Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

RGPD : l’Internet Society France lance une action de groupe contre Facebook

Sur le pouce

RGPD : l’Internet Society France lance une action de groupe contre Facebook

Le 12 novembre 2018 à 08h29

L’Internet Society France (ISOC) s'apprête à lancer une action de groupe contre Facebook. L'association cible sept manquements au règlement général sur la protection des données personnelles pour réclamer des explications au réseau social. À défaut, elle espère faire condamner l'entreprise jusqu'à 100 millions d'euros de dommages et intérêts.

Le réseau social cher à Marck Zuckerberg est-il conforme au RGPD ? L’ISOC France, qui compte Me Olivier Iteanu dans son conseil d’administration, entend exprimer ses doutes devant le tribunal de grande instance de Paris. L’association loi 1901 veut y réclamer 100 millions d’euros de dommages et intérêts, en pariant que 100 000 personnes viendront rejoindre sa « class action ».

L’action de groupe en matière de données personnelles est une nouveauté introduite en Europe par le RGPD, depuis le 25 mai 2018. Détaillée à l’article 43 ter de la loi CNIL, elle autorise « plusieurs personnes physiques placées dans une situation similaire » à se réunir sur un même front, à condition qu’elles aient subi « un dommage ayant pour cause commune un manquement de même nature » aux dispositions du règlement. Ces procédures ne peuvent s’envisager que si le « fait générateur », c’est-à-dire le fait matériel, est postérieur au 24 mai 2018.

Deux types d’action existent. L’une en vue de faire cesser un manquement, l’autre, envisagée ici, pour engager la responsabilité « de la personne ayant causé le dommage afin d'obtenir la réparation des préjudices matériels et moraux subis ». 

Facebook prié de s’expliquer sur sept manquements identifiés

Quels sont les reproches adressés à Facebook ? Le 8 novembre dernier, sept « atteintes récurrentes aux libertés et à la vie privée » ont été inventoriées dans une mise en demeure. L’association demande ainsi à Facebook « d’apporter des réponses claires » sur chacun de ces points.

Il s’agit d’abord de la lourde fuite de données personnelles ayant affecté des dizaines de millions de comptes en raison d’une faille de sécurité, révélée le 25 septembre 2018.  

Des défaillances sont dénoncées en outre dans la communication de cette violation auprès de l’ensemble des personnes concernées. L’ISOC, qui ne se satisfait donc pas de la page dédiée, considère qu’un tel message est obligatoire dès lors que la défaillance « est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », dixit l'article 34 du RGPD.

La mise en demeure reproche également au réseau social de collecter des données sensibles comme l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, outre des données concernant la santé, la vie ou l'orientation sexuelle des personnes physiques, sans toujours glaner de consentement explicite.

Cookies « DATR », croisements de données, défaut de consentement éclairé

Les fameux cookies « DATR » sont également mis à l’index. « Ces cookies traceurs récoltent des informations d’individus non membres, mais consultant le réseau social Facebook » pointe l’association, qui devine un défaut de consentement, d’information et, plus largement, de base légale.

Elle rejoint en ce sens les conclusions dressées par les autorités de contrôle en 2015 (« Facebook indique que ce cookie est utilisé pour assurer la sécurité de son service et de ses utilisateurs, mais il lui permet également de suivre la navigation, hors de son site, d’internautes n’ayant pas de comptes Facebook »).

À ses yeux, par ailleurs, les conditions générales d’utilisation limiteraient la responsabilité de Facebook sur la gestion des données personnelles. Cette clause serait du coup un « manquement au droit à réparation intégrale » et une « insertion de limitations de responsabilité inopposables aux consommateurs ».

La combinaison des données entre Facebook et Whatsapp, qui a déjà fait l’objet d’une mise en demeure de la CNIL en décembre 2017, est également de la partie. Là encore, ces échanges, s’ils sont confirmés aujourd’hui, seraient constitutifs d’un manquement pour absence de consentement de la part des personnes physiques concernées. Plus exactement, l’ISOC considère que le consentement « libre et éclairé » des utilisateurs n’est « pas explicite, car noyé dans les conditions générales d’utilisation ».

Enfin, écrit l’association, « il est impossible de s’opposer partiellement au traitement des données de Facebook, ce qui entre en infraction avec le RGPD. »

Quatre mois, 100 000 personnes, 100 millions d’euros

L'ISOC demande à Facebook de corriger ces sept manquements dans les quatre prochains mois. « Les griefs retenus, s’ils ne sont pas démentis par Facebook, pourraient valoir un préjudice indemnisable à hauteur de 1 000 euros par personne. De sorte que si 100 000 personnes se joignent à cette action en justice, 100 millions d’euros seront réclamés à Facebook ».

