01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Le manquement à l’obligation de sécurité des fichiers clients peut coûter cher

securite
  • Actualité juridique, CNIL, Données personnelles, Information et libertés

A propos de TGI Paris, 21 février 2013

Le jugement rendu par le Tribunal de Grande Instance de Paris le 21 février 2013

La société S., leader de la vente en ligne d’articles de maroquineries, se déclare propriétaire d’un fichier de quelques 4,7 millions d’adresses électroniques de clients et prospects qu’elle fait gérer par une société d’emailing et qu’elle ne commercialise pas auprès de tiers.

Comme cela est d’usage courant, elle a placé des adresses pièges destinées à détecter tout détournement de fichier de ce type. Or, elle a fait constater par huissier de justice la réception sur ces adresse pièges de plusieurs messages élecroniques de prospection commerciale émanant d’une société tierce (société X) pour un site de vente de meubles en ligne.

Ayant établi des liens entre cette société et une de ses salariés, elle a assigné cette dernière en contrefaçon de base de données, ainsi que plusieurs sociétés d’emailing et de routage ayant utilisé ces adresses pièges, suite à l’achat d’adresses auprès de la société X.

Le Tribunal juge que la société professionnelle de campagnes d’emailing a fait preuve d’une négligence fautive, exclusive de bonne foi, en acquérent plusieurs millions d’adresses électroniques auprès d’une société avec laquelle elle n’avait jamais entretenu de relations commerciales et dont l’activité n’était pas de nature à générer un fichier clients de l’importance de celui qui a été mis à plusieurs reprises à sa disposition.

La simple question consistant à demander si la “base de données” était bien opt-in est jugée insuffisante par le Tribunal qui pointe du doigt le fait que les prix très faibles pratiqués ne permettaient pas d’amortir les investissements normalement requis par la création et l’entretien d’une base de données de cette importance.

Cette responsabilité s’ajoute à celle retenue à l’encontre de la société X et de la salariée indélicate qui, en s’appropriant les adresses électroniques des clients et prospects de la société S. à son insu et sans bourse délier afin d’en tirer un profit personnel, ont commis une faute caractérisant un acte de parasitisme économique.

L’intérêt de cette affaire réside dans le moyen de défense soulevé par la société professionnelle de gestion de campagnes d’emailing dont la responsabilité est retenue et qui fait valoir que la société S. a participé à la réalisation de son propre préjudice en sécurisant de façon insuffisante les donnés relatives à ses clients et prospects. Elle pointe notamment du doigt le fait qu’au moins quatre personnes, dont la salariée indélicate, utilisaient l’identifiant du supérieur hiérarchique de cette dernière et que la société X avait eu accès aux données de la société S. à de nombreuses reprises et sans difficulté apparente, à partir de trois postes différents.

Si la société S. s’en défend et énumère toute une série de mesures prises pour assurer la sécurité et la confidentialité des données à caractère personnel, le Tribunal retient néanmoins « un manquement de rigueur dans la gestion des identifiants qui ne relèvent pas de la responsabilité personnelle des individus mais de l’organisation du service », précisant notamment que « la société S. n’explique pas pourquoi une graphiste qui n’a pas de fonctions commerciales, doit avoir accès aux adresses électroniques des clients de l’entreprise ».

Tenant compte de ce manquement, le Tribunal en déduit que « la société S. a elle-même contribué à hauteur de 30% à la réalisation de son préjudice en ne mettant pas en place des règles restrictives sur l’utilisation des codes donnant accès à des données personnelles ».

Après avoir évalué le préjudice subi par la société S. à 100 000 euros, le Tribunal condamne donc le professionnel de campagnes d’emailing à payer la somme de 70 000 euros de dommages et intérêts à la société S. ; la société X et la salariée s’en sortant miraculeusement dès lors que les demandes de dommages intérêts formées à leur encontre l’étaient uniquement sur le fondement de la contrefaçon de base de données, fondement pour lequel la société S. fut déboutée faute de démonstration de véritable base de données et d’investissements substantiels dans sa constitution.

Les enseignements de ce jugement sont au moins au nombre de deux(2) :

1. Lorsqu’on acquiert un fichier de clients /prospects, mieux vaut s’assurer de sa licéité et prendre des précautions d’usage quant à sa provenance

2. Le manquement dans la sécurité des traitements de données à caractère personnel (obligation imposée à tout responsable de traitement de données à caractère personnel par l’article 34 de la Loi Informatique et Libertés) peut coûter cher. Outre les condamnations pénales sanctionnant ce manquement et la perte de contrôle irrémédiable de fichiers, celui-ci peut également être sanctionné par un partage de responsabilité tel que celui retenu par le TGI de Paris, en cas de détournement de fichiers

Les professionnels du commerce électronique et du marketing direct doivent tirer les conséquences de ces enseignements et un audit informatique et libertés de leurs traitements de données à caractère personnel et plus globalement de leurs systèmes d’information peut dans bien des cas être utile et pertinent afin d’éviter pareille mésaventure.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com