RGPD : d’où vient la menace

Le règlement européen relatif à la protection des données personnelles (RGPD) constitue, sans hésitation, un texte d’une portée considérable : à compter du 25 mai 2018, il refond en profondeur les règles en la matière en renforçant considérablement les pouvoirs de sanction de la CNIL et en consacrant notamment de nouveaux droits pour les utilisateurs.

La CNIL a d’ailleurs publié en collaboration avec la BPI un guide pour accompagner la mise en conformité des entreprises. Certes, la CNIL peut agir. Mais ce serait réducteur de réduire l’invocation de ce texte uniquement par la CNIL.

Car, toute la dynamique de la mise en œuvre de la réglementation des données personnelles, c’est qu’elle peut être invoquée par plusieurs acteurs à partir d’actions diverses. Tout d’abord, bien évidemment, il y a la CNIL dont la réglementation précise expressément que les contrôles en la matière peuvent s’effectuer en ligne. Autrement dit, les sites internet peuvent faire l’objet d’un examen et donner lieu à un constat de non-conformité pouvant entraîner la condamnation à payer une amende qui pourra être conséquente.

Ensuite, il y a les utilisateurs, consommateurs ou professionnels. Indépendamment de toute action en justice, tous sont en droit de saisir la CNIL pour qu’elle vérifie si leurs droits ont bien été respectés. Et la CNIL met d’ailleurs à la disposition de toute personne des formulaires à remplir en ligne. Certes, dans cette hypothèse, le consommateur n’obtient pas réparation de son préjudice personnel. Mais il peut trouver satisfaction à savoir que l’entreprise qu’il a dénoncé fait l’objet d’une importante condamnation. Autre temps, autre mœurs : le consommateur insatisfait menaçait d’écrire à une association de consommateurs avec des résultats peu concluants ; aujourd’hui, la CNIL joue un rôle régulateur et constate d’ailleurs une explosion des cas de saisine par des particuliers dans son dernier rapport.

Autre acteur, les lanceurs d’alerte. Dans une sanction prononcée par la CNIL à l’encontre d’une société qui avait pour objet de faciliter les démarches des usagers de l’administration, c’est un site web spécialisé dans la sécurité des systèmes d’information qui a informé la CNIL des différents manquements de la  société à ses obligations (Délibération n°SAN-2017-012 du 16 novembre 2017). Le lanceur d’alerte dans le cas présent a bien précisé sur son site internet qu’il n’avait pas de cible pré-définie.  

Enfin, dans un environnement concurrentiel, la menace doit être prise au sérieux : l’action peut venir d’un concurrent. Dans un arrêt de la 1ère chambre civile de la Cour de cassation en date du 3 novembre 2016 (n° pourvoi : 15-22595) tranché à propos d’un problème de procédure, la Haute juridiction rappelle au passage qu’une adresse IP est une donnée personnelle devant à ce titre faire l’objet des traitements appropriés. Mais elle admet qu’une société  peut critiquer les pratiques de non-conformité de son concurrent. Autre illustration, dans un jugement du tribunal de grande instance du 21 novembre 2017 a été jugé constitutif d’un acte de concurrence déloyale le manquement à l’obligation incombant aux éditeurs de publier sur leur site Internet des mentions légales. Ainsi donc, un concurrent analyse un site et intente en action en responsabilité délictuelle sur le fondement de la concurrence déloyale car le concurrent a pratiquement réduit ses coûts en éludant la mise en conformité de son site.

Bref, il faut se rendre à l’évidence : nous avons changé de monde. Le règlement données personnelles, ce n’est pas uniquement un instrument de la lutte que l’Etat essaie de mener contre les GAFAM ; c’est aussi un instrument de lutte au service des consommateurs et un moyen imparable pour un concurrent de décrédibiliser celui qui pourrait lui faire de l’ombre dans son secteur.

A ce stade, nous constatons une mutation complète de la mise en œuvre des moyens de communication et de collecte des données : l’informatique est un outil qui n’est plus dissociable du cadre juridique dans lequel il évolue.

Article écrit par Jacques Amar, Maître de conférences en droit privé HDR Université Paris-Dauphine, associé fondateur de www.legal-tools.fr, API eSign-tools, DPO.

Et améliorez votre connaissance du RGPD avec notre guide « RGPD : les bons conseils pour réussir » !

Soyez le premier à commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.

Lire les articles précédents :
Travail détaché : deux nouvelles QPC transmises aux Sages

La Cour de cassation a récemment transmis une double question prioritaire de constitutionnalité (QPC) au sujet du travail détaché. C'est...

Fermer