Ikea France condamnée à 1 million d’euros d’amende pour espionnage

Ikea France condamnée à 1 million d’euros d’amende pour espionnage

Par Gérard Haas et Kate Jarrard 

Le 15 juin 2021, le tribunal correctionnel de Versailles a condamné Ikea France au paiement d’une amende de 1 million d’euros et au versement de 300 000 euros de dommages et intérêts aux parties civiles.

Une dizaine de prévenus ont également écopé de peines de prison allant de trois mois à deux ans avec sursis.

Le tout pour avoir illégalement participé à un système officieux et généralisé de collecte illégale de données concernant d’actuels et futurs salariés.

Quelles infractions ont été commises ?

C’est l’occasion de faire un point sur l’application des règles pénales au monde immatériel et plus particulièrement aux infractions en matière de données à caractère personnel.

Les faits

Les faits de l’affaire, initialement révélée par la presse en 2012, remontent aux années 2000.

Néanmoins, seuls les faits commis entre 2009 et 2012 ont pu être poursuivis pour cause de prescription.

L’ancien PDG de la société, des cadres, directeurs de magasin, le responsable de la sécurité mais aussi d’anciens policiers, membre(s) des renseignements généraux ou encore des détectives privés sont accusés d'avoir fouillé dans la vie de centaines de salariés et de candidats à l’embauche.

Plus précisément, il est reproché aux anciens salariés du géant suédois de l’ameublement d’avoir communiqué des listes de noms d’embauchés à des sociétés privées de « conseil en affaires ».

Ces derniers effectuaient alors des recherches d’informations personnelles, notamment via la consultation de l’ancien Système de traitement des infractions constatées (STIC) - aujourd’hui fusionné dans le fichier Traitement des antécédents judiciaires (TAJ) - ou des « sources ouvertes » (soit des informations librement accessibles sur Internet).

Étaient alors retransmises des informations confidentielles ou données à caractère personnelles, telles que :

  • des antécédents judiciaires,
  • le patrimoine,
  • la situation familiale,
  • ou des trains de vie

et ce au préjudice de plus d’une centaine de parties civiles, particuliers et personnes morales (CSE, syndicats, etc.).

Les infractions

Au moment des faits, la protection des données personnelles est principalement assurée par la loi Informatique et Libertés de 1978, le règlement européen sur la protection des données (RGPD) n’étant entré en vigueur qu’en 2018.

Aussi, le code du travail encadrait déjà la collecte d’informations auprès de candidats à l’emploi :

  • Cette dernière ne peut avoir comme finalité que d’apprécier la capacité de ces derniers à occuper l’emploi proposé ou ses aptitudes professionnelles,
  • Les informations doivent être directement et nécessairement en lien avec l’emploi proposé ou ses aptitudes professionnelles,
  • Et aucune information personnelle ne peut être collectée par un dispositif non porté préalablement à la connaissance du candidat. [1]

Mais c’est sur le terrain du droit pénal que les manquements sont en l’espèce caractérisés, en particulier cette partie du code ayant trait aux atteintes aux droits de la personne résultant des fichiers ou traitements informatiques.

Sont ainsi ici principalement visées les infractions suivantes :

Collecte illicite de données à caractère personnel

L’article 226-18 du code pénal interdit « de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite », faits passibles de 5 ans d’emprisonnement et de 300 000 euros d’amende.

En l’espèce, les magistrats ont précisé que le délit ne repose pas sur la notion de fichier, qu’il soit automatisé ou manuel[2].

C’est notamment l’infraction qui a été retenue à l’encontre du PDG, au motif que ce dernier aurait abordé le sujet au cours d’une réunion et contresigné des factures, ainsi qu’à l’encontre du patron d’une officine de sécurité privée ayant puisé dans le STIC, tous deux en qualité de complices.

Détournement de données à caractère personnel

L’article 226-21 du code pénal prohibe également le fait, par toute personne qui détient des données, de détourner ces informations de leur finalité.

A ce titre, les juges ont ici ajouté que le détournement de données n’implique pas de support matériel.

Ce délit a été retenu à l’encontre des policiers ayant consulté le fichier STIC.

Recel de données à caractère personnel

L’article 321-1 du code pénal définit le recel comme « le fait de dissimuler, détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit ».

Ce dernier est puni de 5 ans d’emprisonnement et de de 375 000 euros d’amende, ou du double lorsqu’il est commis de façon habituelle (article 321-2).

Il convient de noter que les magistrats ont ici ajouté que le recel peut porter sur une chose immatérielle.

Au cas présent, le recel, habituel ou non-habituel, a été retenu tant s’agissant de la collecte illicite que du détournement de données.

Le recel de collecte illicite a, par exemple, été retenu à l’encontre de :

  • ceux qui ont transmis les listes de noms de personnel au siège, tels que les directeurs de magasin,
  • la DRH qui, en enquêtant sur une cadre en arrêt-maladie, a conservé des pages de son passeport,
  • l’ancien PDG, en tant que destinataire des renseignements fournis par les prestataires privés,
  • et enfin la société Ikea, à titre habituel.

Le recel de détournement de données a été notamment retenu à l’encontre des salariés ayant directement transmis les listes de noms de personnel aux policiers, et du patron de l’officine de sécurité privée ayant transmis des antécédents judiciaires à l’entreprise.

Violation du secret professionnel

Enfin, les trois officiers de police, en raison de leur profession, se sont également vus condamnés au titre du délit défini à l’article 226-13 du code pénal de la manière suivante :

« La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d'amende. »

Les enjeux

Selon la procureure, l'enjeu du procès était celui « de la protection de nos vies privées par rapport à une menace, celle de la surveillance de masse ».

Elle a ainsi demandé que la réponse pénale soit un « message fort » envoyé à « toutes les sociétés commerciales ».

Il convient de rappeler que la société encourait en théorie une amende pouvant aller jusqu’à 3,75 millions d’euros.

Si le tribunal n’a pas suivi les réquisitions plus sévères du parquet, il n’a néanmoins pas manqué de relever que Ikea France avait, ce dans son seul intérêt, institutionnalisé une politique « généralisée » et « systématique » d’enquêtes officieuses et de recherches déloyales ou illicites. 

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients sur toutes les problématiques relatives à la protection des données personnelles notamment grâce à un département spécialisé sur la Protection des donnéesContactez-nous ici

 

[1] Articles L.1221-6 et L.1221-9 du code du travail

[2] BLOCHE A., Délibéré Ikea : la société a « institutionnalisé une politique généralisée », Dalloz Pénal, 16 juin 2021

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin