La Cour fédérale de justice (Bundesgerichtshof - BGH) a pris une décision phare dans le cadre d'un incident de grande ampleur concernant la protection des données chez Facebook : Même la simple perte de contrôle sur des données à caractère personnel peut constituer un préjudice moral au sens de l'article 82, paragraphe 1 du RGPD. Quelles sont les conséquences de cet arrêt ?
C'est ça le scraping sur Facebook
Cette décision de la Cour fédérale de justice (BGH) (VI ZR 10/24) ne concerne pas seulement les demandes de dommages et intérêts, mais aussi les demandes de constatation et d'abstention résultant d'un incident de protection des données. L'affaire, dans laquelle des données d'environ 533 millions d'utilisateurs de Facebook ont été dérobées début avril 2021 par ce que l'on appelle le "scraping", revêt une importance considérable en raison de la diffusion croissante de données personnelles dans l'espace numérique.
La défenderesse, exploitante du réseau social Facebook, permettait aux utilisateurs de rendre leur profil trouvable grâce à leur numéro de téléphone. Cette fonction de recherche d'amis a été utilisée abusivement par des tiers inconnus via la fonction d'importation de contacts. Les inconnus ont utilisé des séquences aléatoires de numéros de téléphone pour associer des données d'utilisateurs accessibles au public (comme le nom, le sexe et l'employeur) aux numéros de téléphone. De cette manière, ils ont pu accéder à un grand nombre de données personnelles.
Les données du plaignant, dont son identifiant, son nom, son lieu de travail et son sexe, ont également été associées à son numéro de téléphone, ce qui les a rendues accessibles à un groupe de personnes non contrôlées.
Le plaignant a alors intenté une action en justice et a demandé des dommages-intérêts moraux pour perte de contrôle et désagréments. Il a également fait valoir des demandes de constatation selon lesquelles Facebook serait responsable des dommages matériels et immatériels futurs, ainsi que des demandes de cessation du traitement des données et de remboursement des frais d'avocat avant procès.
Perte de contrôle des données : les instances précédentes sont divisées
Le tribunal régional de Bonn a d'abord accordé au plaignant une demande de dommages et intérêts d'un montant de 250 euros, car Facebook avait, selon lui, pris des mesures de sécurité insuffisantes. En appel, le tribunal régional supérieur (OLG) de Cologne a toutefois rejeté la demande dans son ensemble. Il a fait valoir que la simple perte de contrôle ne suffisait pas à justifier un préjudice moral au sens de l'article 82, paragraphe 1, du RGPD. En outre, le requérant n'a pas subi de préjudice psychique au-delà de la perte de contrôle.
Par décision du 31 octobre 2024, la BGH a désigné la procédure comme décision de référence. Lors de l'audience du 11 novembre 2024, la BGH est parvenue à un résultat différencié et a tranché en partie en faveur du requérant.
La Cour fédérale de justice se prononce contre Facebook
- Droit à des dommages et intérêts immatériels Suite à la décision de la Cour fédérale de justice, le tribunal régional supérieur de Cologne a commis une erreur dans son appréciation de la question des dommages et intérêts. Selon la jurisprudence de la Cour de justice des Communautés européennes (CJCE), la simple et brève perte de contrôle des données à caractère personnel peut déjà constituer un préjudice moral au sens de l'article 82, paragraphe 1 du RGPD. Il n'est pas nécessaire qu'il y ait une utilisation abusive concrète des données ou d'autres conséquences négatives démontrables. Cette interprétation est remarquable, car elle souligne le droit à la protection de la personne concernée dans le cadre du RGPD et précise que le préjudice moral n'implique pas nécessairement une charge plus profonde ou plus durable pour la personne concernée. Au contraire, la perte de la maîtrise des données est déjà reconnue comme une circonstance préjudiciable pouvant donner lieu à un droit à compensation.
- Évaluation du préjudice La BGH a renvoyé la procédure à la cour d'appel en ce qui concerne le montant des dommages, mais a donné des indications sur l'évaluation des dommages. Il est précisé qu'une compensation pour la perte de contrôle de l'ordre d'une centaine d'euros pourrait être appropriée. Il est fait référence ici à l'article 287 du code de procédure civile (ZPO), selon lequel le tribunal peut évaluer librement l'étendue des dommages, à moins qu'il n'existe des éléments concrets permettant de les chiffrer avec précision.
- Constatation de l'obligation de réparer des dommages futurs Le requérant a également demandé la constatation de l'obligation de réparation pour des dommages futurs. L'OLG avait répondu par la négative, car l'intérêt à la constatation faisait défaut. Le BGH s'y est opposé et a souligné que la possibilité de dommages futurs était bien réelle en raison de la perte de données et du risque persistant d'abus. L'intérêt du requérant à obtenir une constatation doit donc être reconnu.
- Droit d'injonction et d'information Le plaignant a également demandé que Facebook soit condamné à cesser d'utiliser son numéro de téléphone sans son consentement. La Cour fédérale de justice a considéré que cette demande d'injonction était suffisamment précise et que le demandeur avait un besoin de protection juridique. Le pourvoi en cassation a été couronné de succès sur ce point. En revanche, la révision n'a pas abouti en ce qui concerne la demande d'injonction et d'information plus étendue. La BGH a confirmé l'avis de l'OLG selon lequel les prétentions du requérant sont infondées sur ce point.
Principe de minimisation des données et consentement
Pour le nouveau procès, la BGH donne des indications à la cour d'appel sur l'examen des paramètres par défaut de Facebook. Elle indique que le préréglage selon lequel le numéro de téléphone est visible publiquement par défaut n'est peut-être pas conforme au principe de minimisation des données. En outre, la cour d'appel devra vérifier si le plaignant a valablement consenti au traitement de ses données.
Ces indications illustrent les exigences que la Cour fédérale de justice impose aux réseaux sociaux en ce qui concerne la conception des préréglages. Le RGPD exige, à l'article 25 "Protection des données par défaut", que seules les données nécessaires à chaque finalité soient traitées. Les fournisseurs tels que Facebook sont donc tenus de concevoir les préréglages de leurs plateformes de manière à respecter la protection des données et à garantir le consentement éclairé des utilisateurs.
Conseil de lecture : La CJUE interprète "l'intérêt légitime" selon l'article 6, paragraphe 1, point f) du RGPD
Les conséquences de la décision de la Cour fédérale de justice sur le scraping sur Facebook
La décision de la Cour fédérale de justice renforce considérablement les droits à réparation immatériels des personnes concernées en cas d'infraction à la protection des données. En reconnaissant la simple perte de contrôle comme un dommage, la nécessité de prouver des conséquences psychologiques ou matérielles concrètes disparaît. Cette approche est conforme à la jurisprudence de la CJCE, qui met l'accent sur la protection de la souveraineté des données. On peut s'attendre à ce que cet arrêt ait un impact considérable sur les pratiques des entreprises qui traitent de grandes quantités de données à caractère personnel.
L'arrêt précise en outre que les dommages futurs résultant d'une violation de la protection des données peuvent également être couverts par le droit à réparation, ce qui est particulièrement pertinent dans le contexte de la numérisation et de l'interconnexion croissantes des données à caractère personnel. Les entreprises doivent adapter leurs stratégies de protection des données et gérer le traitement et le stockage des données à caractère personnel de manière particulièrement restrictive afin de prévenir les demandes de dommages et intérêts à l'avenir.
Source : Jugement de la VIe chambre civile du 18.11.2024 - VI ZR 10/24 -