Main Menu
L’utilisation par l’employeur de données en libre accès sur internet est-elle licite ?
La chambre criminelle de la Cour de cassation a affirmé, dans un arrêt du 30 avril 2024, que “le fait que les données à caractère personnel collectées (…) aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte” (Cass. crim., 30 avr. 2024, n° 23-80.962, Publié au bulletin).
En l’espèce, à la suite d’une plainte d’un syndicat, une enquête préliminaire puis une information judiciaire ont été ouvertes s’agissant des pratiques de la société IKEA ayant sollicité un enquêteur privé pour la collecte des données notamment de salariés et candidats à l’embauche (antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l’étranger).
L’enquêteur privé arguait que la collecte et le recensement d’informations sur les salariés et candidats ne constituait pas un traitement déloyal des données personnellesToute donnée qui identifie directement ou indirectement une personne physique. Cette identification peut s’effectuer à partir d’une seule donnée ou à partir d’un croisement d’un ensemble de données. Ex1 :…, dès lors que ces dernières avaient été rendues publiques par voie de presse ou publiées par la personne sur les réseaux sociaux.
La Cour de cassation a confirmé le raisonnement des juges du fond qui considéraient que le recoupement de ces informations ont fait l’objet d’une utilisation sans rapport avec l’objet de leur mise en ligne et ont été recueillies à l’insu des personnes concernées, privant de fait les personnes concernées de leur droit d’opposition.
🚨 Attention : Pour rappel, en cas de non-respect du RGPD, outre de sanctions administratives et financières, les sociétés et organismes peuvent faire l’objet de sanctions pénales.
Le délit de collecte des données à caractère personnel par un moyen frauduleux, déloyal ou illicite, réprimé par l’article 226-18 du Code pénal prévoit une peine de cinq ans d’emprisonnement et de 300 000 euros d’amende.
MyDataPartner est une plateforme qui propose une solution en ligne de mise en conformité RGPD/protection des données personnelles avec une approche sectorielle destinée notamment aux CSE/CASI, RH et associations.
Pour en savoir plus : www.mydatapartner.com
Pour nous contacter : https://lnkd.in/eaSjPZjm