À titre de comparaison, l’action intentée par la Quadrature du Net a permis de glaner 12 000 mandats en six semaines de campagne.

Du côté de l’ISOC, l’enjeu de cette procédure est de montrer que « les individus ne sont ni seuls ni démunis pour faire valoir leur droit ». Elle espère en ce sens qu’elle lancera « une dynamique européenne ». L’association s’appuie dans cette démarche sur son initiative e-Bastille, laquelle « encourage les citoyens européens à prendre en main leur destin numérique » et sera présente au Forum sur la Gouvernance de l’Internet qui se tiendra à l’UNESCO du 12 au 14 novembre. Le site officiel rassemblera les informations pratiques autour de cette procédure.  

Commentaires (18)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

En quoi nous engage de donner son mandat ? Répondre à des questions, aller témoigner, prouver ceci ou cela ? (vraie question, je m’interroge…)

votre avatar







Jossy a écrit :



En quoi nous engage de donner son mandat ? Répondre à des questions, aller témoigner, prouver ceci ou cela ? (vraie question, je m’interroge…)





Je me pose le même genre de questions.

Marc pourrait-il nous faire un petit topo la dessus ?


votre avatar







blob741 a écrit :



1 000 € par personne et par grief … il y en a qui vont déchanter si l’action de groupe reste cohérente avec les principes d’indemnisation en droit français et qu’on n’est pas passés à une logique de dommages-intérêts punitifs.



Et que dire du site e-Bastille, qui présente ses “e-griefs” et “e-doléances”, du modestement nommé “Comité de Salut Numérique” …

  



La tronche du préjudice quoi !






Tu dénonces précisément ce que je dis depuis 10 ans: en ne permettant pas au Juge civil de développer sa jurisprudence sur la thématique de la protection des données à caractère personnel, puisqu’il est quasiment impossible d’objectivement chiffrer ce que l’atteinte à la LIL te coûte, chose qui rend le demandeur dénué d’intérêt (sauf cas particulier où tu aurais la démonstration des conséquences dommageables du mauvais usage fait de tes données… dans la majorité des cas, tu l’as bien évidemment pas), la réglementation sur la protection des données à caractère personnel est resté un sous-droit dont l’effectivité est anecdotique.



Pourtant c’est simple d’imposer, au moins en matière de consommation, une présomption simple pesant sur le professionnel, à charge pour lui d’apporter la démonstration de sa conformité devant le Juge, et non au consommateur de démontrer que le professionnel ne respecte pas la LIL (un peu comme on a pu l’avoir en matière d’harcèlement au travail).



Mais non, on préfère faire des registres biens formels incommunicables sinon à la CNIL et dans l’attente de sa réaction (et en fonction tout simplement de ses moyens).



En fait, on va redécouvrir un jour que dans la constitution il est marqué que le magistrat est le garant des libertés et que c’est vers lui que naturellement on doit pouvoir se tourner, ce qui veut dire aussi que le principe fondamental de l’accès au Juge ne doit pas juste être affirmé pour au final orienter vers des comités théodules aux procédures d’exceptions…


votre avatar







eupalynos a écrit :



Je me pose le même genre de questions.

Marc pourrait-il nous faire un petit topo la dessus ?





Comme toutes les actions en Justice, on s’expose en cas de débouté à devoir régler les frais de procédure de l’adversaire, voire des dommages et intérêts si la procédure est qualifiée d’abusive (ça reste rare).


votre avatar

Je suis pas certain de piger ta réponse.



Sinon, honnêtement, je suis hostile à ces actions de groupe par principe, donc ma vision des choses est probablement biaisée.



Quand je vais sur le site de e-bastille et en lisant la mise en demeure, si je prends un e-grief/e-doléance en particulier, celui dont j’estime qu’il peut me concerner :



“Manquement à l’interdiction de traitement de catégories particulières de données à caractère

personnel, notamment révélant l’origine raciale ou ethnique, les opinions politiques, lesconvictions religieuses ou philosophiques des données concernant la santé ou des données

concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, en l’absence de

consentement explicite au traitement de ces données à caractère personnel pour une ou

plusieurs finalités spécifiques (article 9 du RGPD) ou d’une condition admissible,”



En quoi j’aurais un e-préjudice indemnisable pour ce traitement ? Si je prends ma page facebook, sur mes opinions politiques, j’ai renseigné : Marxist Leninist Communist Party of Ecuador.



