La collecte de données à caractère personnel est omniprésente sur Internet : adresse IP, cookies traceurs, cookies techniques, coordonnées saisies sur les sites et les réseaux sociaux... Or, depuis la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (modifiée en 2004 puis en 2018, et réécrite par l’ordonnance n° 2018-1125 du 12 décembre 2018, applicable au 1er juin 2019), elle fait l’objet d’un strict encadrement.
Le règlement européen RGPD (règlement général sur la protection des données), qui est entré en vigueur le 25 mai 2018, renforce la protection des données personnelles. Ce règlement s'applique à toute collecte de données auprès des ressortissants de l'Union européenne.
Faisons le point sur la collecte illégale de données personnelles, leur encadrement par la loi et les recours possibles.
Collecte illégale de données personnelles : obligations légales
Principe
Pour être licite, la collecte de données à caractère personnel doit notamment avoir satisfait aux obligations suivantes :
- votre accord explicite doit avoir été recueilli ;
- il faut respecter les grands principes de la collecte loyale des données personnelles.
Depuis le 25 mai 2018, la désignation d'un délégué à la protection des données personnelles (DPO) est devenue obligatoire dans certains cas. Ce délégué assiste le responsable du traitement des données. Il a pour mission de veiller au respect de la législation européenne et de la loi Informatique et libertés, par l'organisme au sein duquel il travaille, afin d'éviter les sanctions de la CNIL. La désignation du délégué peut être effectuée via le téléservice mis en place par la CNIL.
Pourtant, il est très courant que nos données soient collectées sans notre autorisation, et il n’est pas aisé de savoir si cette collecte est ou non légale.
S'il s'avère que la collecte des données personnelles est illégale, 3 moyens principaux sont à votre disposition :
- agir auprès du responsable du traitement des données ;
- agir auprès de la CNIL ;
- agir auprès des juridictions pénales en portant plainte.
Collecte illégale de données personnelles : action auprès du responsable du traitement des données
Lorsque vos données ont été collectées illégalement, vous pouvez exercer votre droit d’opposition directement auprès du responsable du traitement des données en lui demandant de supprimer les données vous concernant.
Le responsable du traitement des données dispose de 1 mois, et il peut refuser la suppression de vos données personnelles à condition de justifier d’un motif valable. Ce délai peut être porté à 3 mois en raison de la complexité de la demande.
Dans ce cas, si vous avez la preuve que la collecte est illicite, vous pouvez saisir la CNIL ou les juridictions compétentes.
Plainte à la CNIL pour collecte illégale de données personnelles
Formalités de dépôt de plainte
Depuis l'entrée en vigueur du RGPD et de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, la CNIL devient l'autorité de contrôle nationale en matière de protection des données personnelles.
Dans le cadre de ses missions, la CNIL met à la disposition des internautes un service de plainte en ligne. Elle peut également être saisie par courrier postal ou par courriel.
La CNIL peut alors contrôler sur place, sur pièce, en ligne ou sur convocation cette société qui exploite des données personnelles. Elle peut ensuite prononcer des sanctions et dénoncer au procureur de la République les infractions constatées.
Des sanctions renforcées par le règlement européen RGPD
Le règlement général sur la protection des données renforce les sanctions applicables en cas de violation des dispositions du RGPD par les responsables de traitement des données et les sous-traitants.
Les autorités de protection telles que la CNIL en France ont la possibilité :
- de prononcer des avertissements ;
- de mettre en demeure l’entreprise défaillante ;
- de limiter temporairement ou définitivement un traitement ;
- de suspendre les flux de données ;
- d'ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
- d'ordonner la rectification, la limitation ou l'effacement des données.
Des sanctions administratives pourront également être prononcées. Elles peuvent aller, selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou, dans le cas d’une entreprise, de 2 % jusqu'à 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Collecte illégale de données personnelles : action de groupe
La loi de modernisation de la Justice du XXIe siècle du 18 novembre 2016 a posé un cadre légal commun aux actions de groupe en matières judiciaire et administrative. Elle a également instauré la possibilité d'une action de groupe en matière de protection des données personnelles aux articles 37 et suivants de la loi de 1978 modifiée.
Lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement aux dispositions de la loi du 6 janvier 1978 par un responsable de traitement de données à caractère personnel ou un sous-traitant, une action de groupe peut être exercée devant la juridiction civile ou la juridiction administrative compétente. Cette action doit tendre à la cessation du manquement (et non à l'indemnisation des victimes).
Elle est exercée par les associations de consommateurs agréées, les syndicats représentatifs et les associations ayant pour objet la protection de la vie privée et la protection des données personnelles, régulièrement déclarées depuis cinq ans.
Collecte illégale de données personnelles : action au pénal
Depuis 2004, des infractions pénales sont prévues en cas de collecte illicite des données personnelles des individus. Elles sont indiquées aux articles 226-16 et suivants du Code pénal, et R. 625-10 et suivants du même code.
Rappelons également que le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d’emprisonnement et de 300 000 € d’amende.
Besoin de creuser le sujet ?
- Essentiels à connaître pour naviguer sur Internet l'esprit tranquille : les grands principes de la protection des données personnelles.
- Comment faire disparaître vos données personnelles des moteurs de recherche ? Suivez le guide !
- Vous êtes en droit de demander à un organisme ou à une entreprise l'accès à vos données personnelles, et si elles sont erronées ou obsolètes, d'obtenir leur rectification. Utilisez notre modèle de lettre pour une demande de rectification de vos données personnelles.