Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

RGPD : procédures d’urgence contre le responsable du traitement en vertu des règlements de l’UE et du droit français.

Par Pierre Roquefeuil, Avocat.

Cet article envisage les procédures à la disposition de la victime dans le cas d’une utilisation inappropriée de données personnelles, notamment en vue du nouveau règlement de l’UE à venir en la matière, communément appelé "RGPD”.

Le RGPD, applicable à compter du 25 mai 2018, tout en prévoyant des droits d’accès, de rectification et d’effacement de ses données personnelles au profit de la "personne concernée" (la personne concernée par le traitement des ses données personnelles) rappelle la nécessité de saisir des organes administratifs ou judiciaires pour obtenir des sanctions, des interdictions et des indemnités.

Il est alors intéressant de voir ce qui peut vraiment être fait en cas d’urgence, lorsque cette personne se considère comme victime d’un traitement par un « responsable de traitement », c’est-à-dire l’entité qui traite les données. Ne sont pas traités ici les référés probatoires, les voies d’exécution, les cas spéciaux.

Selon la loi française, de plus en plus d’organes administratifs sont habilités à imposer des amendes et à délivrer des injonctions pour préserver les intérêts de la société, en parallèle avec des procureurs traditionnels lorsque des incriminations légales sont en jeu (article 84 du RGPD) .

C’est le cas de « l’autorité de contrôle », autorité désignée par le nouveau règlement RGPD de l’UE et qui, dans chaque État membre et avec ses homologues, intervient en cas d’utilisation inappropriée de données personnelles par un “responsable de traitement » c’est à dire une personne traitant des données personnelles, en vertu de ce règlement.

Le RGPD rappelle la possibilité pour la personne concernée de porter plainte auprès de cette « autorité de contrôle » (art.77) et précise les pouvoirs d’injonction et de condamnation aux amendes (art.58 et 83) de cette autorité, tout en rappelant la nécessité pour un plaignant de saisir des organes judiciaires afin de rechercher des responsabilités et de réclamer des indemnités (art.79, art.82, point 6).

Quoi qu’il en soit, avant de penser à chercher des responsabilités, le plaignant cherchera surtout à arrêter la situation dommageable, le plus tôt possible. Ici, il peut hésiter dans le comportement à adopter.

Le circuit spécifique RGPD.

Le nouveau règlement de l’UE appelé RGPD organise une procédure afin d’obtenir du "responsable" (la personne responsable du traitement des données) une cessation du traitement des données personnelles.

Son article 12 dispose que :

"3.Le responsable du traitement fournit sans tarder des informations sur les suites données à une demande au titre des articles 15 à 22 à la personne concernée et, dans tous les cas, dans le mois suivant la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. Le responsable du traitement informe la personne concernée de cette extension dans le mois qui suit la réception de la demande, ainsi que les raisons du retard. Lorsque la personne concernée en fait la demande par un moyen électronique, les informations sont fournies par des moyens électroniques lorsque cela est possible, sauf demande contraire de la personne concernée. "

"4. Si le responsable du traitement n’intervient pas à la demande de la personne concernée, le responsable du traitement informe la personne concernée sans délai et au plus tard dans le mois de la réception de la demande des raisons de ne pas agir et de la possibilité de déposer plainte auprès d’une autorité de surveillance et demandant un recours judiciaire. "

Ainsi, le RGPD accorde une période de un à trois mois pendant laquelle le responsable du traitement a le temps de réfléchir à la solution à donner à la demande qui lui est adressée par le demandeur (la « personne concernée »).

Cependant, le responsable est incité à agir rapidement et peut engager sa responsabilité à cet égard.

L’article 17 mentionne ainsi la possibilité pour le plaignant (la "personne concernée") d’obtenir, auprès du responsable du traitement, l’effacement des données pour certains motifs, "sans retard injustifié".

L’article 18 combiné avec l’article 21 mentionne la possibilité pour le demandeur d’obtenir du responsable, et pour certains motifs, en tant que palliatif, une restriction du traitement des données (les données sont comme mises de côté, cachées, mais conservées “sous le coude" du contrôleur), en particulier lorsqu’il y a une discussion sur les motifs légitimes du traitement, et en attendant la vérification sur le point de savoir si les motifs légitimes du responsable du traitement l’emportent sur ceux de la personne concernée.

En effet, un responsable du traitement sera tenté d’invoquer systématiquement des "motifs légitimes" pour justifier le traitement, dans tous les cas "grisés" où il n’est pas spécifiquement autorisé à traiter des données, notamment lorsque des données sont traitées à des fins de marketing ou à des fins approchantes.

Sur ce dernier point il faut noter que l’article 21 prévoit, pour le bénéfice de la personne concernée, pour certains motifs mais en particulier lorsqu’il est fait à des fins de marketing direct, un droit de s’opposer au traitement de ses données personnelles, et que "Le responsable du traitement ne traitera plus ..." et : "Lorsque la personne concernée s’oppose au traitement à des fins de marketing direct, les données à caractère personnel ne seront plus traitées à cette fin".