Outre la démonstration de mon côté désopilant, je suis  pas persuadé que l’on puisse apporter la preuve du caractère certain, personnel et direct d’un quelconque préjudice.



D’autant que quand je prends l’article 9 en question, on a en exception à cette interdiction de principe :



“e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;”

Alors, sauf collecte à mon insu de mes inclinaisons vers l’extrême centre, j’ai du mal à entrevoir quelque préjudice que ce soit et encore moins comment on peut le chiffrer à 1 000 balles.



Qu’il y ait des choses à faire en matière de traitement des données, que ce soit devant le juge judiciaire, constitutionnellement garant de nos libertés individuelles, probablement.



Que ce soit dans le cadre de ce type de procédure de traitement de masse, ça m’emmerde.



D’autant qu’en fin de mandat :  “Je prends bonne note et accepte que les frais de défense

engagés par l’Internet Society France au titre de l’Action, seront prélevés à hauteur de 10% TTC, sur toutes sommes que

j’aurai perçues comme résultat de cette Action.” Le petit pacte de quota litis qui va bien.



 Bref, tout pour me déplaire.

votre avatar







blob741 a écrit :



Je suis pas certain de piger ta réponse.



Sinon, honnêtement, je suis hostile à ces actions de groupe par principe, donc ma vision des choses est probablement biaisée.



Quand je vais sur le site de e-bastille et en lisant la mise en demeure, si je prends un e-grief/e-doléance en particulier, celui dont j’estime qu’il peut me concerner :



“Manquement à l’interdiction de traitement de catégories particulières de données à caractère

personnel, notamment révélant l’origine raciale ou ethnique, les opinions politiques, lesconvictions religieuses ou philosophiques des données concernant la santé ou des données

concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, en l’absence de

consentement explicite au traitement de ces données à caractère personnel pour une ou

plusieurs finalités spécifiques (article 9 du RGPD) ou d’une condition admissible,”



En quoi j’aurais un e-préjudice indemnisable pour ce traitement ? Si je prends ma page facebook, sur mes opinions politiques, j’ai renseigné : Marxist Leninist Communist Party of Ecuador.



Outre la démonstration de mon côté désopilant, je suis  pas persuadé que l’on puisse apporter la preuve du caractère certain, personnel et direct d’un quelconque préjudice.



D’autant que quand je prends l’article 9 en question, on a en exception à cette interdiction de principe :



“e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ;”

Alors, sauf collecte à mon insu de mes inclinaisons vers l’extrême centre, j’ai du mal à entrevoir quelque préjudice que ce soit et encore moins comment on peut le chiffrer à 1 000 balles.



Qu’il y ait des choses à faire en matière de traitement des données, que ce soit devant le juge judiciaire, constitutionnellement garant de nos libertés individuelles, probablement.



Que ce soit dans le cadre de ce type de procédure de traitement de masse, ça m’emmerde.



D’autant qu’en fin de mandat :  “Je prends bonne note et accepte que les frais de défense

engagés par l’Internet Society France au titre de l’Action, seront prélevés à hauteur de 10% TTC, sur toutes sommes que

j’aurai perçues comme résultat de cette Action.” Le petit pacte de quota litis qui va bien.



 Bref, tout pour me déplaire.





Je précise ma pensée:  à mon sens la CNIL n’est qu’un pis-aller qui n’a jamais pu correctement remplir sa mission, mais qui même dans son principe ne devrait être qu’une autorité de régulation et de recommandation, voire une autorité d’enquête notamment en cas de coopération internationale, mais pas une Juridiction avec des procédures d’exception.



En revanche et du fait de l’existence de la CNIL, les législateurs (et les gouvernements) se sont bien gardés de créer un droit que l’on peut utilement invoquer devant une Juridiction civile, puisque outre la difficulté technique à prouver un manquement, il faut en outre pouvoir démontrer objectivement l’existence d’un préjudice, à défaut, la personne est dénuée d’intérêt à agir, sa procédure devant être rejetée.

  

Parce que cela devenait gros, on a pris le prétexte du RGPD pour créer une action groupée, mais qui sur le fond du problème ne change rien.



En réalité, comme en droit de la consommation en cas de manifestation d’un désordre dans les 2 ans de la vente (pour du neuf), il serait utile de créer une présomption simple pesant sur le professionnel, afin que toi, moi et n’importe qui puisse utilement saisir un Juge et avoir des chances de faire respecter ses droits.


votre avatar







crocodudule a écrit :



Parce que cela devenait gros, on a pris le prétexte du RGPD pour créer une action groupée, mais qui sur le fond du problème ne change rien. 





