Arrêt de la Cour fédé­rale de justice alle­mande (Bundesgerichtshof, BGH), Urt. v. 18. 11. 2024 – VI ZR 10/​24

Un résident alle­mand dispose d’un compte Facebook sur lequel certaines données person­nelles (nom, sexe, lieu de travail) sont visibles, tandis que son numéro de télé­phone mobile est para­mé­tré comme « privé ». La fonc­tion­na­lité « contact-import », acti­vée par défaut, permet à tout utili­sa­teur du réseau social de retrou­ver son profil en saisis­sant son numéro de télé­phone, alors même que ce numéro n’est pas rendu public dans les para­mètres de confi­den­tia­li­tés. De janvier 2018 à septembre 2019, des tiers se sont servis de cette fonc­tion­na­lité pour effec­tuer un scra­ping à grande échelle, géné­rant des numé­ros de télé­phone aléa­toires (y compris celui du requé­rant) afin de les asso­cier à des profils et d’en extraire les infor­ma­tions corres­pon­dantes. Au total, les données person­nelles d’environ 533 millions d’utilisateurs ont été diffu­sées en accès libre sur inter­net en avril 2021, parmi lesquelles figu­raient le numéro de télé­phone du requé­rant, son nom complet, sa profes­sion et son iden­ti­fiant sur le réseau social.

Le requé­rant fait valoir que cette diffu­sion lui a fait perdre le contrôle de ses données person­nelles et l’expose à des risques d’escroquerie et de phishing. Il réclame la répa­ra­tion de son préju­dice imma­té­riel, la recon­nais­sance d’une respon­sa­bi­lité pour tout dommage futur, ainsi que l’interdiction de toute utili­sa­tion de son numéro en l’absence de son consen­te­ment explicite.

Le Landgericht Bonn fait partiel­le­ment droit à la demande du requé­rant en lui accor­dant EUR 250.- à titre de dommages et inté­rêts pour le préju­dice imma­té­riel subi. En appel, l’Oberlandesgericht Köln annule cette déci­sion. Il juge les demandes irre­ce­vables ou infon­dées, faute d’intérêt à agir ou de préci­sion, et consi­dère que le requé­rant ne prouve aucun préju­dice imma­té­riel concret. La Cour d’appel consi­dère en effet que la perte de contrôle invo­quée n’est pas démon­trée, les risques évoqués ne sont ni étayés ni indem­ni­sables, et l’engagement d’un avocat n’est pas justifié.

Le requé­rant intro­duit un recours auprès du Bundesgerichtshof (BGH). Il conclut à la recon­nais­sance de son droit à répa­ra­tion pour préju­dice imma­té­riel au titre de l’art. 82 par. 1 RGPD (conclu­sion 1), à la consta­ta­tion de la respon­sa­bi­lité de la défen­de­resse (Facebook) pour tout dommage futur lié à la fuite de ses données (conclu­sion 2), à l’interdiction d’accès à ses données via l’outil d’importation de contacts (conclu­sion 3a), à l’interdiction de toute utili­sa­tion non auto­ri­sée de son numéro de télé­phone (conclu­sion 3b), à l’obtention d’informations sur l’usage de ses données (conclu­sion 4), ainsi qu’au rembour­se­ment des frais d’avocat enga­gés avant le procès (conclu­sion 5).

Réparation pour préju­dice immatériel

Selon la juris­pru­dence de la CJUE (voir www​.swiss​pri​vacy​.law/​2​93/), le droit à répa­ra­tion prévu par l’art. 82 par. 1 RGPD repose sur trois condi­tions cumu­la­tives : une viola­tion du RGPD, l’existence d’un préju­dice (maté­riel ou imma­té­riel), et un lien de causa­lité entre le préju­dice et la viola­tion. Le requé­rant n’a pas à prou­ver une faute de la défen­de­resse, car le Règlement prévoit une respon­sa­bi­lité pour faute présu­mée. Il revient donc au respon­sable du trai­te­ment d’apporter la preuve qu’il n’est pas à l’origine du dommage (art. 82 par. 3 RGPD).

