Landgericht Paderborn, 3. Zivilkammer, Urteil vom 19.12.2022, 3 O 99/​22

Un réseau social permet à ses utili­sa­teurs de commu­ni­quer en parta­geant notam­ment des photos et infor­ma­tions privées par l’intermédiaire de son site web ou de son appli­ca­tion mobile. Lors de l’inscription, les utili­sa­teurs four­nissent au réseau social leur nom, leur sexe et leur numéro d’identification (ID) d’utilisateur. Ces infor­ma­tions font partie inté­grante du profil utili­sa­teur et sont visibles publi­que­ment par défaut. En revanche, la saisie du numéro de télé­phone n’est pas obligatoire.

Le réseau social permet aux utili­sa­teurs de compa­rer par un outil d’importation de contacts (Contact-Import-Tool, CIT) les contacts enre­gis­trés au sein de leur réper­toire télé­pho­nique avec les utili­sa­teurs du réseau social afin de pouvoir les ajou­ter comme amis. Cette démarche est possible que l’autre utili­sa­teur ait rendu son numéro de télé­phone public après la « sélec­tion du groupe cible » ou non.

Entre 2018 et 2019, le réseau social a été le théâtre d’un web scra­ping auto­ma­tisé (pour une défi­ni­tion du web scra­ping, cf. www​.swiss​pri​vacy​.law/​1​50/). Ce procédé n’est pas effec­tué direc­te­ment par le biais du réseau social, qui inter­dit par ailleurs cette pratique dans ses condi­tions d’utilisation. Au contraire, les scra­pers parviennent à leurs fins par le biais du CIT, plus préci­sé­ment en télé­char­geant des contacts conte­nant des numé­ros de télé­phone poten­tiels d’utilisateurs à l’aide de l’ou­til puis en déter­mi­nant si ces numé­ros sont asso­ciés à un compte sur le réseau social. Si c’est le cas, ils copient les infor­ma­tions publiques du profil et les corrèlent avec le numéro de télé­phone obtenu.

Faisant suite à cet inci­dent, la troi­sième chambre civile du Landgericht Paderborn est saisie et rend sa déci­sion le 19 décembre 2022, condam­nant le réseau social. Elle admet prin­ci­pa­le­ment une viola­tion du prin­cipe de sécu­rité des données (art. 5 par. 1 let. f RGPD) et des obli­ga­tions légales en décou­lant (art. 32 à 34 RGPD).

L’art. 32 RGPD concré­tise le prin­cipe de sécu­rité en impo­sant aux respon­sables du trai­te­ment de mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles permet­tant de garan­tir un niveau de sécu­rité dans les trai­te­ments de données qu’ils effec­tuent. Cette obli­ga­tion sert à proté­ger les données person­nelles notam­ment contre les accès non autorisés.

En vertu de l’art. 32 par. 1 RGPD, le respon­sable du trai­te­ment mettant ces mesures en place doit tenir compte de divers éléments dont le risque causé par le trai­te­ment pour les droits fonda­men­taux des personnes concer­nées. La proba­bi­lité et la gravité de ce risque sont déter­mi­nées en fonc­tion de la nature, de la portée, du contexte et des fina­li­tés du trai­te­ment (consid. 76 RGPD). La chambre du Landgericht consi­dère qu’en l’espèce le risque est élevé, dès lors que le risque que les données soient publiées est élevé et qu’il en découle un risque d’usurpation d’identité, de phishing ou de manœuvres simi­laires et, par consé­quent, de dommages maté­riels et immatériels.

Pour être adap­tées aux risques, les mesures doivent être effi­caces propor­tion­nel­le­ment à l’ampleur du risque et au degré de proba­bi­lité de surve­nance d’un dommage. Il en résulte que plus les dommages sont immi­nents et élevés, plus les mesures doivent répondre à un niveau élevé d’exigences.

Pour faire face au risque et au moment de l’incident le réseau social utilise un CAPTCHA. Il émet égale­ment des restric­tions de trans­mis­sion rédui­sant le nombre de demandes de certaines données qui peuvent être faites par utili­sa­teur ou à partir d’une adresse IP donnée pendant une période donnée. Il béné­fi­cie fina­le­ment aussi des compé­tences d’une équipe d’analystes et d’ingénieurs.

