Dans ces affaires, la société Easydentic, (devenue aujourd’hui Safetic), avait conclu avec ses clientes des contrats de location et de maintenance de systèmes d’accès sécurisés. Le contrôle était basé sur un dispositif biométrique, en l’occurrence un fichier centralisé d’empreintes digitales.
La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Ces caractéristiques permettent l’identification des individus et sont donc les dispositifs de reconnaissance biométrique sont soumis par la loi à l’autorisation préalable de la CNIL.
La société Easydentic a délibérément fourni des dispositifs biométriques de contrôle d’accès non conformes à la loi informatique et libertés, car ils étaient basés sur le contrôle des empreintes digitales. D’après les arrêts de la cour d’appel de Paris, elle avait même interdit à ses commerciaux de contacter la CNIL. Elle comptait ainsi éviter que la vente de ses matériels soit remise en question. En effet, la CNIL autorise la mise en place de certains systèmes, notamment ceux basés sur la reconnaissance du contour de la main ou du réseau veineux des doigts.
Le problème des systèmes basés sur la reconnaissance des empreintes digitales est que ces technologies laissent des traces susceptibles d’être utilisées à des fins inappropriées.
La cour d’appel de Paris a donc retenu que les contrats conclus par la société Easydentic devaient être annulés. La cour de cassation a posé que le contrat de location, qui portait sur un système de contrôle non autorisé par la CNIL, était nul pour objet illicite.
En résumé, il appartient donc à celui qui vend un système qui peut être utilisé pour traiter des données nominatives de vérifier que ce système est conforme à la loi informatique et libertés. Et le client mécontent peut se servir d’une non-conformité à cette loi pour obtenir la nullité du contrat…
On savait que la violation de la loi informatique et libertés pouvait causer plusieurs sanctions :
pénales (c’est rare),
pécuniaires (de la part de la CNIL, c’est de plus en plus fréquent),
en matière de droit du travail (si votre système de contrôle d’accès n’est pas bien déclaré, vous ne pouvez pas licencier sur cette base, voir Cour de cassation 6 avril 2004),
et maintenant en matière contractuelle…