S’agissant de la viola­tion du RGPD, le BGH consi­dère qu’elle peut être présu­mée. En effet et même si l’Oberlandesgericht Köln n’a pas tran­ché ce point, le scra­ping repose sur un trai­te­ment de données au sens du RGPD (notam­ment : stockage, mise à dispo­si­tion, inter­con­nexion). Or, la confi­gu­ra­tion par défaut qui permet la recherche univer­selle via numéro de télé­phone contre­vient aux prin­cipes de mini­mi­sa­tion des données et de protec­tion des données par défaut (art. 5 et 25 RGPD).

En ce qui concerne le préju­dice imma­té­riel, le simple fait de perdre le contrôle sur ses données person­nelles consti­tue déjà un préju­dice au sens de l’art. 82 RGPD, même sans consé­quences supplé­men­taires telles que des suites néga­tives psycho­lo­giques ou finan­cières (CJUE, 4 octobre 2024, C‑200/​23 Agentsia po vpis­va­niyata). En l’espèce, le requé­rant démontre que des tiers ont rendu public et asso­cié son numéro de télé­phone à d’autres données person­nelles à la suite du scra­ping. Les tiers impli­qués ont ainsi pu accé­der à ses données person­nelles même si ce dernier avait choisi le para­mètre « privé » de confi­den­tia­lité pour son compte Facebook. Le requé­rant expli­cite égale­ment les inquié­tudes vécues et les précau­tions supplé­men­taires prises suite à cet événe­ment. La perte de contrôle sur ses données person­nelles suffit donc à établir un préju­dice imma­té­riel réparable.

Le BGH confirme le lien de causa­lité. En effet, la Cour estime que c’est la confi­gu­ra­tion par défaut du réseau social qui a permis le scra­ping et la diffu­sion non souhai­tée des données du requé­rant. Cette faille tech­nique et orga­ni­sa­tion­nelle impu­table à la défen­de­resse est à l’origine directe du préju­dice subi (art. 25 et 32 RGPD).

Le BGH relève fina­le­ment dans un obiter dictum que l’Oberlandesgericht Köln, qui a justi­fié l’atteinte par le consen­te­ment donné par l’utilisateur, aurait dû exami­ner préci­sé­ment sa validité.

Le BGH recon­naît ainsi le préju­dice imma­té­riel du requérant.

Constatation de la respon­sa­bi­lité de Facebook

Le BGH examine ensuite l’injonction du requé­rant en rela­tion à la consta­ta­tion de la respon­sa­bi­lité du réseau social pour des dommages futurs résul­tant de la viola­tion des droits du requé­rant. Les juges admettent la seule possi­bi­lité d’un préju­dice futur, sans exiger une forte proba­bi­lité de répé­ti­tion de l’acte. Ils motivent leur déci­sion par la viola­tion du droit fonda­men­tal du requé­rant, en l’occurrence son droit à l’autodétermination infor­ma­tion­nelle (art. 2 par. 1 Constitution fédé­rale alle­mande). En l’espèce, la publi­ca­tion et présence conti­nue de données person­nelles du requé­rant sur Internet implique un risque persis­tant d’utilisation de celles-ci à des fins frau­du­leuses. Ce risque, combiné à la perte de contrôle déjà subie par le requé­rant, suffit à justi­fier son inté­rêt à faire consta­ter la respon­sa­bi­lité de Facebook pour tout dommage ulté­rieur non encore prévisible.

Injonction d’interdiction d’accès aux données

Le BGH examine ensuite la conclu­sion par laquelle le requé­rant entend inter­dire à Facebook de rendre ses données acces­sibles à des tiers non auto­ri­sés via l’outil d’importation de contacts, sans mesures de sécu­rité appro­priées. Le BGH estime que la formu­la­tion de cette conclu­sion est trop impré­cise. En effet, les termes utili­sés, tels que « tiers non auto­ri­sés » (unbe­fug­ten Dritten) ou « mesures de sécu­rité conformes à l’état de la tech­nique » (nach dem Stand der Technik mögli­chen Sicherheitsmaßnahmen), ne permettent pas de cerner clai­re­ment la portée de l’interdiction solli­ci­tée. Un tel manque de déter­mi­na­tion contre­vient aux exigences procé­du­rales alle­mandes, dès lors que le dispo­si­tif d’un juge­ment doit être direc­te­ment exécu­toire sans géné­rer d’incertitude ou de litige ulté­rieur quant à son inter­pré­ta­tion. Le BGH rejette le recours sur ce point pour défaut de préci­sion du requérant.