Compte tenu du risque élevé, la chambre du Landgericht estime que les mesures en place au moment de l’incident ne sont pas suffi­santes par rapport au risque engen­dré par un accès non auto­risé par web scra­ping auto­ma­tisé. Tout d’abord, les CAPTCHAs devraient être utili­sés dans des situa­tions où le risque de tels inci­dents est moins élevé. Ensuite, les scra­pers ont la possi­bi­lité de contour­ner les restric­tions de trans­mis­sion. Finalement, les équipes de profes­sion­nels sont prin­ci­pa­le­ment actives une fois un évène­ment détecté et leur rôle préven­tif est trop limité pour permettre d’éviter ce type d’incidents.

Le risque d’atteinte aux droits et liber­tés des personnes concer­nées étant consi­déré comme élevé, la chambre du Landgericht conclut égale­ment à une viola­tion de l’obligation de noti­fier l’autorité de contrôle ainsi qu’une viola­tion de l’obligation d’informer les personnes concer­nées (art. 33 et 34 RGPD).

En paral­lèle, la chambre admet d’autres viola­tions dont une viola­tion de l’art. 13 par. 1 let. c RGPD, dans la mesure où, bien que le réseau social semble infor­mer suffi­sam­ment sur la collecte du numéro de télé­phone et les para­mètres y étant liés, tel n’est pas le cas pour le CIT. En utili­sant cet outil, le réseau social permet à un utili­sa­teur de compa­rer ses contacts télé­pho­niques avec des profils d’utilisateurs enre­gis­trés sur le réseau social. En saisis­sant n’importe quel numéro, l’utilisateur peut donc ajou­ter en tant qu’ami le profil d’utilisateur asso­cié à celui-ci, sans que le réseau social ne four­nisse d’information à ce sujet.

En droit suisse, l’on pour­rait consi­dé­rer comme l’a fait la chambre du Landgericht que ce cas de web scra­ping, effec­tué à partir de données non libre­ment acces­sibles, consti­tue une viola­tion de la sécu­rité des données au sens de l’art. 5 let. h nLPD. L’utilisation par les scra­pers du CIT pour aspi­rer des données consti­tue effec­ti­ve­ment un accès non auto­risé dans la mesure où les personnes ayant pu avoir accès aux infor­ma­tions en croi­sant les infor­ma­tions avec les numé­ros grâce au CIT n’y sont pas habi­li­tées. Partant, est-ce qu’une viola­tion du prin­cipe de sécu­rité (art. 8 nLPD) serait à déplo­rer aussi en droit suisse dans un cas similaire ?

L’art. 8 al. 1 nLPD requiert des respon­sables du trai­te­ment, de la même manière qu’en droit euro­péen, la mise en place de mesures appro­priées au risque (art. 1 ss OPDo). Théoriquement, le raison­ne­ment de la chambre du Landgericht pour­rait selon nous être soutenu de façon analogue en droit suisse, à savoir que les mesures doivent être plus élevées que ce qui est mis en place dans l’affaire susmen­tion­née. Une telle réflexion s’explique par les risques engen­drés par la possible publi­ca­tion des données, à l’ins­tar des risques d’usurpation d’identité ou de phishing, qui peuvent selon nous consti­tuer un risque élevé pour la person­na­lité et les droits fonda­men­taux des personnes. Cela étant, il n’est pas certain que le PFPDT et nos auto­ri­tés judi­ciaires partagent ce raisonnement.

Concrètement, quelles mesures pour­raient donc être appro­priées ? Le droit suisse n’est pas plus précis que le RGPD à cet égard. À l’aune du RGPD, la chambre du Landgericht suggère des mesures telles que la demande d’informations ou l’ajout de variables supplé­men­taires lors du croi­se­ment de contacts avec les utili­sa­teurs du réseau social. Le réseau social pour­rait par exemple requé­rir, en plus du numéro, un nom ou un prénom. Une telle pratique rendrait plus diffi­cile l’accès auto­ma­tisé aux données person­nelles et permet­trait proba­ble­ment plus faci­le­ment une alerte de l’équipe de sécu­rité informatique.