FR EN

L'actualité sur la data

28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
01.10.2024 11:14

Prix de la Donnée Data Ring : Altij soutient la recherche en intelligence artificielle

Data Ring récompense les meilleures innovations en IA et souveraineté numérique


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
27.09.2024 14:45

La CJUE confirme les sanctions financières à l'encontre de Google et Apple

Europe : Apple et Google condamnés pour abus de position dominante et concurrence déloyale


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
27.09.2024 11:24

La CNIL sanctionne CEGEDIM SANTÉ pour traitement illicite de données de santé

Traitement illégal de données de santé : la CNIL sanctionne CEGEDIM SANTÉ d'une amende de 800 000...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Informatique, libertés et vie privée , Les essentiels, Veille Juridique
22.08.2024 21:03

L’Europe se dote d'« usines d'IA » : un pas de géant pour l'innovation technologique ?

La Commission européenne s'apprête à lancer un ambitieux projet visant à établir des « usines d'IA...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
21.08.2024 15:33

Faut-il réglementer l'utilisation de l'intelligence artificielle ?

Et si l'IA, en amplifiant nos dilemmes éthiques, révélait notre incapacité à gérer nos propres...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
30.07.2024 11:44

Numérique : la stratégie du choc règlementaire

AI ACT, cloud computing, conformité RGPD, cybersécurité, NIS 2 : Notre équipe IT/DATA revient sur...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
26.07.2024 09:30

Altij Avocats soutient la troisième édition du Prix de la Donnée

Altij Avocats s'engage pleinement dans la troisième édition du Prix de la Donnée. Initié par...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Les essentiels, Veille Juridique
voir les archives ->
< CLICK AND COLLECT : IL EST URGENT DE METTRE A JOUR LES CGV
23.12.2020 10:24 Il y a: 4 yrs
Categorie: Contrats commerciaux et CGV , Droit Social

Au nom de la preuve : le traitement illicite de données à caractère personnel ne fait pas obstacle à leur production en justice


Le 25 novembre dernier, la chambre sociale de la Cour de cassation a publié un arrêt PBRI par lequel elle rappelle la définition des données à caractère personnel tout en énonce une solution nouvelle relative au droit de la preuve1.

1. Piqûre de rappel : la collecte des adresses IP par l’exploitation du fichier de journalisation est un traitement de données à caractère personnel

La Cour de cassation rappelle que les adresses IP permettent, indirectement, l’identification de personnes physiques. Dès lors, leur collecte par l’exploitation du fichier de journalisation, constitue un traitement de données à caractère personnel2. En l’absence de déclaration préalable auprès de la CNIL comme le préconisait la Loi Informatique et Libertés dans sa rédaction antérieure3, ce traitement était illicite. 

NB : l’obligation de déclaration préalable auprès de la CNIL a disparue avec l’entrée en vigueur du RGPD4. Se pose en revanche la question de la nécessité ou pas de réaliser une analyse d’impact (AIPD) pour ce type de traitement. Ni la CNIL dans ses délibérations, ni le CEPD dans ses directrices n’apportent de réponse claire. Il convient dès lors de regarder, in concreto, si le traitement des adresses IP est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques »5. Il est indispensable de mettre à jour le Registre des activités de traitement, notamment concernant les bases légales et les durées de conservation appliquées aux données des salariés. 

2. Nouveauté : les données à caractère personnel issues d’un traitement illicite peuvent être produites en justice

C’est avant tout sur ce point que l’arrêt du 25 novembre mérite sa publicité :   le caractère illicite du traitement ne s’oppose pas à la production en justice des données à caractère personnel comme élément de preuve. Cette possibilité est cependant soumise à la réunion de trois conditions : 

  • l’usage de la preuve ne doit pas porter atteinte au caractère équitable de la procédure dans son ensemble,
  • la production de la preuve doit être indispensable à l’exercice du droit à la preuve6,
  • l’atteinte à la vie privée7 de la personne dont les données sont traitées doit être proportionnée au but poursuivi. 

Cette solution tranche avec la position précédemment adoptée par la Cour de cassation qui écartait des débats les preuves obtenues au mépris de l’obligation de déclaration auprès de la CNIL8. Elle s’inscrit cependant dans la tendance actuelle par laquelle le juge est invité à opérer un savant contrôle de proportionnalité entre les droits des parties en présence. Si cette solution devrait rassurer les employeurs, elle ne doit pas faire oublier que seule une mise en conformité au RGPD, de manière dynamique et continue est gage de sécurité juridique.

En effet, le traitement illicite de données à caractère personnel fait encourir à son auteur des sanctions pénales9, civiles10 et administratives11 pouvant s’avérer particulièrement lourdes et peut servir d’effet de levier dans le cadre d’une procédure prudhommale.

 

 

 

1Cass. soc., 25 novembre 2020, n°17-19.523 
2Cass. civ. 1ère, 3 novembre 2016, n° 15-22.595
3Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ancien art. 32
4Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018.
5RGPD, art. 35.
6Convention de sauvegarde de droits de l’homme et des libertés fondamentales, art. 6
7Convention de sauvegarde de droits de l’homme et des libertés fondamentales, art. 8
8Cass. soc., 8 octobre 2014, n°13-14.991
9C.pénal, art. 226-18. Le traitement illicite de données à caractère personnel est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende
10RGPD, art. 82. Toute personne dont les données ont été traitées de manière illicite a droit à la réparation de son préjudice.
11RGPD, art. 83. La CNIL peut prononcer une amende administrative dont le montant peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.