Injonction d’interdiction d’utilisation non auto­ri­sée du numéro de téléphone

Le requé­rant solli­cite en outre l’interdiction de toute utili­sa­tion de son numéro de télé­phone fondée sur son consen­te­ment. Celui-ci avance que son consen­te­ment à l’utilisation de ses données a été obtenu au moyen d’informations incom­plètes et peu claires. Contrairement à l’avis de l’Oberlandesgericht Köln, le BGH consi­dère cette demande comme rece­vable, car suffi­sam­ment précise. La demande vise en effet à empê­cher tout trai­te­ment de la donnée repo­sant sur un consen­te­ment exprimé sans infor­ma­tion trans­pa­rente sur l’utilisation des données. Cela s’applique notam­ment au fait que la fonc­tion d’importation de contacts permet­tait au réseau social, malgré le para­mètre « privé » choisi par le requé­rant, d’utiliser son numéro. Le Bundesgerichtshof relève en outre que le requé­rant conserve un inté­rêt à agir, même s’il peut théo­ri­que­ment suppri­mer sa donnée lui-même. Le BGH consi­dère que ce dernier ne peut être tenu de renon­cer à l’usage légi­time de sa donnée (notam­ment pour la double authen­ti­fi­ca­tion) pour se prému­nir d’un trai­te­ment illi­cite par Facebook. La ques­tion du consen­te­ment éclairé doit être exami­née au regard des exigences fixées par la CJUE, notam­ment en matière de trans­pa­rence et de vali­dité de l’accord au sens de l’art. 4 par 11, et de l’art. 7 par. 2 du RGPD (voir CJUE, 1er octobre 2019, C‑673/​17 planet49 ; www​.swiss​pri​vacy​.law/​2​44/).

Demande d’information sur l’usage des données person­nelles du requérant

Le requé­rant reproche égale­ment à la défen­de­resse de ne pas lui avoir précisé quels tiers avaient eu accès à ses données lors du scra­ping. Le BGH relève que, le 23 août 2021, Facebook avait déjà informé le requé­rant par écrit de toutes les données en sa posses­sion le concer­nant. Quant aux tiers ayant accédé aux données, leur iden­tité est incon­nue, ce qui rend impos­sible toute reddi­tion d’information supplé­men­taire par le réseau social. Conformément à la juris­pru­dence de la CJUE, le droit d’accès garanti par l’art. 15 par. 1 let. c RGPD peut être limité lorsque le respon­sable du trai­te­ment ignore l’identité des desti­na­taires (voir www​.swiss​pri​vacy​.law/​2​16/). En outre, le BGH rappelle que le droit à la protec­tion des données n’est pas illi­mité. Il s’agit de procé­der à une pesée d’intérêts avec d’autres droits dans le respect du prin­cipe de propor­tion­na­lité, confor­mé­ment au consid. 4 du RGPD. Le BGH ne fait ainsi pas suite à la conclu­sion du demandeur.

Renvoi de la cause à l’Oberlandesgericht Köln et consi­dé­ra­tions finales

Le BGH casse la déci­sion de l’Oberlandesgericht Köln sans statuer elle-même sur l’existence ou le montant d’un droit à répa­ra­tion, dès lors où les faits ne sont pas suffi­sam­ment établis par l’instance précé­dente, et renvoie l’affaire à l’Oberlandesgericht Köln pour un nouveau juge­ment dans le sens de ses consi­dé­ra­tions en droit.

