Le droit à l’effacement ou l’émergence d’un contentieux de la donnée

Le droit à l’effacement ou l’émergence d’un contentieux de la donnée
⏱ Lecture 4 min

Par Frédéric Picard

Si l’adoption du RGPD a permis d’établir de véritables droits protecteurs des personnes physiques, certaines entreprises ne semblent pas véritablement en saisir la portée.

Le Tribunal Judiciaire de Grenoble a rappelé avec autorité, dans une décision rendue le 7 février 2022, que le droit à l’effacement des données [1]n’est pas à prendre à la légère.

Cette décision est le fruit d’un courant jurisprudentiel et qui nous permet d’assister à l’émergence d’un nouveau type de contentieux :  celui de la donnée.

Une négligence à l’origine du litige

En l’espèce, une personne physique née à Ottawa (Canada) et résidant en France ouvre un compte au sein d’une banque française. Par une erreur manifeste, cette dernière a considéré que son client était de nationalité américaine du fait de son lieu de naissance, et a signalé son compte à l’administration fiscale des Etats-Unis.

Il faut comprendre qu’un citoyen américain résidant à l’étranger reste considéré comme contribuable par l’administration fiscale américaine. En application d’un accord fiscal conclu entre la France et le gouvernement Américain et du Foreign Account Compliance Act, les banques françaises doivent signaler leurs clients originaires des Etats-Unis.

Informé par l’établissement bancaire, la personne concernée s’est évertuée à convaincre la banque qu’Ottawa se trouvait au Canada et qu’il n’était bien évidemment pas un contribuable américain. Il demandait alors l’effacement de toutes les données le concernant.

Il aura fallu l’envoi de son extrait de naissance pour que la banque s’exécute. Mais comme un malheur ne vient jamais seul, la banque ne s’est exécutée que pour l’année 2017, oubliant de fait les années précédentes.

La procédure pour obtenir l’effacement des données

Cette nouvelle négligence a eu raison de la patience du client qui a saisi le juge des référés pour faire cesser cette atteinte à ses droits.

Par une ordonnance rendue le 4 juillet 2018, le juge lui a donné droit et a ordonné à la banque d’effacer toutes les données personnelles qu’elle détenait sur son client dans le cadre de la procédure FATCA.

La banque devait également procéder à toutes les démarches nécessaires pour obtenir la suppression des informations personnelles qu’elle avait envoyé et qui étaient désormais détenues par l’administration fiscale américaine.

Il n’en fallait pas moins pour que la banque fasse appel de cette décision.

Cependant, la Cour de Grenoble, dans un arrêt du 12 mars 2019, a suivi le raisonnement du juge des référés et énonce que la banque n’aurait jamais dû transférer aux Etats-Unis les données litigieuses ; mieux encore qu’elle aurait dû patienter jusqu’à détenir la certitude que son client était de nationalité américaine avant de procéder à sa déclaration à l’administration fiscale.

L’affirmation du droit à l’effacement et la création d’un contentieux de la donnée

Souhaitant obtenir réparation du préjudice moral et une décision statuant définitivement au fond, la personne concernée a saisi le Tribunal Judiciaire.

Pour elle, le fait que son nom apparaisse dans les fichiers de recouvrements de l’administration fiscale américaine constituait une véritable inquiétude lors de ses voyages Outre-Atlantique mais aussi quant aux éventuelles poursuites dont elle pourrait faire l’objet par le fisc américain.

Pour évaluer le montant du préjudice subi, le Tribunal Judiciaire reprend l’argumentaire développé par la Cour d’Appel, à savoir qu’il n’était pas contesté que les informations personnelles détenues par la banque avaient été déclarées au fisc américain depuis 2014, et que le client s’exposait toujours à des poursuites au regard de la rétroactivité de la loi fiscale de ce pays.

Elle reconnait également la résistance abusive de la banque de faire droit à la demande d’effacement de son client le forçant à engager plusieurs années durant des multiples démarches judiciaires. Pour toutes ces raisons, le Tribunal Judiciaire a condamné la banque à payer la somme de 15,000 euros à titre de dommages et intérêts à son client.

Le jugement rendu au visa de l’article 17 du RGPD, permet de redonner ses lettres de noblesse au principe de l’effacement des données également appelé droit à l’oubli. Il ne faut pas oublier que le droit des données personnelles fait partie intégrante de la Charte des Droits Fondamentaux de l’Union Européenne[2]. Ainsi, toute personne morale qui s’opposerait à faire droit au principe de l’effacement des données régi par l’article 17 du RGPD, s’expose à une amende administrative qui peut aller jusqu’à 4% du chiffres d’affaires[3], mais aussi à devoir payer des dommages et intérêts en réparation du préjudice subi par la personne concernée du fait de ce refus.

Toute la difficulté restant à devoir démontrer le réel préjudice subi.

Cette décision est le témoin mineur d’un bouleversement majeur puisque la donnée en tant que nouvel « or noir » bouleverse progressivement le droit et pas seulement celui de la conformité. Nous assistons à la naissance d’un véritable contentieux de la donnée personnelle, qui doit être anticipé par les entreprises que ce soit tant sur le plan social sur le plan commercial.

Les clients ou salariés auraient tort de se priver de tous les instruments juridiques à leur disposition pour :

  • D’une part, obtenir des informations ou encore faire cesser l’atteinte à ses droits
  • D’autre part, demander aux juridictions de réparer le préjudice subi en cas de refus de faire droit à la demande.

Force est de constater que l’heure n’est plus à la clémence pour la CNIL et que les juridictions vont suivre ce mouvement face à un contentieux qui sera de plus en plus nourri.

Les entreprises doivent donc se préparer et être prêtes pour faire face à toutes situations ou encore toutes actions judiciaires de cette nature. Le pôle Contentieux du cabinet HAAS Avocats est prêt à vous accompagner pour élaborer des plans d’anticipation des procédures judiciaires.

***

Le Cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies. Il accompagne de nombreux acteurs (personnes physiques et morales) dans la défense de leurs droits notamment en matière de contentieux.

Pour en savoir plus, contactez-nous ici.

 

[1] Article 17 du Règlement Européen n°2016/679 dit RGPD.

[2] Charte des droits fondamentaux de l’Union Européenne – article 8

[3] Article 83 du Règlement 2016/679 dit RGPD

Frédéric PICARD

Auteur Frédéric PICARD

Suivez-nous sur Linkedin