Nous vivons dans une ère de numérique où les échanges se font de plus en plus facilement et de plus en plus rapidement. Ces échanges se font surtout par voie électronique. Cependant, tous ces échanges impliquent une transmission de données qui peuvent être personnelles.
Les données électroniques à caractère personnel sont de nos jours génitrices de beaucoup d’argent. Elles sont donc commercialisables, mais aussi susceptibles de vol. Est dès lors apparu le vol de données électroniques à caractère personnel.
Le vol à de données électroniques à caractère personnel est problématique, car il s’agit tout d’abord d’un vol, mais de plus, il affecte la vie privée de la victime. Étant devenu de plus en plus fréquent, le vol de données électroniques à caractère personnel a dû être combattu. Le combat du vol de données électroniques à caractère personnel est mené au niveau national ainsi qu’européen.
En 2018 est entré en vigueur le règlement général sur la protection des données. Ce règlement européen s’inscrit dans la continuité de la Loi informatique et Libertés de 1978. Il vient renforcer la protection des données personnelles et créer un cadre juridique commun au sein de l’Union.
Une donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.
Les opérateurs de télécommunications et les fournisseurs de services internet ainsi que les entreprises détiennent une série de données personnelles concernant leur clientèle. En effet, s’ajoutent à leur nom, adresse et coordonnées bancaires, l’historique de leurs appels téléphoniques et la liste des sites internet consultés.
L’article 4 du règlement général sur la protection (RGPD) des données définit la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
Ainsi, il peut arriver que les données personnelles soient volées ou égarées ou qu’elles soient consultées par des personnes qui n’ont pas d’autorisation, ceci étant donc appelé des « violations de données à caractère personnel ».
Toutefois, l’article 2.c) dispose que le règlement ne s’applique pas aux traitements de données à caractère personnel effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».
- Non application du RGPD dans le cadre d'une activité strictement personnelle ou domestique
La Chambre Contentieuse procède en premier lieu à un classement sans suite technique, dans la mesure où les traitements soulevés dans la plainte ne tombent pas dans le champ d’application matériel du RGPD ou autres lois de protection des données personnelles. En effet, le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.
A ce sujet, l’article 2.2.c) du RGPD dispose que le règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle. Le considérant 18 du RGPD précise que les traitements rentrant dans ce cadre n’ont pas de liens avec une activité professionnelle ou commerciale, et que les activités personnelles et domestiques pourraient inclure l’échange de correspondance. Cette exemption dans le cadre d’une activité domestique doit être évaluée de façon globale avec la situation en cause. La CJUE estime que cette exemption doit « être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers »
En outre, il convient de prendre en compte si les données en question sont ou non rendues accessibles à un grand nombre de personnes manifestement étrangères à la sphère privée des personnes concernées. En l’occurrence, les conversations s’insèrent ici dans un cadre strictement privé et limité. La Chambre Contentieuse estime donc que les traitements en cause ont lieu dans le cadre d’activités strictement personnelles ou domestiques, et que le RGPD ne s’applique par conséquent pas.
La jurisprudence et en particulier l’arrêt Bodil Lindqvist de la CJUE adopte également cette approche plutôt restrictive : cette exception qui figurait déjà dans la directive de 1995 « vise uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers. » En l’occurrence, il s’agissait d’un professeur de catéchisme qui s’était blessé lors d’une activité privée et qui se retrouvait, de ce coup, empêché de donner un cours : la Cour a estimé que cette information publiée sur le site de la paroisse ne relevait pas de l’activité strictement personnelle ou domestique.
Appliquant ceci au cas d’espèce, la chambre contentieuse estime que « le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. »
- Le prononcé du classement sans suite de la plainte
En dernier lieu, et sans préjudice de ce qui précède, la Chambre Contentieuse procède à un classement sans suite pour motif d’opportunité. En effet, le plaignant indique être en procédure de divorce avec la défenderesse, et spécifie utiliser certaines données personnelles présentes dans ses conversations chats avec les enfants dans le cadre de cette procédure, conversations qu’il allègue être traitées par la défenderesse. Or, la Chambre Contentieuse n’a pas pour priorité d’intervenir dans les procédures judiciaires ou administratives en cours.
Elle peut par ailleurs estimer que la plainte est accessoire à un litige plus large qui nécessite d’être débattu devant les cours et tribunaux judiciaires et administratifs ou une autre autorité compétente. En l’espèce, la Chambre Contentieuse estime que la plainte est accessoire à la procédure de divorce devant les juridictions de l’ordre judiciaire. La Chambre Contentieuse considère pour ces raisons qu’il est inopportun de poursuivre le suivi du dossier, et décide en conséquence de ne pas procéder, entre autres, à un examen de l’affaire quant au fond.
Pour rappel :
Selon l’article 2.1 du RGPD, le présent règlement s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Selon l’article 2.2 du RGPD, Le présent règlement ne s'applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d'une activité qui ne relève pas du champ d'application du droit de l’Union ;
b) par les États membres dans le cadre d'activités qui relèvent du champ d'application du chapitre 2 du titre V du traité sur l'Union européenne ;
c) par une personne physique dans le cadre d'une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces
Sources :
https://www.droit-technologie.org/actualites/divorce-et-rgpd-le-reglement-ne-sapplique-pas-toujours/
https://www.gdpr-expert.eu/article.html?id=2#caselaw
https://www.gdpr-expert.eu/article.html?id=2#textesofficiels
Pas de contribution, soyez le premier