Le BGH invite l’Oberlandesgericht Köln à exami­ner si la confi­gu­ra­tion par défaut de la fonc­tion de recherche, permet­tant à tout utili­sa­teur de retrou­ver un profil via un numéro de télé­phone, contre­vient au prin­cipe de mini­mi­sa­tion des données et à l’obligation de prévoir des para­mètres respec­tueux de la vie privée dès la concep­tion, confor­mé­ment aux art. 5 par. 1 let. b et c, ainsi qu’à l’art. 25 par. 2 RGPD. Elle rappelle que l’accès aux données doit être limité à un cercle déter­miné de personnes et que les utili­sa­teurs modi­fient rare­ment les para­mètres par défaut, ce qui impose une concep­tion protec­trice dès l’origine (privacy by design). L’instance précé­dente devra égale­ment véri­fier si la défen­de­resse pouvait vala­ble­ment se préva­loir du consen­te­ment du deman­deur pour justi­fier le trai­te­ment de son numéro de télé­phone. S’agissant de la répa­ra­tion, le BGH précise que son évalua­tion relève du droit natio­nal selon le prin­cipe d’autonomie procé­du­rale (en l’espèce, l’art. 287 ZPO/​DE), mais doit assu­rer une compen­sa­tion effec­tive, sans fonc­tion puni­tive, confor­mé­ment à la juris­pru­dence de la CJUE (voir CJUE, 20 juin 2024, C‑590/​22 PS GbR ; www​.swiss​pri​vacy​.law/​2​93/). Le juge ne peut tenir compte ni de la gravité du manque­ment ni du nombre de viola­tions pour majo­rer l’indemnité, qui doit unique­ment compen­ser le préju­dice subi. La seule perte de contrôle sur les données peut justi­fier une répa­ra­tion, mais d’un montant modéré, et dont l’évaluation doit respec­ter le prin­cipe d’effectivité du droit européen.

Conclusion

La déci­sion du BGH s’inscrit dans la même affaire de scra­ping ayant conduit, côté irlan­dais, la Data Protection Commission (DPC) à condam­ner Meta (Facebook) le 25 novembre 2022 pour avoir laissé acces­sibles, par défaut, les données de 533 millions d’utilisateurs. La DPC a jugé que ces para­mètres initiaux violaient les prin­cipes de sécu­rité et de mini­mi­sa­tion, tout comme le souligne le Bundesgerichtshof lorsqu’il invite l’Oberlandesgericht Köln à véri­fier la confor­mité de la fonc­tion de recherche par numéro. Même si une procé­dure indi­vi­duelle, lourde en coûts et en temps, peut ne pas sembler rentable pour les utili­sa­teurs concer­nés, l’interprétation large faite du préju­dice imma­té­riel dans la déci­sion du BGH ouvre la voie aux avocats alle­mands spécia­li­sés dans la défense des consom­ma­teurs et favo­rise le recours aux actions collec­tives (cf. art. 80 par. 1 RGPD).

À l’échelle inter­na­tio­nale, les juri­dic­tions appré­cient toute­fois diffé­rem­ment la ques­tion du scra­ping : en avril 2022, la Cour d’appel du neuvième circuit de Californie a, par exemple, auto­risé la société hiQ Labs à collec­ter auto­ma­ti­que­ment les données publiques sur LinkedIn en se fondant notam­ment sur la néces­sité pour hiQ afin d’être écono­mi­que­ment viable et sur l’absence d’attente de confi­den­tia­lité pour des profils déjà libre­ment acces­sibles en ligne (voir www​.swiss​pri​vacy​.law/​1​50/).

Dans un contexte où ces pratiques se multi­plient, cette déci­sion met en évidence la néces­sité de respec­ter certains prin­cipes fonda­men­taux du RGPD, dont les prin­cipes de mini­mi­sa­tion et de trans­pa­rence du trai­te­ment. Dans son opinion du 17 décembre 2024, le Comité euro­péen de la protec­tion des données (EDPB) rappelle par ailleurs que le simple fait qu’une donnée soit libre­ment acces­sible ne signi­fie pas que la personne concer­née ait décidé de la rendre publique. Il ne faudrait donc pas consi­dé­rer que le respon­sable de trai­te­ment soit libéré de ses obli­ga­tions décou­lant du RGPD à cet égard.

En Suisse, le PFPDT et neuf autres auto­ri­tés de protec­tion des données ont publié, le 24 août 2023, une décla­ra­tion commune sur le data scra­ping et la protec­tion des données. Cette décla­ra­tion souligne que la loi protège toujours les infor­ma­tions person­nelles, même lorsqu’elles sont acces­sibles au public. Les plate­formes doivent donc assu­mer leur respon­sa­bi­lité en matière de sécu­ri­sa­tion des données, dès lors où le scra­ping peut sérieu­se­ment compro­mettre la confi­den­tia­lité et provo­quer des atteintes à la sécu­rité. Les auto­ri­tés encou­ragent ainsi les réseaux sociaux à adop­ter des mesures concrètes pour limi­ter ces risques et enjoignent égale­ment les utili­sa­teurs à ajus­ter leurs para­mètres de protec­tion afin de maîtri­ser la diffu­sion de leurs infor­ma­tions sur internet.