Données personnelles : même publiques, leur usage déloyal peut être sanctionné

La société Ikea a confié à un détective privé des enquêtes sur ses salariés, candidats à l’embauche, des clients ou prestataires. Ces pratiques ayant été révélées, ledit détective a été renvoyé devant le tribunal correctionnel et condamné à deux ans d’emprisonnement avec sursis, outre 20 000 euros d’amende.

Il a relevé appel de cette décision au motif que ne constitue pas un traitement déloyal de données personnelles le fait de recenser des informations rendues publiques par voie de presse ou diffusées publiquement sur un réseau social (données en open source). Les juges d’appel ont confirmé la décision et sur pourvoi la chambre criminelle leur a donné raison.

En effet, ce détective avait effectué des recherches sur des données à caractère personnel telles qu’antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l’étranger. Bien qu’issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, elles ont fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ont été recueillies à l’insu des personnes concernées, privées du droit d’opposition institué par la loi informatique et libertés.

Dans ces conditions, le moyen de collecte de ces données doit être considéré comme déloyal. Le fait qu’elles aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte qui – réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci – ne pouvait s’effectuer sans qu’elles en soient informées.

(Cass crim 20 mars 2024,  n°23-80.962)