Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : l’Internet Society France lance une action de groupe contre Facebook

Sur le pouce
Droit 4 min
RGPD : l’Internet Society France lance une action de groupe contre Facebook
Crédits : NiroDesign/iStock/thinkstock

L’Internet Society France (ISOC) s'apprête à lancer une action de groupe contre Facebook. L'association cible sept manquements au règlement général sur la protection des données personnelles pour réclamer des explications au réseau social. À défaut, elle espère faire condamner l'entreprise jusqu'à 100 millions d'euros de dommages et intérêts.

Le réseau social cher à Marck Zuckerberg est-il conforme au RGPD ? L’ISOC France, qui compte Me Olivier Iteanu dans son conseil d’administration, entend exprimer ses doutes devant le tribunal de grande instance de Paris. L’association loi 1901 veut y réclamer 100 millions d’euros de dommages et intérêts, en pariant que 100 000 personnes viendront rejoindre sa « class action ».

L’action de groupe en matière de données personnelles est une nouveauté introduite en Europe par le RGPD, depuis le 25 mai 2018. Détaillée à l’article 43 ter de la loi CNIL, elle autorise « plusieurs personnes physiques placées dans une situation similaire » à se réunir sur un même front, à condition qu’elles aient subi « un dommage ayant pour cause commune un manquement de même nature » aux dispositions du règlement. Ces procédures ne peuvent s’envisager que si le « fait générateur », c’est-à-dire le fait matériel, est postérieur au 24 mai 2018.

Deux types d’action existent. L’une en vue de faire cesser un manquement, l’autre, envisagée ici, pour engager la responsabilité « de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis ». 

Facebook prié de s’expliquer sur sept manquements identifiés

Quels sont les reproches adressés à Facebook ? Le 8 novembre dernier, sept « atteintes récurrentes aux libertés et à la vie privée » ont été inventoriées dans une mise en demeure. L’association demande ainsi à Facebook « d’apporter des réponses claires » sur chacun de ces points.

Il s’agit d’abord de la lourde fuite de données personnelles ayant affecté des dizaines de millions de comptes en raison d’une faille de sécurité, révélée le 25 septembre 2018.  

Des défaillances sont dénoncées en outre dans la communication de cette violation auprès de l’ensemble des personnes concernées. L’ISOC, qui ne se satisfait donc pas de la page dédiée, considère qu’un tel message est obligatoire dès lors que la défaillance « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », dixit l'article 34 du RGPD.

La mise en demeure reproche également au réseau social de collecter des données sensibles comme l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, outre des données concernant la santé, la vie ou l'orientation sexuelle des personnes physiques, sans toujours glaner de consentement explicite.

Cookies « DATR », croisements de données, défaut de consentement éclairé

Les fameux cookies « DATR » sont également mis à l’index. « Ces cookies traceurs récoltent des informations d’individus non membres, mais consultant le réseau social Facebook » pointe l’association, qui devine un défaut de consentement, d’information et, plus largement, de base légale.

Elle rejoint en ce sens les conclusions dressées par les autorités de contrôle en 2015Facebook indique que ce cookie est utilisé pour assurer la sécurité de son service et de ses utilisateurs, mais il lui permet également de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook »).

À ses yeux, par ailleurs, les conditions générales d’utilisation limiteraient la responsabilité de Facebook sur la gestion des données personnelles. Cette clause serait du coup un « manquement au droit à réparation intégrale » et une « insertion de limitations de responsabilité inopposables aux consommateurs ».

La combinaison des données entre Facebook et Whatsapp, qui a déjà fait l’objet d’une mise en demeure de la CNIL en décembre 2017, est également de la partie. Là encore, ces échanges, s’ils sont confirmés aujourd’hui, seraient constitutifs d’un manquement pour absence de consentement de la part des personnes physiques concernées. Plus exactement, l’ISOC considère que le consentement « libre et éclairé » des utilisateurs n’est « pas explicite, car noyé dans les conditions générales d’utilisation ».

Enfin, écrit l’association, « il est impossible de s’opposer partiellement au traitement des données de Facebook, ce qui entre en infraction avec le RGPD. »

Quatre mois, 100 000 personnes, 100 millions d’euros

L'ISOC demande à Facebook de corriger ces sept manquements dans les quatre prochains mois. « Les griefs retenus, s’ils ne sont pas démentis par Facebook, pourraient valoir un préjudice indemnisable à hauteur de 1 000 euros par personne. De sorte que si 100 000 personnes se joignent à cette action en justice, 100 millions d’euros seront réclamés à Facebook ».

À titre de comparaison, l’action intentée par la Quadrature du Net a permis de glaner 12 000 mandats en six semaines de campagne.

Du côté de l’ISOC, l’enjeu de cette procédure est de montrer que « les individus ne sont ni seuls ni démunis pour faire valoir leur droit ». Elle espère en ce sens qu’elle lancera « une dynamique européenne ». L’association s’appuie dans cette démarche sur son initiative e-Bastille, laquelle « encourage les citoyens européens à prendre en main leur destin numérique » et sera présente au Forum sur la Gouvernance de l’Internet qui se tiendra à l’UNESCO du 12 au 14 novembre. Le site officiel rassemblera les informations pratiques autour de cette procédure.  

18 commentaires
Avatar de Datalag Abonné
Avatar de DatalagDatalag- 12/11/18 à 08:59:00

:bravo: et l'action de Privacy international contre les data broker ? :love:

Avatar de keele INpactien
Avatar de keelekeele- 12/11/18 à 09:02:45

Datalag a écrit :

:bravo: et l'action de Privacy international contre les data broker ? :love:

ça viendra en temps 2 on espère...?

