élémentaires de 2016 à 2020.

Enfin, la société n’a jamais clairement informé ses clients que la consultation des enregistrements par ses employés était possible, et a utilisé des termes vagues à ce sujet dans ses documents contractuels.

Les sanctions et mesures prévues par l’accord transactionnel

En supplément des mesures pécuniaires qui serviront au remboursement de clients, la FTC propose à la société Ring de mettre en place un programme de sécurité des données personnelles et de respect de la vie privée contraignant.

L’accord prévoit également la suppression de toutes les données qui étaient consultables de façon illicite, avant une certaine date et tous les travaux, notamment de développement et d’entraînement de technologie de reconnaissance faciale, associés.

La FTC souhaite ainsi clairement établir que la violation de la réglementation sur les données personnelles et la vie privée a un coût.

Source: FTC Says Ring Employees Illegally Surveilled Customers, Failed to Stop Hackers from Taking Control of Users’ Cameras

Henri Leben

Leben Avocats

Il est fréquent désormais que des données personnelles collectées dans le cadre d’un premier traitement fassent l’objet d’un traitement ultérieur. C’est par exemple le cas des données du client créant son compte sur un site de e-commerce et qui seront utilisées pour préremplir son adresse de livraison ou de facturation.

L’article 6, point 4, du RGPD prévoit ainsi la possibilité de mettre en œuvre un second traitement sur des données collectées pour une première finalité.

Ce traitement dit « ultérieur » doit répondre à un certain nombre de critères pour être licite. L’analyse de la licéité du traitement envisagé est confiée au responsable de traitement.

Le responsable de traitement doit ainsi fonder son analyse sur le contexte du traitement, les attentes des personnes concernées, les conséquences possibles au traitement ainsi que l’existence de garanties appropriées afin de s’assurer que la finalité de ce second traitement est compatible avec celle du premier traitement.

Le traitement envisagé doit bien sûr respecter l’ensemble des dispositions du RGPD, au-delà des critères énoncés à l’article 6, point 4.

Dans un arrêt du 20 octobre 2022 (affaire C-77/21), la Cour de Justice a été amenée à se prononcer sur la compatibilité des finalités de deux traitements successifs, et sur les obligations du responsable de traitement quant au second traitement.

En l’espèce, la cour de Budapest-Capitale avait saisi la Cour de Justice de deux questions préjudicielles à la suite d’une décision de l’Autorité hongroise de protection des données.

La société Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, avait été l’objet d’une défaillance technique ayant affecté le fonctionnement d’un de ses serveurs mi-2018.

Afin de traiter cette défaillance, Digi avait procédé à la copie des données d’environ un tiers de ses clients dans une base de données dite « de test ».

Fin 2019 un « pirate éthique » a signalé à Digi que les données de plus de trois cent mille de ses clients sur cette base étaient accessibles en ligne. Digi a conclu un accord ave le pirate, supprimé la base et notifié la violation à l’Autorité hongroise de protection des données.

Suite à cette notification, l’Autorité hongroise a prononcé une sanction contre Digi aux motifs que celle-ci n’aurait pas respecté l’obligation de limitation de la durée de traitement des données en conservant les données copiées dans la base de test sans aucune finalité.

Saisie par Digi, la juridiction de renvoi a souhaité poser deux questions préjudicielles auprès de la Cour de Justice, soit, telles que reformulées par la Cour :

1. L’enregistrement et la conservation dans une base de données nouvellement créée de données personnelles conservées dans une autre base de données constituent-ils un « traitement ultérieur » au sens de l’article 6, point 4 ; et
2. Dans l’hypothèse où le traitement ultérieur serait autorisé, les données peuvent-elles être conservées une fois la finalité du traitement ultérieur réalisée ?

La Cour établit tout d’abord que la finalité du traitement ultérieur telle que décrite par la Cour hongroise n’est pas identique à la finalité initiale, et qu’il est donc nécessaire d’analyse la compatibilité des finalités des deux traitements.

La Cour hongroise retient en effet que le traitement initial consistait en la collecte de données aux fins de la conclusion et de l’exécution de contrats d’abonnement avec des clients particuliers tandis que le traitement ultérieur porte sur la réalisation de tests et la correction d’erreurs (conformément à la position de l’Autorité hongroise).

Digi soutenait que le traitement ultérieur avait pour finalité de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, et que cette finalité était identique à celle du traitement initial. Cette interprétation a été écartée.

La Cour de Justice retient cependant que la finalité du traitement ultérieur présente un lien concret avec l’exécution des contrats conclus avec les clients. Elle relève par ailleurs que la décision de renvoi ne contient aucun élément permettant d’aller contre la compatibilité du traitement ultérieur avec le traitement initial (absence de données sensibles ou de conséquences dommageables identifiées).

Dès lors, en application des critères listés à l’article 6, point 4 du RGPD, la Cour de Justice retient la complémentarité des finalités des traitements et renvoie la vérification des garanties appropriées à la juridiction hongroise.

Pour autant, la Cour de Justice relève que le traitement ultérieur viole le RGPD.

En effet, la possibilité de mettre en place un traitement ultérieur n’écarte pas ces données du bénéfice des autres dispositions du RGPD, dont l’obligation de limiter la durée de traitement à la réalisation de la finalité.

En conservant les données dans la base de test au-delà de la durée nécessaire à la réalisation de tests et à la correction d’erreurs, Digi a violé l’obligation de définir une durée appropriée de conservation des données.

Cet arrêt rappelle que si la mise en œuvre d’un traitement ultérieur de données doit donner lieu à la vérification de la compatibilité de la finalité envisagée avec la finalité première du traitement initial, cette vérification ne doit pas faire oublier la nécessité de mettre en place l’ensemble des mesures nécessaires à la licéité d’un traitement : minimisation des données, contrôle des accès, exercice des droits des personnes, limitation des durées de conservation, etc.

