Le responsable de sites internet diffusant des informations personnelles sans autorisation de la part des personnes concernées et en violation du droit d'opposition des personnes au traitement de leurs données peut-il être pénalement condamné ?
Le 18 décembre 2013, la Cour d'appel de Bordeaux a condamné pour collecte déloyale de données personnes à caractère personnel le responsable de sites internet qui avait diffusé des annuaires sur internet pour générer des revenus publicitaires Adsense, sans respecter les obligations de la loi Informatique et Libertés (Cour d'appel de Bordeaux, 3ème chambre correctionnelle, 18 décembre 2013, Ministère public et autres / Laurent R.).
Pour mémoire, l'informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Ainsi, la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés règlemente notamment l’exploitation de fichiers de données à caractère personnel.
Les fichiers de données à caractère personnel correspond à tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
Le traitement automatisé de données à caractère personnel doit faire l’objet d’une déclaration préalable à la Cnil.
La loi réprime le fait de “traiter” des données nominatives à caractère personnel intentionnellement mais aussi par simple négligence, sans respect des formalités légales.
En l’espèce, le dirigeant de sites internet a constitué des fichiers de données à caractère personnel qu’il aspirait grâce à un logiciel qu’il avait mis au point.
Il récupérait ainsi des données personnelles à caractère nominatif, telles que des adresses et créait une mise en forme des informations ainsi recueillies sur ses propres sites pour gagner de l’argent grâce au trafic généré.
Dans ce contexte, Monsieur X a été renvoyé devant le tribunal correctionnel pour avoir collecté une masse de données nominatives, sans en avoir obtenu d’autorisation, tant pour la collecte que pour la rediffusion de ces données au travers de plusieurs sites internet dont Webinbox, habitant-ville et frenchcity.
Or, le législateur a instauré dans le code pénal des mesures tendant à assurer la protection de nouveaux droits de la personne résultant des fichiers ou des traitements informatiques.
Ainsi, l’article 226-18 du code pénal sanctionne le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite de cinq ans d'emprisonnement et de 300 000 euros d'amende.
En outre, il lui était reproché de ne pas avoir accédé à la demande de personnes ayant utilisé le formulaire de demande de désinscription des sites concernés.
La loi sanctionne à cet égard le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
Enfin, il lui était reproché d’avoir procédé à une divulgation illégale volontaire de données à caractère personnel nuisible.
Selon le code penal, le fait de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un Etat n'appartenant pas à l'Union européenne est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende.
C’est ainsi que le tribunal l’a déclaré coupable d’avoir collecté et rediffusé ces données personnelles sur les divers sites (Web in Box, habitant.ville info, notamment) sur internet, sans avoir reçu l’autorisation de leurs titulaires constitue l’infraction reprochée et l’a condamné à 10 mois d’emprisonnement avec sursis et ordonné, à titre de peine complémentaire, la publication du jugement par voies de diffusion internet par la Cnil sur son site, et l’interdiction d’exercer l’activité sociale ayant permis la commission de l’infraction pendant une durée de 5 ans.
Pour cause, un très grand nombre de personnes après avoir constaté que leurs données personnelles figuraient à disposition du public et étaient diffusées sur des sites ouverts par le prévenu, se sont adressées à la Cnil en demandant leur suppression au motif légitime qu’il était ainsi porté atteinte à leur vie privée.
Or, la CNIL a vainement tenté auprès du dirigeant de faire cesser ces infractions.
Après avoir pris l’engagement auprès de ces dernier de donner suite aux désinscriptions sollicitées, il a été constaté que le prévenu ne l’avait pas tenu.
Le tribunal précise ainsi que :
« Il est déloyal de recueillir à leur insu des adresses personnelles de personnes physiques sur l’espace public d’internet, car ce procédé fait obstacle à leur droit d’opposition ».
S’agissant de la divulgation illégale de données à caractère personnel nuisibles sans respect de l’autorisation préalable des intéressés, le tribunal a constaté que le prévenu avait recueilli à l’occasion de leur enregistrement, de leur classement, de leur transmission ou toutes autres formes de traitement des données à caractère personnel notamment concernant un avocat, une personne victime de violences conjugales, un travailleur sous mandat judiciaire et fonctionnaire de police.
Les juges ont considéré que les concernant la divulgation de ces données sans l’autorisation de ceux-ci est de nature à porter atteinte à la considération ou à l’intimité de leur vie privée en ce qu’elles sont divulguées via internet auprès de tiers qui n’ont pas qualité pour les recevoir.
Surtout, le tribunal a jugé que « la diffusion des informations personnelles étaient de nature à avoir des répercussions nuisibles en raison de la spécificité de leurs activités ou des événements particuliers qui avaient émaillé leurs existence ».
Ainsi, la démonstration du caractère nuisible de la divulgation des données nominatives les concernant n’avait pas à être rapportée, car il est intrinsèquement lié à l’exercice de leurs professions ou de leurs vies privées lesquelles induisent une nécessité accrue de confidentialité et d’anonymisation des renseignements.
Je suis à votre disposition pour toute action ou information (en cliquant ici).
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com
