ARTICLE PARU DANS DALLOZ IP/IT : Données professionnelles versus données personnelles

Google a été condamné en référé à supprimer des données professionnelles permettant d’identifier une personne physique (TGI de Paris, 6 avril 2018, n°17/60436).

Au sens de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

La loi de 1978, tout comme le Règlement européen dont l’entrée en vigueur est fixée au 25 mai 2018 (Règlement n°2016/679 relatif à la protection des données à caractère personnel), ne distingue pas les données relevant de la vie privée, des données professionnelles.

Le Tribunal de Grande Instance de Paris, statuant en référé, a eu l’occasion d’interpréter ces notions, dans une décision récente relative au moteur de recherche Google, et plus précisément au service Google My Business.

Ce service de Google permet aux entreprises et professionnels, au moyen de son moteur de recherche, d’apparaître dans la liste des résultats ou dans un encadré spécifique sur le côté, en affichant une fiche d’identité de l’entreprise recherchée (nom, adresse, téléphone, horaires d’ouverture, adresse du site web etc). Le public peut poster des avis sur l’entreprise ou le professionnel concerné, visibles directement depuis cette fiche.

Une inscription sur Google My Business (GMB) permet aussi d’accepter ou de refuser les sollicitations commerciales de Google qui propose à ces professionnels son service Google Adwords (achat de mots-clés permettant d’être mieux référencé dans le moteur de recherche).

Dans l’affaire ayant donné lieu à cette ordonnance de référé du 6 avril 2018, M. X, dentiste, avait découvert que sa fiche Google My Business présentait à son égard des avis négatifs déposés par des tiers.

Le 11 septembre 2017, le Conseil de Monsieur X. avait adressé à Google France et Google Inc. une demande de suppression de cette fiche. Le 6 octobre 2017, Google avait refusé de faire droit à cette demande.

M. X, exerçant sa profession à titre individuel, a considéré que le nom de son Cabinet dentaire (identique à son patronyme) et ses autres données d’identification, étaient des données personnelles et, qu’à ce titre, la loi « informatique et libertés » pouvait lui permettre d’obtenir la suppression de sa fiche.

Il a donc assigné Google France et Google Inc en référé d’heure à heure devant le Juge des référés du TGI de Paris. L’audience a eu lieu le 20 février 2018 et l’ordonnance a été rendue le 6 avril 2018

  1. La qualité de responsable de traitement

Le responsable de traitement est la personne physique ou morale qui détermine les moyens et les finalités d’un traitement de données personnelles.

En l’espèce, les éléments du dossier (Conditions Générales de Google notamment) ont conduit le juge français à considérer que le responsable de traitement était la société Google Inc (devenue Google LLC) et non Google France, qui a donc été mise hors de cause.

Or, un parallèle avec une décision de la Cour de Justice de l’Union Européenne du 13 mai 2014 (Google Spain, affaire C‑131/12), laisse penser que Google France aurait pu également être considérée comme responsable de traitement. Dans cette affaire de 2014 relative au droit à l’oubli, la Cour avait considéré qu’un établissement de Google situé en Espagne opérait un traitement de données dans la mesure où cette filiale avait pour activité d’assurer la promotion et la vente des espaces publicitaires proposés par ce moteur : « (…) il y a lieu de considérer que le traitement de données à caractère personnel qui est fait pour les besoins du service d’un moteur de recherche tel que Google Search, lequel est exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre, est effectué «dans le cadre des activités» de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur. »

Dans l’ordonnance de référé du 6 avril 2018, le juge français a pourtant noté que le demandeur avait également fait l‘objet de prospection électronique (activité relevant en réalité de Google France), de sorte que la société Google France aurait très bien pu être reconnue comme responsable d’un traitement connexe à celui opéré par Google Inc.

2. Qualification des données 

La protection instaurée par la loi de 1978 mais aussi par la Réglementation européenne s’applique aux personnes physiques, à l’exclusion des personnes morales.

Le juge des référés rappelle que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

M. X exerçant son activité professionnelle sous son nom propre, la diffusion par Google de ses nom et prénom constitue un traitement de données personnelles.

Le juge des référés explique : « La circonstance que de telles données soient relatives, comme en l’espèce, à l’activité professionnelle de la personne en question est donc sans incidence sur cette qualification, dès lors qu’elle est désignée ou rendue identifiable, la notion n’étant pas restreinte, contrairement à ce que soutient la défenderesse, aux seules informations relatives à la vie privée. »

Il en conclut justement que « Le régime légal réservé aux données à caractère personnel s’applique donc aux informations délivrées au public, sur la fiche Google My Business, à propos de l’activité professionnelle de Monsieur X. »

Cette appréciation est en adéquation avec l’avis du G29 n°4/2007 du 20 juin 2007 et une décision du Conseil d’Etat n°376845 qui avait jugé le 30 décembre 2015 : « que ces données soient des coordonnées professionnelles des personnes physiques en cause, et qu’elles soient le cas échéant par ailleurs rendues publiques, est sans incidence à cet égard ; c’est donc à bon droit, contrairement à ce qui est soutenu, que la Commission nationale de l’informatique et des libertés les a qualifiées de données à caractère personnel. »

Conseil pratique : la plupart des entreprises en BtoB sont également concernées par la Réglementation sur les données personnelles dans la mesure où le nom, le prénom et l’email d’un contact chez un client constituent des données à caractère personnel. Une entreprise ne traitant que des données personnelles professionnelles doit donc également se mettre en conformité avec le RGPD.