Le RGPD organise donc une phase administrative préliminaire d’un à trois mois au cours de laquelle le responsable du traitement peut ne pas répondre ni satisfaire la demande formulée par la personne concernée, sans donner de raisons spécifiques, engageant toutefois sa responsabilité si une résistance abusive pouvait être démontrée par un demandeur motivé, devant un tribunal civil ou pénal, ou même devant l’autorité de contrôle.

Cela peut sembler quelque peu insatisfaisant et incertain du point de vue du plaignant.

La voie judiciaire et les procédures d’urgence.

Selon la loi française, des injonctions et des dommages-intérêts peuvent être obtenus par des procédures d’urgence (dites « référé ») afin d’arrêter des situations préjudiciables.

Elles sont prises à titre provisoire, ce qui signifie qu’un tribunal saisi du fond de l’affaire sera toujours en mesure de réformer la décision entreprise dans un contexte d’urgence, et même de condamner le plaignant pour procédure abusive.

Le droit français (principalement l’article 808 du code de procédure civile) exige que la mesure sollicitée par l’avocat à cet égard ne soit pas sérieusement contestée, c’est-à-dire dans la mesure où l’affaire semble normale et évidente, qu’il est urgent de prendre les mesures sollicitées, et que ces mesures sont réalisables.

Toutefois, même dans le cas où la mesure sollicitée est discutable, une procédure d’urgence reste ouverte dans le cas où un préjudice imminent doit être évité ou un trouble manifestement illicite (par exemple une infraction pénale facilement qualifiable en tant que telle) doit être arrêté, toutes notions qui suggèrent qu’une urgence est implicite (art.809 du code de procédure civile).

Mais la démonstration d’un trouble manifeste peut être difficile à faire, surtout sans investigations ou discussions préliminaires.

En ce qui concerne le traitement des données, l’utilisation inappropriée des données personnelles (y compris les données professionnelles, cf. jurisprudence UE et française en la matière) est incriminée par les articles 226-16 et suivants du code pénal et punie d’emprisonnement et d’amende, et peut se révéler ainsi, comme un « trouble manifestement illicite » permettant d’engager une procédure d’urgence pour exiger le retrait du contenu litigieux, et même si une culpabilité n’est pas encore définitivement jugée.

La loi n ° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite aussi "LCEN", confirme qu’une procédure d’urgence peut également être engagée contre un intermédiaire technique (plateforme internet, moteur de recherche, fournisseurs internet ...), même si ce n’est pas le contrefaisant original :

Article 6.I.8 : "L’autorité judiciaire peut prescrire en cas de perte ou de dommage, à toute personne mentionnée au 2 [plateformes, moteurs de recherche ...] ou, à défaut, à toute personne mentionnée au 1 [fournisseurs d’accès internet] toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne... "

Ainsi, en cas d’urgence,la saisine de la juridiction spécialisée est un gage de rapidité, tandis que la saisine, dans le cadre de procédures normales, d’une juridiction pénale ou civile (ou même d’une juridiction administrative), ou à un organe administratif tel que l’« autorité de contrôle » dans le cadre du RGPD, peut impliquer de longues enquêtes préliminaires ou discussions avant que des injonctions soient prises ou des indemnités accordées.

L’autorité de contrôle a des pouvoirs d’injonction et de condamnation à de lourdes amendes (art.83, al.5, b), mais, agissant comme un procureur défendant d’abord les intérêts de la société, elle peut être réticente à agir rapidement sur la seule base d’une plainte individuelle et plus désireuse de procéder à des enquêtes chronophages.

L’avantage d’une saisine de l’autorité de contrôle est que celle-ci peut intervenir (injonctions, amendes) au niveau de l’UE, et parfois en urgence, avec la coopération des autorités de contrôle étrangères.

Au contraire, le recours aux juridictions civiles ou pénales nationales peut s’avérer illusoire pour obtenir des injonctions et des sanctions dans les cas où des éléments de l’affaire relèvent de pays étrangers.

En comparaison, la procédure d’urgence judiciaire peut sembler plus efficace pour solliciter, au moins au niveau national, une cessation immédiate du traitement - et, au moins, une restriction immédiate de ce traitement sans devoir attendre la fin d’un procès sur le fond, lorsque le responsable du traitement est susceptible d’adopter une résistance et une volonté de démontrer la légitimité du traitement qu’il a mis en place.

Comme rappelé plus haut, cette possibilité de "restriction" est prévue par l’article 18 du RGPD et c’est d’ailleurs l’une des contributions principales du RGPD par rapport à la précédente directive européenne 95/46 / CE et à la loi française actuelle relative aux données personnelles "Loi informatique et liberté n ° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés" (actuellement en cours de réexamen par les assemblées parlementaires).

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

35 votes