Condamnation d’un enquêteur privé
Dans l’affaire des enquêtes illégales diligentées par la société Meubles Ikea France, la Cour de cassation vient de confirmer la condamnation à un an d’emprisonnement avec sursis et 20 000 euros d’amende prononcée à l’encontre d’un enquêteur privé, dont les services avaient été sollicités par le directeur de la sécurité de la célèbre société.
Cour de cassation, criminelle, Chambre criminelle, 30 avril 2024, 23-80.962, Publié au bulletin
1. Une condamnation emblématique en matière de protection des données
Le 27 janvier 2023, la cour d’appel de Versailles a prononcé une condamnation contre la société Meubles Ikea France et plusieurs personnes physiques. Cette décision fait suite à une plainte syndicale dénonçant des enquêtes menées sur des salariés, clients, prestataires et candidats à l’embauche. Ces investigations, confiées à un enquêteur privé, ont révélé une collecte de données sensibles sans information préalable.
Parmi les données extraites figuraient des éléments relatifs à la santé, aux antécédents judiciaires, aux déplacements, à la situation matrimoniale ou encore aux informations bancaires. Bien que ces données aient été accessibles via des sources publiques (sites web, réseaux sociaux, presse régionale), leur utilisation à des fins étrangères à leur objet initial a été jugée déloyale.
2. Un cadre pénal renforcé par la loi de 2024
La répression de telles pratiques repose sur l’article 226-18 du Code pénal. Celui-ci prévoit jusqu’à cinq ans d’emprisonnement et 300 000 € d’amende en cas de collecte de données par un moyen frauduleux, déloyal ou illicite. Ce dispositif s’inscrit dans le cadre plus large de la protection des données personnelles, incluant le RGPD et la loi Informatique et Libertés.
Depuis le 17 février 2024, la loi n° 2024-449 du 21 mai 2024 est venue renforcer ce cadre. Elle sécurise davantage l’espace numérique et précise les obligations des responsables de traitement, notamment en matière d’information et de transparence.
3. Déloyauté, absence d’information et atteinte aux droits fondamentaux
La Cour de cassation a confirmé que la collecte déloyale constitue une infraction, même lorsque les données sont publiquement accessibles. Ce manquement repose sur l’absence d’information préalable des personnes concernées, lesquelles se retrouvent privées de leur droit d’opposition (article 38 de la loi de 1978 et article 21 du RGPD).
En réalité, c’est l’ensemble des droits garantis par le RGPD qui a été violé : accès, rectification, effacement, limitation du traitement, portabilité (article 4 du RGPD). Ce cumul d’atteintes renforce la gravité de l’infraction.
4. Enquête privée et responsabilité juridique
La Cour a jugé que l’enquêteur privé avait agi de manière déloyale dans le cadre des relations employeur/employé. Toutefois, elle n’a pas approfondi la question de la répartition de responsabilité entre Ikea France et l’enquêteur. Cette analyse aurait pu mobiliser les notions de responsable de traitement, de sous-traitant ou de responsabilité conjointe (article 26 du RGPD).
5. Le droit d’opposition et la finalité du traitement
La non-conformité à l’objet initial de la mise en ligne des données soulève une problématique de finalité du traitement au sens de l’article 13 du RGPD. Bien que la Cour ne développe pas ce point, elle insiste sur la privation du droit d’opposition, tel que prévu par l’article 38 de la loi de 1978 et l’article 21 du RGPD.
Ce droit ne s’applique pas lorsque le traitement repose sur une obligation légale ou lorsqu’une disposition expresse l’écarte. Or, dans le cas présent, les prestations de l’enquêteur privé ne pouvaient justifier une telle exemption, en raison de leur nature secrète et de l’absence d’information des salariés.
6. Caractère public des données : une fausse sécurité juridique
La jurisprudence rappelle que le caractère public des données ne suffit pas à légitimer leur collecte. Lorsque celle-ci est réalisée à l’insu des personnes concernées et en dehors de la finalité initiale de publication, elle devient illicite.
7. Sanctions pénales et administratives
Les peines prononcées incluent jusqu’à un an de prison avec sursis et 20 000 € d’amende. Par ailleurs, les entreprises s’exposent à des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (article 83.4 du RGPD).
Le directeur général d’Ikea France a lui-même été condamné par la cour d’appel de Versailles le 7 mars 2024 (n° 16/05293).
8. Une responsabilité partagée entre Ikea France et l’enquêteur privé
Il aurait été pertinent d’approfondir les problématiques d’imputabilité et de répartition de responsabilité entre Ikea France, commanditaire de l’enquête, et l’enquêteur privé. Cette analyse aurait mobilisé les notions de responsable de traitement, de sous-traitance ou de responsabilité conjointe, telles que définies à l’article 26 du RGPD. La Cour ne s’est pas engagée dans cette voie, estimant sans doute que cela n’était pas nécessaire au regard des faits.
Le cabinet se félicite de cette jurisprudence, qui clarifie les limites du recours à l’enquête privée et renforce la sécurité juridique des salariés et des candidats. Elle rappelle aux entreprises que la conformité RGPD ne se limite pas à la cybersécurité, mais implique une vigilance constante dans les pratiques internes.
