Droit Fiscalité belge

www.businessandlaw.be

Site d'informations fiscales, juridiques et comptables en droit belge

L’exploitation illicite d’adresses électroniques

lundi 30 décembre 2002. Un article de Gilles CARNOY
Il arrive qu’un email collectif, expédié sans activer la fonction blind copy, permette à un tiers de collecter des données personnelles qui seront utilisées à des fins commerciales sans l’accord des intéressés. Comment analyser cette situation sous l’angle de la vie privée ?
Voir aussi
Autres documents liés au thème "Propriété Intellectuelle / Internet"

La situation décrite ci-dessus est très courante et elle est en principe illégale.

La protection de données personnelles a fait l'objet de la directive 95/46/CE, implémentée en Belgique par la loi du 11 décembre 1998, elle-même mise en oeuvre par l'Arrêté Royal du 13 février 2001, entré en vigueur le 1er septembre 2001. On se rappellera que la loi de 1998 a modifié la loi du 8 décembre 1992.
 
Cette loi est applicable à tout traitement de données à caractère personnel dès lors que le traitement est effectué dans le cadre des activités réelles et effectives d'un établissement fixe du responsable du traitement sur le territoire belge.

D'après la loi du 8 décembre 1992, on entend par "données à caractère personnel" toute information concernant une personne physique identifiée ou identifiable. Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale.

Une adresse qui reprend le nom de la personne avant l'arobade et le nom du provider (jean.dupont@skynet.be) est incontestablement une donnée personnelle. Une adresse de fantaisie ou un pseudo (féeclochette@hotmail.com) n'en est pas réellement une, mais cette adresse recouvre un identifiant (numéro) chez le provider, renvoyant aux données réelles du titulaire.

Bien que cela ait fait - et fasse encore - couler beaucoup d'encre, la doctrine considère aujourd'hui majoritairement que les adresses emails sont à considérer comme des données à caractère personnel et doivent à ce titre bénéficier de la protection légale accordée à ces dernières.

C'est l'organisme qui a collecté les données lors des inscriptions dans une finalité légitime (gérer ses membres en vue de réaliser son objet statutaire) qui est responsable du traitement de ces données.

L'article 4. de la loi du 8 décembre 1992 remplacé par l'art. 7 de la loi du 11 décembre 1998 dispose que :

« § 1er Les données à caractère personnel doivent être:
1° traitées loyalement et licitement;
2° collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, notamment des prévisions raisonnables de l'intéressé et des dispositions légales et réglementaires applicables. »

Le § 2 de cette disposition prévoit qu'il « incombe au responsable du traitement d'assurer le respect du § 1er. »

Enfin l'article 16 de la loi prévoit enfin que : « § 4 Afin de garantir la sécurité des données à caractère personnel, le responsable du traitement et, le cas échéant, son représentant en Belgique, ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques potentiels. »

En envoyant à des membres d'une organisation un email contenant des données personnelles extractibles (adresses électroniques) des autres destinataires, le responsable du traitement (l'organisation en question) n'a pas respecté cette obligation car il n'a pas mis en oeuvre une technique facilement disponible protégeant ces données (utiliser la fonction blind copy).

L'article 38 de la loi érige ce comportement en infraction dans le chef du responsable du traitement et un dédommagement civil peut être obtenu contre lui sur base de l'article 45 du Code pénal. Le juge peut aussi ordonner la publication d'un avis rectificatif et la confiscation des moyens techniques.

Le membre qui a forwardé le mail collectif à une personne indélicate sans prendre de mesures de prudence n'est pas le responsable du traitement et n'est pas soumis à l'obligation de l'article 16. Il a toutefois agi avec négligence et pourrait selon les circonstances être responsable sur base des articles 1382 et 1383 du Code civil. A cette faute civile, s'ajoute peut-être une violation du secret des lettres (selon le contenu du mail).

Le tiers qui a extrait les adresses en vue de les exploiter sans autorisation, par exemple en les cédant à une société de marketing direct a commis ce que l'on appelle un traitement, à savoir « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction de données à caractère personnel. »

On voit que le texte vise l'extraction et la communication.

Pareil traitement ne semble ni conforme à l'article 2 de la loi, qui garantit le respect de la vie privée, ni à son article 5 qui détermine strictement les cas dans lesquels des données personnelles peuvent être utilisées.

Plus grave, l'article 9 de la loi vise le cas où des données à caractère personnel n'ont pas été obtenues auprès de la personne concernée. En ce cas, le responsable du traitement doit, dès l'enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard au moment de la première communication des données, fournir à la personne concernée des informations sur ses coordonnées, les finalités du traitement et l'existence du droit de s'opposer gratuitement au traitement envisagé.

Dans ce cas, précise la loi, la personne concernée doit être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de marketing direct. Le responsable du fichier illicitement composé est donc certainement responsable de la violation de la vie privée.

En résumé, l'article 16 § 4 de la loi qui, depuis le 1er septembre 2001 impose au responsable du traitement de prendre les mesures techniques et organisationnelles requises pour protéger les données personnelles, pose la responsabilité de celui-ci lorsque des données sont rendues aisément extractibles.

De même, celui qui ses les approprie et les utilise sans le consentement des personnes intéressées engage sa responsabilité.
Un article de  Gilles CARNOY
Vous pouvez envoyer un email aux auteurs de ce document en cliquant sur leur nom ci-dessus. Si vous le désirez, vous pouvez également participer à la vie du site en ajoutant un commentaire à ce document (ci-dessous).
Les commentaires sur cet article
Si vous le désirez, vous pouvez également participer à la vie du site en ajoutant un commentaire à ce document (ci-dessous).
répondreAjouter un commentaire à cet article