Affaire Ikea France : sanction de la collecte déloyale de données "publiques" dans le cadre d’un espionnage de salariés

Cour de cassation, criminelle, Chambre criminelle, 30 avril 2024, 23-80.962, Publié au bulletin

Dans l’affaire des enquêtes illégales diligentées par la société Meubles Ikea France, la Cour de cassation vient de confirmer la condamnation à un an d’emprisonnement avec sursis et 20 000 euros d’amende prononcée à l’encontre d’un enquêteur privé, dont les services avaient été sollicités par le directeur de la sécurité de la célèbre société.

Cette condamnation par la cour d’appel de Versailles du 27 janvier 2023 faisait suite à une plainte déposée par un syndicat ayant dénoncé des enquêtes réalisées par l’employeur sur ses salariés, clients, prestataires et candidats à l’embauche.

La société Meubles Ikea France avait été condamnée, avec plusieurs personnes physiques, sur le fondement du délit de collecte de données à caractère personnel par un moyen déloyal.

En effet, l’article 226-18 du Code pénal dispose que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ».

Il sera relevé que ce texte, issu de la loi n° 2004-801 du 6 août 2004, est une composante du dispositif global de répression pénale des atteintes aux dispositions législatives et règlementaires sur les données à caractère personnel (en ce compris le règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 dit « RGPD ») prévu en section 5 « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques (Articles 226-16 à 226-24) » du Code pénal.

Ce dispositif a récemment été réformé par la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, dont les dispositions sont entrées en vigueur le 17 février 2024.

En l’occurrence, la Cour a confirmé la position de la cour d’appel, laquelle a sanctionné l’ enquêteur privé pour avoir effectué des recherches et collecté des données à caractère personnel par un moyen déloyal « dans les rapports employeur/employé ».

Les données collectées étaient relatives à des « antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l’étranger » ; leur qualification de données à caractère personnel au sens de la règlementation a donc été retenu sans difficulté.

La Cour relève ensuite, comme l’a précisé la cour d’appel, qu’elles avaient été recherchées et collectées par l’enquêteur via « capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale » et que ces données avaient (i) « fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne » et (ii) « ont été recueillies à l’insu des personnes concernées, ainsi privées du droit d’opposition institué par la loi informatique et libertés ».

La non-conformité à l’objet initial de la mise en ligne pourrait, outre son sens premier, être reliée à la finalité du traitement de ces données au sens de l’article 13 du RGPD, ce que la Cour ne précise pas.

La Cour de cassation est néanmoins plus précise lorsqu’elle fait référence à la privation du droit d’opposition, tel qu’issu de l’article 38 de la Loi n° 78-17 du 6 janvier 1978 (et de l’article 21 du RGPD), lequel dispose, pour mémoire, que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Il convient de noter que le droit d’opposition ne s’applique pas, conformément à cet article, lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement, ce qui ne pouvait pas être le cas en l’espèce au regard de la nature des prestations réalisées par l’enquêteur privé, lesquelles étaient par nature secrètes et nécessairement exclusives de toute information des salariés.

En outre, il peut être relevé qu’en complément du droit d’opposition, c’est l’ensemble des droits dont bénéficient, en principe, les personnes concernées (c’est-à-dire les « personne physique identifiée ou identifiable » au sens de l’article 4 du RGPD) auxquels il a été porté atteinte. Pour rappel, les personnes concernées dont les données sont traitées disposent du droit d’accès, de rectification ou d’effacement, mais aussi du droit de limiter le traitement, ainsi que du droit à la portabilité de leurs données.

La Cour de cassation confirme le caractère « déloyal » de la collecte, notion prévue par le texte pénal appliqué et bien connue de la chambre sociale de la Cour suprême concernant les problématique de recevabilité de la preuve. Ici, la chambre criminelle s’appuie sur le fait que les données des personnes concernées « ne pouvait s’effectuer sans qu’elles en soient informées ». C’est donc un manquement à l’obligation d’information préalable des personnes concernées qui est reprochées à l’enquêteur.

En effet, la simple collecte d’informations correspond à un traitement de données, lequel est soumis à l’obligation informative imposée par la règlementation ; au premier rang de ces obligations figure, notamment, la communication des informations listées aux articles 13 (« Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée ») et 14 (« Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée ») du RGPD.

Il est à noter qu’il aurait été intéressant d’analyser les problématiques d’imputabilité de la faute et de répartition de responsabilité entre la commanditaire de l’enquête (Ikea France) et l’enquêteur ; cela aurait sans doute mobilisé les notions de responsable de traitement, de sous-traitance, voire de responsabilité conjointe de traitement (dont l’article 26 du RGPD prévoit l’organisation des « obligations respectives quant à la communication des informations visées aux articles 13 et 14 »). La Cour n’est pas allée aussi loin, et n’en avait manifestement pas besoin.

Dans le contexte précité, la Cour de cassation ne pouvait que confirmer que le caractère « public » des données concernées est indifférent pour écarter la déloyauté de la collecte. C’est sur le fondement de l’absence d’information préalable sur le traitement occulte effectué par l’enquêteur que ce dernière a été sanctionnée.

Relevons que les faits reprochés ont fait l’objet d’une sanction pénale qui, outre les aspects civils, peuvent également être sanctionnés administrativement par une amende, à savoir jusqu’à 20 000 000 d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

En effet, il s’agit de la sanction prévue par l’article 83.4 du RGPD dont le point b) mentionne « les droits dont bénéficient les personnes concernées », objet du présent arrêt et de la sanction prononcée dans cette affaire où plus d’un font aujourd’hui l’objet de : c’est le cas récemment du directeur général de l’entreprise concernée (CA Versailles 7 mars 2024 n° 16/05293).