Un enquêteur privé condamné pénalement pour avoir effectué, sur demande d’un employeur, des recherches sur des salariés et candidats, à partir de données librement accessibles sur internet.
L’utilisation quotidienne par des milliards d’utilisateurs, des réseaux sociaux, sites internet, et plateformes, et la publication de contenus librement accessibles, crée une manne d’informations accessibles à tous.
Dans ce contexte, nombreuses sont les personnes qui exploitent ou réutilisent ces données à des fins diverses, plus ou moins licites (preuve d’une violation d’une clause de non-concurrence, évaluation des tiers dans le cadre de la loi Sapin II, recherches de nouveaux candidats, preuve de fraude fiscale, escroquerie, etc.). Dans certains cas, elles ont recours aux services de sociétés ou de personnes spécialisées (détective privé, société d’OSINT, etc.).
Récemment, la Cour de cassation s’est prononcée sur ce sujet, à la suite d’un dépôt de plainte d’un syndicat, et plus spécifiquement sur la réutilisation de données librement accessibles en ligne par un détective privé dans le cadre d’une relation employeur/employés.
Suivant les faits repris par l’arrêt de cassation, la société était susceptible de faire procéder à des enquêtes sur ses salariés, candidats à l’embauche, clients ou prestataires. Pour ce faire, elle a fait appel aux services d’un détective privé.
Une enquête préliminaire et une information judiciaire ont été ouvertes sur les pratiques de la société. Le détective privé a été renvoyé devant le tribunal correctionnel des chefs de collecte déloyale de données à caractère personnel et complicité, complicité de détournement de la finalité d’un fichier, pour des faits commis « courant 2009, 2010, 2011 et jusqu’au 11 juillet 2012, en tout cas […] depuis temps non couvert par la prescription ».
Le prévenu a été condamné en première instance, puis en appel à un an d’emprisonnement avec sursis et 20 000 euros d’amende (Cour d’appel de Versailles, 9e chambre, en date du 27 janvier 2023).
La Cour d’appel de Versailles a estimé que :
« Le moyen de collecte de ces données est considéré comme déloyal dans les rapports employeur/employé dès lors que, issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale, comme le prévenu l’a lui-même exposé lors de ses interrogatoires, de telles données ont fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ont été recueillies à l’insu des personnes concernées, ainsi privées du droit d’opposition institué par la loi informatique et liberté ».
Celui-ci a donc formé appel de la décision et le ministère public a formé un appel incident.
L’enquêteur a violé la réglementation relative aux données personnelles
Au soutien de son pourvoi, le prévenu énonce, en premier lieu, que « ne constitue pas un traitement déloyal de données à caractère personnel le fait, pour un enquêteur privé, de recenser des informations rendues publiques par voie de presse ou des informations diffusées publiquement par une personne sur un réseau social (données en open source) » et que la Cour d’appel a violé l’article 226-18 du Code pénal.
En second lieu, il estime que les juges d’appel n’ont pas assez motivé les faits reprochés et caractérisé leur caractère déloyal.
En troisième lieu, il conteste l’étendue des faits sur lesquels la Cour d’appel s’est prononcée, eu égard à ceux figurant dans sa saisine.
La Cour de cassation casse l’arrêt d’appel sur ce troisième moyen au motif que :
« L‘ordonnance du juge d’instruction ne renvoyant le prévenu devant le tribunal correctionnel que pour les faits commis de courant 2009 jusqu’au 11 juillet 2012, la cour d’appel ne pouvait, sauf à ce que l’intéressé accepte expressément d’être jugé sur les faits antérieurs, ce qui n’a pas été le cas, considérer qu’elle était saisie des faits commis avant l’année 2009 ».
Cependant, c’est le motif de rejet du premier moyen du pourvoi qui a retenu toute notre attention.
En effet, la Cour de cassation estime que :
« Le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ».
L’on comprend ainsi que les traitements de données librement accessibles en ligne ne peuvent être réalisés que si :
- Les personnes concernées sont informées et, en conséquence, en mesure de pouvoir exercer leurs droits (notamment de s’opposer au traitement si la base légale du traitement est l’intérêt légitime)
- Les finalités de ces traitements ultérieurs sont compatibles avec les finalités initiales du traitement.
La fin des détectives privés?
Abstraction faîte des règles applicables en matière de loyauté de la preuve, cette position se comprend au regard des dispositions du RGPD relatives à l’obligation d’information des personnes faisant l’objet d’un traitement et à l’exigence d’une base légale nécessaire à sa mise en œuvre.
Néanmoins, en pratique cette décision pourrait sonner le glas de la profession de détective privé. En effet, elle implique que le détective privé informe systématiquement les personnes sur lesquelles il enquête, alors même que le secret des investigations et la discrétion sont l’essence même de sa profession.
En outre, le RGPD lui-même prévoit une exception à l’obligation d’information en cas de collecte indirecte, lorsque l’information « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ».
En l’espèce, le régime applicable était celui issu du Code pénal et non du RGPD. Néanmoins, la Cour suprême aurait peut-être dû s’inspirer de l’exception prévue par le règlement européen, pour tenter de dégager une solution moins radicale.
Source: Arrêt du 30 avril 2024
