Les faits et la procédure
En l’espèce, un enquêteur privé avait été chargé par une société de réaliser des investigations sur certains de ses salariés, candidats à l’embauche, clients ou prestataires. Pour ce faire, il avait collecté de nombreuses données personnelles telles que des antécédents judiciaires, des informations bancaires et téléphoniques, des renseignements sur les véhicules et propriétés des personnes ciblées, leur situation matrimoniale, leur état de santé ou encore leurs déplacements à l’étranger.
Ces données avaient été obtenues en effectuant des recherches sur divers sites internet publics : sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, etc. L’enquêteur avait ensuite recoupé et compilé ces informations pour dresser un profil détaillé des individus surveillés.
Poursuivi pour collecte déloyale de données à caractère personnel, l’enquêteur a été condamné par les juges du fond. Il a alors formé un pourvoi en cassation.
L’apport de l’arrêt de la Cour de cassation
La Cour de cassation rejette le pourvoi de l’enquêteur et confirme sa condamnation pour collecte déloyale de données personnelles. La Cour juge tout d’abord que le fait que les données aient été pour partie librement accessibles sur internet ne retire rien au caractère déloyal de leur collecte.
En effet, dès lors que cette collecte a été réalisée :
- à l’insu des personnes concernées, qui ont donc été privées de leur droit d’opposition,
- à des fins détournées de profilage et d’investigation portant atteinte à leur vie privée, sans rapport avec l’objet de la mise en ligne initiale des informations, elle ne pouvait s’effectuer de manière licite sans que les intéressés en soient à tout le moins informés.
Ainsi, le libre accès à certaines données personnelles sur internet ne signifie pas que celles-ci peuvent être librement réutilisées à toutes fins, surtout lorsque cette réutilisation n’est pas conforme aux finalités pour lesquelles les données ont été rendues publiques.
L’atteinte à la vie privée résultant d’un profilage non consenti
La Cour relève ensuite que la collecte et le recoupement non autorisés d’informations personnelles, même publiques, en vue de constituer un profil de la personne à son insu, porte nécessairement une atteinte disproportionnée à sa vie privée.
En effet, c’est moins chaque donnée prise isolément que leur compilation et leur traitement à des fins d’investigation et de surveillance qui est attentatoire aux droits de la personne, laquelle peut légitimement s’attendre à ce que les différents fragments d’informations qu’elle laisse sur internet ne soient pas réunis pour reconstituer son profil sans son accord.
Conclusion
Cet arrêt s’inscrit dans la lignée d’une jurisprudence protectrice des données personnelles et de la vie privée à l’ère numérique. Il rappelle que même sur internet, le droit à la protection des données et à l’autodétermination informationnelle doit primer. Les données personnelles ne sont pas des biens que chacun peut s’approprier librement sous prétexte qu’elles seraient accessibles en ligne.
La vigilance s’impose donc pour tous les acteurs amenés à collecter et traiter des données personnelles, y compris sur internet. Le respect des principes de transparence, de finalité, de proportionnalité et de consentement est essentiel pour assurer une utilisation loyale et licite de ces données, dans le respect des droits fondamentaux des personnes.
