Après une fuite de données, la justice allemande considère Meta responsable de préjudice moral
En 2021, une fuite de données depuis la fonction d’importation des contacts de Facebook avait exposé les informations personnelles de plus de 500 millions de personnes. Suite à la plainte de victimes, la plus haute juridiction allemande a estimé que les utilisateurs concernés étaient éligibles à une indemnisation de 100 euros. Elle a renvoyé l’affaire devant la cour d’appel de Cologne pour une ultime décision. Meta dénonce de son côté des dommages-intérêts “non conformes aux récents arrêts de la Cour de justice de l’Union européenne”.
La Cour fédérale de justice allemande (BGH), plus haute juridiction civile et pénale du pays, a rendu le 18 novembre un arrêt reconnaissant la responsabilité de Meta dans une fuite de données survenue contre Facebook en 2021. L’organe judiciaire a estimé que “la simple perte de contrôle sur [les] données personnelles” d’un utilisateur suite à une violation du RGPD “peut constituer un dommage immatériel au sens de la norme”.
Les hackers avaient saisi des numéros de téléphone aléatoires
En avril 2021, les données personnelles de 533 millions d’individus avaient été exposées sur un serveur non sécurisé. 20 millions de Français et 6 millions d’Allemands avaient ainsi vu leurs noms, numéros de téléphone, adresses postales et coordonnées de leur employeur exfiltrés. En cause, la fonction d’importation des contacts de Facebook, permettant aux utilisateurs de trouver leurs connaissances grâce à leur numéro de téléphone. Les cybercriminels avaient utilisé depuis 2019 des outils malveillants pour saisir des numéros aléatoires, les faire correspondre avec d’autres profils et collecter les données associées (autrement connu sous le nom de scraping).
Suite à cette fuite de données, plusieurs Allemands ont porté l’affaire devant la justice avant de voir leurs requêtes rejetées. Le tribunal de première instance avait reconnu l’éventuelle violation du RGPD de la part de Facebook, sans reconnaître de dommage dans la « perte de contrôle des données ». En appel, les juges avaient estimé que le plaignant n’avait pas « suffisamment démontré qu’il souffrait d’une déficience psychologique au-delà de la perte de contrôle en tant que telle ».
Meta dénonce une décision « incompatible » avec les derniers arrêts rendus
Dans sa décision, la Cour fédérale de justice allemande a précisé que pour constituer un dommage immatériel, « il n’est pas nécessaire qu’il y ait une utilisation abusive spécifique de ces données au détriment de la personne concernée ». Elle a accordé à la partie plaignante une compensation de 100 euros au titre des dommages-intérêts. L’affaire a été renvoyée devant la cour d’appel de Cologne, même si la décision sera liée aux conclusions de la BGH.
Max Schrems, cofondateur de l’association de protection de la vie privée Noyb, s’est réjoui dans un communiqué publié le 19 novembre que « la BGH ait mis les pieds dans le plat et mis la jurisprudence allemande en conformité ». De son côté, Meta dénonce un verdict « non-conforme aux récents arrêts de la Cour de justice de l’Union européenne », se reposant sur l’avis d’un « grand nombre de juges » qui n’ont pas reconnu de demande de dommages-intérêts.
La société avait déjà été condamnée pour non-respect du RGPD
L’éventuelle confirmation de la décision rendue par la BGH par la cour d’appel allemande pourrait marquer un revirement jurisprudentiel. Six millions d’Allemands seraient alors théoriquement en mesure de demander 100 euros de dommages-intérêts, rendant la note salée pour Meta. La maison-mère de Facebook a déjà été sanctionnée dans cette affaire pour non-respect du RGPD : en 2022, l’autorité irlandaise de protection des données (DPC) lui avait infligé une amende de 265 millions d’euros.
Source : usine-digitale.fr