Collecte illégale de données personnelles

Sommaire

Credit internet Think Stock

La collecte de données à caractère personnel est omniprésente sur Internet : adresse IP, cookies traceurs, cookies techniques, coordonnées saisies sur les sites et les réseaux sociaux... Or, depuis la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée en 2004 puis en 2018, et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018, applicable au 1er juin 2019), elle fait l’objet d’un strict encadrement.

Le règlement européen RGPD (règlement général sur la protection des données), qui est entré en vigueur le 25 mai 2018, renforce la protection des données personnelles. Ce règlement s'applique à toute collecte de données auprès des ressortissants de l'Union européenne. 

Faisons le point sur la collecte illégale de données personnelles, leur encadrement par la loi et les recours possibles.

Collecte illégale de données personnelles : obligations légales

Principe

Pour être licite, la collecte de données à caractère personnel doit notamment avoir satisfait aux obligations suivantes :

  • votre accord explicite doit avoir été recueilli ;
  • il faut respecter les grands principes de la collecte loyale des données personnelles.

Bon à savoir : avant le 25 mai 2018, la personne qui collectait vos données devait avoir fait les formalités préalables nécessaires auprès de la CNIL (Commission nationale de l'informatique et des libertés), ou de toute autre autorité locale compétente si le site n'était pas français.

Depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable du traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.

Pourtant, il est très courant que nos données soient collectées sans notre autorisation, et il n’est pas aisé de savoir si cette collecte est ou non légale.

Bon à savoir : les mentions légales des sites internet doivent mentionner l’adresse et les coordonnées du responsable de la collecte et du traitement de vos données.

S'il s'avère que la collecte des données personnelles est illégale, 3 moyens principaux sont à votre disposition :

  • agir auprès du responsable du traitement des données ;
  • agir auprès de la CNIL ;
  • agir auprès des juridictions pénales en portant plainte.

Bon à savoir : un site internet est mis à disposition par le Gouvernement pour aider les victimes de cybermalveillance. Cette plateforme permet à toute personne, physique ou morale, de signaler l'acte de cybermalveillance dont elle est victime (virus informatique, phishing, détournement de données personnelles), et d'être mise en contact avec des prestataires afin d'obtenir une assistance dans ses démarches. Les prestataires présents sur le site ont signé la charte d'engagement du dispositif national d'assistance aux victimes de cybermalveillance.

Collecte illégale de données personnelles : action auprès du responsable du traitement des données

Lorsque vos données ont été collectées illégalement, vous pouvez exercer votre droit d’opposition directement auprès du responsable du traitement des données en lui demandant de supprimer les données vous concernant.

Précision : cette demande doit être faite par courrier – papier ou électronique –, signée et accompagnée d’une copie de votre pièce d’identité. Il est fortement conseillé de conserver la preuve de cet envoi, par une capture d’écran ou grâce à un recommandé avec avis de réception.

Le responsable du traitement des données dispose de 1 mois, et il peut refuser la suppression de vos données personnelles à condition de justifier d’un motif valable. Ce délai peut être porté à 3 mois en raison de la complexité de la demande.

Dans ce cas, si vous avez la preuve que la collecte est illicite, vous pouvez saisir la CNIL ou les juridictions compétentes.

Plainte à la CNIL pour collecte illégale de données personnelles

Formalités de dépôt de plainte

Depuis l'entrée en vigueur du RGPD et de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, la CNIL devient l'autorité de contrôle nationale en matière de protection des données personnelles.

Dans le cadre de ses missions, la CNIL met à la disposition des internautes un service de plainte en ligne. Elle peut également être saisie par courrier postal ou par courriel.

Précision : dans ce formulaire, il vous est notamment demandé de décrire les modalités de la collecte illicite, mais surtout d'identifier le responsable de cette collecte illicite. Ensuite, la CNIL peut intervenir auprès de ce responsable.

La CNIL peut alors contrôler sur place, sur pièce, en ligne ou sur convocation cette société qui exploite des données personnelles. Elle peut ensuite prononcer des sanctions et dénoncer au procureur de la République les infractions constatées.

À noter : en 2017, la CNIL a traité 8 360 plaintes.

Des sanctions renforcées par le règlement européen RGPD

Le règlement général sur la protection des données renforce les sanctions applicables en cas de violation des dispositions du RGPD par les responsables de traitement des données et les sous-traitants.

Les autorités de protection telles que la CNIL en France ont la possibilité :

  • de prononcer des avertissements ;
  • de mettre en demeure l’entreprise défaillante ;
  • de limiter temporairement ou définitivement un traitement ;
  • de suspendre les flux de données ;
  • d'ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
  • d'ordonner la rectification, la limitation ou l'effacement des données.

Des sanctions administratives pourront également être prononcées. Elles peuvent aller, selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou, dans le cas d’une entreprise, de 2 % jusqu'à 4 % du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Collecte illégale de données personnelles : action de groupe

La loi de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a posé un cadre légal commun aux actions de groupe en matières judiciaire et administrative. Elle a également instauré la possibilité d'une action de groupe en matière de protection des données personnelles aux articles 37 et suivants de la loi de 1978 modifiée.

Bon à savoir : cette même possibilité est offerte par le règlement européen RGPD.

Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente. Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes).

Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.

Collecte illégale de données personnelles : action au pénal

Depuis 2004, des infractions pénales sont prévues en cas de collecte illicite des données personnelles des individus. Elles sont indiquées aux articles 226-16 et suivants du Code pénal, et R. 625-10 et suivants du même code.

Exemple : l'article 226-16 du Code Pénal prévoit une sanction de 5 ans de prison et 300 000 € d'amende pour tout responsable de traitement qui ne réalise pas les formalités préalables auprès de la CNIL. Le fait de ne pas informer les personnes de la collecte de leur données et des modalités de cette collecte peut être sanctionné de 1 500 € d'amende par infraction constatée.

Rappelons également que le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d’emprisonnement et de 300 000 € d’amende.

Important : pour les personnes morales, ces peines sont quintuplées et renvoient aux peines spécifiques des personnes morales de l’article 131-18 du même code.

Besoin de creuser le sujet ?

Ces pros peuvent vous aider