Source : https://curia.europa.eu/juris/document/document.jsf;jsessionid=4BD1E9D0D41D621089AEA68F502EDABE?text=&docid=267405&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=27154

Le 21 octobre dernier, la CNIL a publié un article intitulé « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »

Pour rappel, cela fait maintenant un an que la Cnil a remanié ses Lignes directrices « cookies et autres traceurs » qui formalisent la distinction entre les cookies pour lesquels le dépôt sur le terminal de l’utilisateur peut avoir lieu sans recueil préalable de consentement, et ceux pour lesquels le consentement doit être recueilli.

Les cookies concernés sont à la fois les cookies « tiers » (c’est-à-dire, ceux déposés sur des domaines différents de celui du site principal. Ces cookies ont pour fonction de permettre à des tiers de voir quelles pages ont été visitées par un utilisateur sur le site principal et de collecter des informations sur les utilisateurs à des fins publicitaires, tels que le bouton « j’aime » affichés sur un ensemble de sites tiers par certains réseaux sociaux) et les cookies « internes » (c’est-à-dire, les cookies déposés par le site consulté par l’utilisateur).

Les traceurs exemptés du recueil du consentement correspondent notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, à ceux destinés à l’authentification auprès d’un service ou encore, aux traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.

Certains traceurs de mesure d’audience sont également concernés, sous réserve d’avoir pour finalité exclusive la mesure d’audience, aux conditions suivantes :

• Répondre à différents besoins strictement nécessaires au fonctionnement et aux opérations d’administration courante ;
• Être mise en œuvre pour le compte exclusif de l’éditeur du site / de l’application ;
• Produire des données statistiques anonymes.

Sont explicitement exclus les cookies permettant la mise en œuvre du suivi global de la navigation des personnes concernées sur plusieurs sites et applications et ceux permettant que les données personnelles collectées soient recoupées avec d’autres traitements ou transmises à des tiers.

La Cnil a également publié la liste des traceurs qui, sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.

Cette liste, régulièrement actualisée, est accessible en suivant ce lien : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience.

Un an après la publication de ces nouvelles Lignes directrices, la Cnil a pris acte de l’utilisation grandissante par les acteurs du secteur d’alternatives aux cookies « tiers » pour le ciblage publicitaire.

Les cookies « tiers » font en effet l’objet d’un encadrement de plus en plus strict de la part des navigateurs, et d’une surveillance de la part des autorités de contrôle telles que la Cnil.

D’autres solutions ont donc été développées par les éditeurs, ne reposant pas sur le dépôt de cookies :

• Données issues des cookies « internes » : désigne le recours aux cookies internes qui peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation ;

• Empreinte numérique du navigateur (fingerprinting) : désigne la méthode permettant d’identifier l’utilisateur de façon unique en utilisant les caractéristiques techniques de son navigateur (taille de l’écran, système d’exploitation, etc.). Cette méthode requière la collecte de suffisamment d’informations pour distinguer les utilisateurs entre eux ;

• Authentification unique (SSO – Single Sign-On) : désigne la connexion à plusieurs services au travers d’un compte et d’une authentification uniques. Le compte peut ainsi être utilisé comme un traceur des activités de l’utilisateur au cours de sa navigation ;

• Identifiants uniques : désigne les identifiants permettant de suivre un utilisateur grâce à l’utilisation d’une donnée hachée, elle-même collectée au cours de la navigation de l’utilisateur sur le site ;

• Ciblage par cohorte : désigne la pratique consistant à cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle, en attribuant à ce groupe un identifiant unique et persistant.

La Cnil rappelle que cette pratique a d’abord été développée par certains opérateurs tels que Google afin de : « reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusive de ces pratiques. ».

La Cnil recommande de conduire une analyse sur les conséquences pour les droits et libertés des personnes concernées de cette pratique, en insistant notamment sur les risques de réidentification individuelle et l’importance du respect du principe de minimisation des données.

La Cnil rappelle que ces solutions demeurent toutes soumises aux dispositions du Règlement n°2016/679 (le « RGPD ») ainsi qu’aux dispositions issues de la transposition de la Directive « vie privée et communications électroniques » (dite « ePrivacy »).

La Cnil rappelle également que, quand bien même ces solutions ne constitueraient pas des cookies au sens habituel du terme, elles : « reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (…) pour accéder à des informations déjà stockées dans cet équipement (…) ou pour y inscrire des informations, au même titre que pour les cookies. ».

A ce titre, et conformément à la réglementation, la Cnil rappelle que : « les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur ».

La Cnil en conclut que les dispositions des Lignes directrices « cookies et autres traceurs » ont vocation à s’appliquer à l’ensemble des solutions alternatives aux cookies telles que décrites ici. Ses opérations de contrôle porteront donc sur la conformité de ces solutions aux dispositions issues des Lignes directrices.

Les éditeurs de ces solutions doivent en conséquence s’assurer qu’elles respectent le principe de protection de la vie privée dès la conception (principe du privacy by design) et notamment, qu’elles :

• Intègrent des moyens permettant aux utilisateurs de garder le contrôle de leurs données ;
• Permettent aux utilisateurs d’exercer facilement leurs droits.

Enfin, la Cnil insiste sur la nécessité pour les acteurs du secteur de s’assurer qu’ils ne traitent pas de données dites « sensibles » ou « particulières ».

La Cnil rappelle en conclusion l’importance pour l’ensemble des acteurs de ce secteur, responsable de traitement et sous-traitant, de tenir compte de leurs rôles et responsabilités respectifs.