3. Les fondements légaux des demandes de M. X

A. Droit de suppression ou droit d’opposition

Le droit de suppression n’apparait pas clairement dans la loi de 1978 : l’article 38 alinéa 1 indique simplement : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

Ce droit de s’opposer à un traitement est soumis à l’existence de motifs légitimes.

Ce qui n’est pas le cas du droit d’opposition à un traitement à des fins de prospection commerciale puisque toute personne peut  « s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, (…) » (article 38 alinéa 2)

Il existe donc en droit français deux types de droit d’opposition : un droit d’opposition absolu en matière de prospection commerciale et un droit d’opposition pour motifs légitimes pour les autres types de traitement, équivalant à un droit de suppression du traitement.

Cette distinction est reprise dans le Code pénal : aux termes de l’article 226-18-1, le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Le juge des référés de Paris dans sa décision du 6 avril 2018, constate que la fiche GMB « implique (…) l’envoi par Google de courriels à des fins de prospection commerciale puisqu’il est alors proposé à Monsieur X. de payer pour des annonces publicitaires sur la fiche Google My Business afin « d’améliorer ses performances », par le biais de Google AdWords Express ». Le juge en déduit que l’article 226-18-1 s’applique et ordonne dès lors la suppression de la fiche.

Cette décision ne fait pas état de « motifs légitimes », ce qui laisse penser que le juge s’est fondé sur le droit de s’opposer à la prospection commerciale pour ordonner à Google Inc. de supprimer le traitement litigieux qui n’avait pourtant pas exactement cette finalité.

Il est permis de se demander si des motifs légitimes auraient pu être retenus s’agissant (1) de données concernant la vie professionnelle de la personne et (2) du fait que le public a un intérêt à connaître les avis de personnes ayant déjà consulté ce dentiste. Néanmoins s’agissant d’avis négatifs, il est fort probable que ceux-ci soient dénigrants et la CNIL a eu l’occasion de juger comme légitime le motif lié à l’atteinte à la réputation (Délibération n° 2014-041 du 29 janvier 2014).

B. La nécessité du consentement au traitement

L’article 7 de la loi de 1978 prévoit qu’un traitement de données personnelles n’est régulier que si la personne concernée a donné son consentement ou si le traitement a pour but :

1° Le respect d’une obligation légale;

2° La sauvegarde de la vie de la personne concernée ;

3° L’exécution d’une mission de service public;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

Or, il est indiqué dans la décision commentée que la fiche GMB avait au départ était créée sans l’autorisation de ce dentiste. Dans la mesure où Google ne peut pas se prévaloir des fondements visés aux points 1 à 4 ci-dessus, il est donc possible de se demander si Google pouvait se fonder sur son intérêt légitime (point 5) pour mettre en œuvre ce traitement. Dans la mesure où ledit traitement permet de publier des avis positifs ou négatifs sur le professionnel, il est évident que les droits et libertés de la personne concernée priment sur l’intérêt légitime du responsable de traitement. Force est de constater par ailleurs que ce traitement méconnaît les droits des personnes puisque Google ne leur permet pas d’exercer leur droit d’opposition.

En 2008, ayant instruit deux plaintes contre un site de notation de professeurs, dont les noms étaient divulgués sur le site « not2be », la CNIL avait estimé que la société responsable ne saurait se prévaloir d’un intérêt légitime pour justifier l’absence de recueil du consentement des enseignants dont les données étaient diffusées.

S’agissant de la société Google LLC, il est d’évidence qu’elle traite les données sans les collecter auprès des personnes concernées, sans leur consentement et sans respect de leur droit d’opposition. Le traitement ne reposait donc initialement sur aucune base légale.

L’affaire commentée n’a visiblement pas fait l’objet d’une plainte auprès de la CNIL, mais il n’est pas exclu qu’en pareille hypothèse, Google aurait pu être condamné à une amende de plusieurs millions d’euros.

Charlotte GALICHET

Article paru dans la revue Dalloz IP/IT juillet-août 2018

 

 

Bookmark the permalink.

One Comment

  1. Pingback: GOOGLE MY BUSINESS, la saga continue … – Charlotte Galichet

Comments are closed