Facebook, le salarié et l’employeur, la saga continue

J’évoquais il y a quelques jours un arrêt de la cour de cassation concernant une entreprise qui avait sanctionné un salarié pour des propos tenus sur sa page Facebook.

Aujourd’hui, c’est un arrêt de la cour d’appel de Toulouse qui permet de préciser en tant que de besoin les limites à l’accès de l’employeur à la page Facebook d’un salarié [arrêt disponible sur Légalis].

Les faits à l’origine de la sanction

Les faits sont simples. Une salariée en arrêt maladie avait tenu des propos injurieux sur son employeur et ses collègues sur sa page Facebook. Son employeur a découvert ces propos sur le poste de travail de la salariée. Cet employeur l’a alors convoquée à un entretien préalable, avec mise à pied puis l’a licenciée pour faute grave.

Il ressort de l’arrêt que la page Facebook de la salariée avait été volontairement laissée ouverte sur l’ordinateur de l’entreprise.

Pour sa défense, la salariée déclare que « les messages échangés avec sa collègue sur la messagerie de son compte Facebook n’étaient pas des messages privés, alors que la mise à disposition du compte Facebook sur le lieu de travail ne signifie nullement que l’employeur puisse s’approprier le contenu des conversations privées échangées et que, puisqu’il est établi que la plupart des conversations ont été échangées lorsque la salarié se trouvait placée en arrêt de travail, ces conversations étaient nécessairement privées« .

Une session Facebook ouverte rend les propos publics

La Cour rappelle que l’employeur produit une attestation précisant que « la session Facebook de Mme X. était volontairement restée ouverte sur l’ordinateur de l’entreprise, rendant les conversations publiques et visibles de l’ensemble des salariés du magasin ». Lire la suite…

Données personnelles : une infraction peut en cacher une autre

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Concernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

RGPD : des liens utiles

L’ensemble des entreprises devront d’ici quelques mois mettre en œuvre le RGPD. Voici quelques liens pour en savoir un peu plus sur cette réglementation relative à la protection des données personnelles.

• RGPD : comment réaliser une étude d’impact sur la vie privée ?
• Privacy by design : mettre les données personnelles au coeur de votre stratégie
• RGPD : à quoi devez-vous vous attendre ?

Le point sur le .fr

Le Conseil constitutionnel a, ce matin, déclaré l’article 45 du code des postes et communications électronique contraire à la Constitution. Cet article prévoit la nomination par le ministre chargé des communications électroniques de l’organisme chargé des attributions et gestion des noms de domaine en .fr.

Le requérant qui a saisi le Conseil constitutionnel estimait que cet article laissait

« à l’autorité administrative et aux organismes désignés par elle une latitude excessive pour définir les principes d’attribution des noms de domaine et d’omettre ainsi de fixer un cadre minimal et des limites à leur action, en méconnaissance de l’étendue de sa propre compétence par le législateur ». Lire la suite…

Vers la gratuité des frais de retour des objets achetés à distance ?

La Cour de Justice de l’Union Européenne vient de rendre un arrêt très intéressant sur la question des frais de retour de livraison des objets achetés à distance. C’est une bonne nouvelle pour les consommateurs français, une mauvaise pour les e-commerçants. Au préalable, il est nécessaire de rappeler que la législation prévoit que « le consommateur dispose d’un délai de sept jours francs pour exercer son droit de rétractation sans avoir à justifier de motifs ni à payer de pénalités, à l’exception, le cas échéant, des frais de retour. » (art. L. 120-1 c. conso.). En d’autres termes, les frais de retour des objets achetés en ligne restent à la charge des consommateurs.

La CJUE a, dans son arrêt du 15 avril 2010 décidé que :

L’article 6, paragraphes 1, premier alinéa, seconde phrase, et 2, de la directive 97/7/CE du Parlement européen et du Conseil, du 20 mai 1997, concernant la protection des consommateurs en matière de contrats à distance, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui permet au fournisseur, dans un contrat conclu à distance, d’imputer les frais d’expédition des marchandises au consommateur dans le cas où ce dernier exerce son droit de rétractation.

L’interprétation que fait la Cour de la directive va à l’encontre du texte de est conforme à l’article L.120-1 c. conso. qui met à la charge du consommateur les seuls frais de retour des objets achetés à distance. La Cour se base notamment sur le fait que

ledit article 6 a ainsi clairement pour objectif de ne pas décourager le consommateur d’exercer son droit de rétractation, il serait contraire audit objectif d’interpréter cet article en ce sens qu’il autoriserait les États membres à permettre que les frais de livraison soient mis à la charge de ce consommateur dans le cas d’une telle rétraction.

Ainsi, dorénavant, les frais de retour devront être à la charge des commerçants restent à la charge des acheteurs. Quant un consommateur exerce son droit de rétractation, les commerçants ne peuvent facturer les frais d’expédition qu’ils avaient offerts au moment du passage de la commande. Cela risque de provoquer quelques problèmes notamment logistiques mais également financiers : cette charge  supplémentaire a toutes les chances d’engendrer une augmentation des prix par les commerçants.

Cet arrêt est-il au final une si bonne nouvelle pour les consommateurs ? Oui pour les Allemands ; il ne change rien pour les Français