La Cour d’appel de Hamm confirme la responsabilité de Facebook lors d’incidents de scraping sous le RGPD
Par jugement du 2 avril 2024 (numéro de dossier : 7 U 19/23), la Cour d’appel (OLG) de Hamm a rendu une décision phare concernant la collecte et la publication non autorisées de données personnelles des utilisateurs de Facebook. Le tribunal a reconnu dans le cas du « Facebook-Scraping », où des informations accessibles au public depuis des profils Facebook sont massivement lues et ensuite diffusées sur Internet, une violation importante des dispositions centrales du Règlement Général sur la Protection des Données (RGPD). La décision a une signification étendue tant pour les entreprises de l’économie numérique que pour les particuliers dont les données sont traitées sur les plateformes de réseaux sociaux.
Contexte du litige
Le Facebook-Scraping consiste en l’accès automatisé à des données de profil accessibles au public, par exemple via des bots. Dans le cas présent, de nombreuses informations personnelles – en particulier les noms, numéros de téléphone et identifiants d’utilisateur – ont été extraites des profils Facebook de millions d’utilisateurs européens et publiées sans consentement des personnes concernées sur un site externe. Une personne concernée a finalement intenté une action en cessation et en réparation du préjudice moral conformément à l’art. 82 RGPD, en affirmant que Facebook, en tant que responsable, avait omis de prendre des mesures techniques et organisationnelles suffisantes pour empêcher de tels accès.
Points clés de la Cour d’appel de Hamm
Responsabilité selon l’art. 4 n° 7 RGPD
L’OLG Hamm a précisé que Meta Platforms Ireland, en tant qu’opérateur de Facebook, reste le « responsable » du traitement des données concernées au sens du RGPD. La lisibilité des numéros de téléphone reposait principalement sur la configuration de la plateforme et les options de paramétrage fournies par Facebook. Même dans les cas où les utilisateurs concernés ont volontairement publié leurs données personnelles – notamment leur numéro de téléphone – dans le cadre de leur profil, la responsabilité majeure reste du ressort de la plateforme.
Violation des obligations de protection techniques et organisationnelles
Le tribunal a souligné que Facebook est soumis à des obligations particulières découlant des art. 25 et art. 32 RGPD. Des mesures préalables adéquates pour protéger les données personnelles sont indispensables au moyen de mesures techniques et organisationnelles appropriées. Facebook n’a cependant pas suffisamment veillé à empêcher efficacement la collecte automatisée de données par des bots et des outils de scraping. En particulier, des paramètres respectueux de la vie privée et des mécanismes efficaces de détection et de prévention de tels accès n’ont pas été mis en place dans une mesure adéquate.
Dommages-intérêts selon l’art. 82 RGPD
Dans le cas concret, l’OLG Hamm a cependant décidé que l’action en paiement de dommages-intérêts immatériels n’a pas été couronnée de succès. Bien qu’une violation de la protection des données ait été prouvée, le demandeur n’a pas démontré, selon l’avis du sénat, un dommage indivisible et spécifique dépassant l’atteinte abstraite à la protection des données. Le jugement souligne ici la nécessité procédurale de présenter de manière substantielle un dommage immatériel concret.
Signification pour la protection des données dans l’économie de plateforme
L’évaluation juridique fondamentale du tribunal montre clairement que les opérateurs de plateformes comme Facebook ont l’obligation d’empêcher la lecture automatisée des données utilisateur publiques, même lorsque les utilisateurs rendent eux-mêmes leurs informations publiques. La décision renforce la portée de la responsabilité en matière de protection des données des grandes entreprises numériques. En particulier, il a été confirmé que les mécanismes de protection efficaces contre la lecture massive et la publication de données personnelles par des tiers doivent être mis en œuvre.
Impact sur les stratégies de conformité des entreprises
En raison des obligations désormais confirmées selon le RGPD, les entreprises sont tenues d’adapter continuellement leurs concepts de sécurité et mesures de protection des données aux menaces évolutives ainsi qu’aux exigences croissantes des tribunaux européens. Notamment pour les plateformes avec des profils utilisateurs visibles publiquement, l’ampleur des mesures techniques et organisationnelles sera davantage mise en lumière qu’auparavant. En matière de prévention du bot et du scraping, des dispositifs de protection techniques doivent être régulièrement vérifiés et adaptés selon l’état de la technique pour minimiser les risques de responsabilité et de réputation.
Interprétation légale et perspectives
Le jugement de l’OLG Hamm souligne en outre que la protection des données personnelles dans l’environnement numérique exige un processus d’adaptation dynamique et continu de la part des responsables. En même temps, il est à noter que les revendications contre Facebook en matière de dommages-intérêts doivent être évaluées au cas par cas. La procédure peut être considérée comme exemplaire pour l’interprétation et l’application du RGPD dans le contexte des réseaux sociaux; d’autres décisions de la plus haute juridiction, par exemple de la Cour fédérale de justice ou de la Cour de justice de l’Union européenne, pourraient encore avoir un plus grand impact sur le cadre juridique futur. En ce qui concerne la situation juridique non encore finale et les procédures similaires en cours, la présomption d’innocence s’applique toujours aux entreprises et à leurs représentants (source : OLG Hamm, jugement du 02.04.2024, Az. 7 U 19/23).
Pour les entreprises, les investisseurs et les particuliers confrontés à des questions complexes de droit de la protection des données et de l’IT en raison de la digitalisation croissante, il peut être judicieux d’obtenir des conseils bien fondés sur les développements actuels et les nouvelles exigences en matière de conformité. Les avocats de MTR Legal sont disponibles pour un examen individuel et un accompagnement juridiquement sécurisé à la lumière de la jurisprudence actuelle.
