Données personnelles : jurisprudence récente

Ccass, Crim., 14 mars 2006

Fabrice X, professionnel de l’informatique, « aspirait » sur internet (sites web, annuaires, forums de discussion), au moyen de logiciels, des adresses électroniques de personnes physiques en vue de la diffusion de messages publicitaires aux titulaires de ces adresses.

Ceci constitue une collecte de données nominatives au sens de l’article 226-18 du Code Pénal.

Le fait qu’il s’agisse d’informations diffusées sur des sites publics est inopérant. L’utilisation qui en a été faite est sans rapport avec l’objet de leur mise en ligne.

Le fait d’identifier et d’utiliser des adresses électroniques, même sans les enregistrer, constitue une collecte de données nominatives.

Le consentement de ces personnes n’a à aucun moment été recueilli.

Il s’agit par conséquent d’une collecte déloyale faisant obstacle au droit d’opposition des personnes concernées.

Fabrice X a été condamné au versement de 3000 euros d’amende.

Cass.Crim., 28 septembre 2004

Deux personnes ont fait usage, par l’intermédiaire de la CNIL, de leur droit d’opposition à être maintenus dans les fichiers de l’ASESIF (église de scientologie). Ils ont néanmoins continué à recevoir des courriers postérieurement.

Le président de l’ASESIF est condamné à 5000 euros avec sursis pour délit de traitement de données nominatives malgré opposition (article 226-18 du Code Pénal).

Il est également condamné à 5000 euros avec sursis pour délit d’entrave à l’action de la CNIL, dans la mesure où il avait informé celle-ci, à tort, de la suppression des personnes concernées du fichier de l’ASESIF.

L’arrêt précise d’une part que le droit d’opposition peut valablement être exercé par l’intermédiaire de la CNIL et d’autre part qu’en matière politique, philosophique ou religieuse, la légitimité de l’opposition est remplie par le seul exercice de cette faculté.

TGI Paris, 4 avril 2006

France Telecom avait mis en place un dispositif d’écoute téléphonique, permettant aux managers d’écouter les conversations téléphoniques des salariés avec les clients et d’établir une grille d’écoute influant sur la rémunération des salariés.

L’argument selon lequel il s’agissait d’un dispositif de formation des téléopérateurs a été rejeté.

Ce dispositif n’a pas été déclaré à la CNIL par FT.

Le TGI suspend l’application du dispositif dans l’attente de la régularisation de la déclaration à la CNIL, sous astreinte de 3000 euros par jour de retard.

Le Comité d’établissement n’avait en outre pas été consulté (L 432-2-1 code travail)

TGI PARIS, 19 avril 2005

La société EFFIA, filiale de la SNCF assurant l’aide des personnes à mobilité réduite, a mis en place un dispositif de pointage utilisant les empreintes digitales des salariés.

Une empreinte digitale constitue une donnée biométrique morphologique permettant d’identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu. Un tel traitement (justifié et proportionné) ne peut se justifier que par une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés.

Déclaration à la CNIL pour « gestion des horaires et des temps de présence ainsi que ventilation analytique des activités dans les centres de coûts ».

En l’espèce, le but recherché était l’amélioration de l’établissement des bulletins de paie des salariés.

Le TGI considère que le traitement mis en œuvre n’était ni adapté ni proportionné au but recherché.

Interdiction du dispositif mis en place.

TGI PARIS, 25 avril 2003 SONACOTRA

Création par la société SONACOTRA d’un annuaire d’adresses électroniques de ses salariés, non diffusé à l’extérieur.

Déclaration CNIL précisant l’utilisation par les seuls salariés entre eux ou avec des correspondants choisis par eux.

Le syndicat SUD SONACOTRA s’était servi de cet annuaire pour effectuer des envois massifs de mails.

Condamné pour détournement de la finalité du traitement déclaré à 2000 euros de dommages et intérêts.