Tu es dans la démarche ?


votre avatar







blob741 a écrit :



Tu es dans la démarche ?





Non (je trouve le concept d’action collective ou plus exactement groupée totalement à coté de la plaque), en revanche, le lobbying (notamment de ma profession) a été important pour obtenir cette action collective liée aux données persos.


votre avatar

Il me semblait que tu étais avocat à Toulouse !?



Si c’est bien le cas, notre profession est bien incapable de lobbying !

votre avatar







blob741 a écrit :



Il me semblait que tu étais avocat à Toulouse !?



Si c’est bien le cas, notre profession est bien incapable de lobbying !





Sur ce coup, on a été entendu ; c’était une queue de cerise, là où on a eu rien d’autres et surtout rien sur les points importants:

https://www.cnb.avocat.fr/fr/communiques-de-presse/rgpd-le-cnb-obtient-lelargissement-de-laction-de-groupe-pour-inclure-lindemnisation-des-victimes


votre avatar







Jossy a écrit :



En quoi nous engage de donner son mandat ? Répondre à des questions, aller témoigner, prouver ceci ou cela ? (vraie question, je m’interroge…)









eupalynos a écrit :



Je me pose le même genre de questions.

Marc pourrait-il nous faire un petit topo la dessus ?





À rien.

Un mandat, c’est une autorisation à quelqu’un de faire quelque chose à ta place gratuitement.


votre avatar

Je me corrige (mais trop tard pour éditer) :

Comme l’a dit crocodule, en cas de débouté aux dépens, à partager les frais avec les autres mandateurs.



Et aussi, ça qui est indiqué sur le mandat :







Mandat a écrit :



Je prends bonne note et accepte de communiquer tout document et pièces, qui pourraient m’être demandés par l’Internet Society France au cours de l’Action. Je prends bonne note et accepte que les frais de défense engagés par l’Internet Society France au titre de l’Action, seront prélevés à hauteur de 10% TTC, sur toutes sommes que j’aurai perçues comme résultat de cette Action.



votre avatar

<img data-src=" />&nbsp;et l’action de Privacy international contre les data broker ?&nbsp;<img data-src=" />

votre avatar







Datalag a écrit :



<img data-src=" /> et l’action de Privacy international contre les data broker ? <img data-src=" />







ça viendra en temps 2 on espère…?



Sinon, c’est terrible pour la CNIL que ce genre d’actions soient intentées mais pas par eux.


votre avatar

La CNIL sera toujours liée de près ou de loin.&nbsp;



Pour le reste (l’action Privacy international), la CNIL sera dans le sillage, car la plainte a pour destinataire les autorités de contrôle.&nbsp;



L’autosaisine de la CNIL reste assez peu prévu par le règlement. Et elle doit d’ailleurs sûrement crouler sous les plaintes à l’heure qu’il est.&nbsp;<img data-src=" />

votre avatar

Mandat donné ! <img data-src=" />

votre avatar

Peut-être enfin le moyen de faire bouger les choses.



En revanche, si sur les relations contractuelles ça sera facile de démontrer l’existence de manquements, sur le plan technique (cookie) et la démonstration de dommages , ça va être plus compliqué et probablement imposer une expertise judiciaire (ça pourrait être l’occasion d’utiliser le calcul d’indemnité “yahoo” qui consiste à dire que le temps pris à modifier le mot de passe même sans démontrer un “piratage” effectif est indemnisable).

votre avatar

1 000 € par personne et par grief … il y en a qui vont déchanter si l’action de groupe reste cohérente avec les principes d’indemnisation en droit français et qu’on n’est pas passés à une logique de dommages-intérêts punitifs.



Et que dire du site e-Bastille, qui présente ses “e-griefs” et “e-doléances”, du modestement nommé “Comité de Salut Numérique” …

&nbsp;





crocodudule a écrit :



Peut-être enfin le moyen de faire bouger les choses.



En revanche, si sur les relations contractuelles ça sera facile de démontrer l’existence de manquements, sur le plan technique (cookie) et la démonstration de dommages , ça va être plus compliqué et probablement imposer une expertise judiciaire (ça pourrait être l’occasion d’utiliser le calcul d’indemnité “yahoo” qui consiste à dire que le temps pris à modifier le mot de passe même sans démontrer un “piratage” effectif est indemnisable).





La tronche du préjudice quoi !


RGPD : l’Internet Society France lance une action de groupe contre Facebook

  • Facebook prié de s’expliquer sur sept manquements identifiés

  • Cookies « DATR », croisements de données, défaut de consentement éclairé

  • Quatre mois, 100 000 personnes, 100 millions d’euros

Fermer