Sinon, c'est terrible pour la CNIL que ce genre d'actions soient intentées mais pas par eux.

Avatar de Datalag Abonné
Avatar de DatalagDatalag- 12/11/18 à 09:11:26

La CNIL sera toujours liée de près ou de loin. 

Pour le reste (l'action Privacy international), la CNIL sera dans le sillage, car la plainte a pour destinataire les autorités de contrôle. 

L'autosaisine de la CNIL reste assez peu prévu par le règlement. Et elle doit d'ailleurs sûrement crouler sous les plaintes à l'heure qu'il est. :mad2:

Avatar de Mihashi Abonné
Avatar de MihashiMihashi- 12/11/18 à 10:05:16

Mandat donné ! :yes:

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 12/11/18 à 11:17:05

Peut-être enfin le moyen de faire bouger les choses.

En revanche, si sur les relations contractuelles ça sera facile de démontrer l'existence de manquements, sur le plan technique (cookie) et la démonstration de dommages , ça va être plus compliqué et probablement imposer une expertise judiciaire (ça pourrait être l'occasion d'utiliser le calcul d'indemnité "yahoo" qui consiste à dire que le temps pris à modifier le mot de passe même sans démontrer un "piratage" effectif est indemnisable).

Avatar de blob741 INpactien
Avatar de blob741blob741- 12/11/18 à 15:34:13

1 000 € par personne et par grief ... il y en a qui vont déchanter si l'action de groupe reste cohérente avec les principes d'indemnisation en droit français et qu'on n'est pas passés à une logique de dommages-intérêts punitifs.

Et que dire du site e-Bastille, qui présente ses "e-griefs" et "e-doléances", du modestement nommé "Comité de Salut Numérique" ...
 

crocodudule a écrit :

Peut-être enfin le moyen de faire bouger les choses.

En revanche, si sur les relations contractuelles ça sera facile de démontrer l'existence de manquements, sur le plan technique (cookie) et la démonstration de dommages , ça va être plus compliqué et probablement imposer une expertise judiciaire (ça pourrait être l'occasion d'utiliser le calcul d'indemnité "yahoo" qui consiste à dire que le temps pris à modifier le mot de passe même sans démontrer un "piratage" effectif est indemnisable).

La tronche du préjudice quoi !

Avatar de Jossy Abonné
Avatar de JossyJossy- 13/11/18 à 09:14:42

En quoi nous engage de donner son mandat ? Répondre à des questions, aller témoigner, prouver ceci ou cela ? (vraie question, je m'interroge...)

Avatar de eupalynos Abonné
Avatar de eupalynoseupalynos- 13/11/18 à 09:57:27

Jossy a écrit :

En quoi nous engage de donner son mandat ? Répondre à des questions, aller témoigner, prouver ceci ou cela ? (vraie question, je m'interroge...)

Je me pose le même genre de questions.
Marc pourrait-il nous faire un petit topo la dessus ?

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 13/11/18 à 11:10:17

blob741 a écrit :

1 000 € par personne et par grief ... il y en a qui vont déchanter si l'action de groupe reste cohérente avec les principes d'indemnisation en droit français et qu'on n'est pas passés à une logique de dommages-intérêts punitifs.

Et que dire du site e-Bastille, qui présente ses "e-griefs" et "e-doléances", du modestement nommé "Comité de Salut Numérique" ...
 
La tronche du préjudice quoi !

Tu dénonces précisément ce que je dis depuis 10 ans: en ne permettant pas au Juge civil de développer sa jurisprudence sur la thématique de la protection des données à caractère personnel, puisqu'il est quasiment impossible d'objectivement chiffrer ce que l'atteinte à la LIL te coûte, chose qui rend le demandeur dénué d'intérêt (sauf cas particulier où tu aurais la démonstration des conséquences dommageables du mauvais usage fait de tes données... dans la majorité des cas, tu l'as bien évidemment pas), la réglementation sur la protection des données à caractère personnel est resté un sous-droit dont l'effectivité est anecdotique.

Pourtant c'est simple d'imposer, au moins en matière de consommation, une présomption simple pesant sur le professionnel, à charge pour lui d'apporter la démonstration de sa conformité devant le Juge, et non au consommateur de démontrer que le professionnel ne respecte pas la LIL (un peu comme on a pu l'avoir en matière d'harcèlement au travail).

Mais non, on préfère faire des registres biens formels incommunicables sinon à la CNIL et dans l'attente de sa réaction (et en fonction tout simplement de ses moyens).

En fait, on va redécouvrir un jour que dans la constitution il est marqué que le magistrat est le garant des libertés et que c'est vers lui que naturellement on doit pouvoir se tourner, ce qui veut dire aussi que le principe fondamental de l'accès au Juge ne doit pas juste être affirmé pour au final orienter vers des comités théodules aux procédures d'exceptions...

Édité par crocodudule le 13/11/2018 à 11:13
Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 13/11/18 à 11:13:07

eupalynos a écrit :

Je me pose le même genre de questions.
Marc pourrait-il nous faire un petit topo la dessus ?

Comme toutes les actions en Justice, on s'expose en cas de débouté à devoir régler les frais de procédure de l'adversaire, voire des dommages et intérêts si la procédure est qualifiée d'abusive (ça reste rare).

Il n'est plus possible de commenter cette actualité.
Page 1 / 2
  • Introduction
  • Facebook prié de s’expliquer sur sept manquements identifiés
  • Cookies « DATR », croisements de données, défaut de consentement éclairé
  • Quatre mois, 100 000 personnes, 100 millions d’euros
S'abonner à partir de 3,75 €