La première décision argentine sur le spamming a été rendue par un tribunal de Buenos Aires. Elle condamne une société pour atteinte au respect de la vie privée et à celui des données personnelles.
Cette première décision, rendue sous l’égide de la loi n° 25.326 du 4 octobre 2000 relative à la protection des données personnelles [1], a été prononcée le 7 avril 2006 par le juge Torti, à Buenos Aires [2].
D’une manière générale, le juge fait appel, quoique implicitement, aux principes de proportionnalité et de finalité qui gouvernent les conditions d’exploitation des données nominatives et qui n’auraient pas été respectés en l’espèce. Rappelant la législation et les principes posés en la matière, ce jugement condamne principalement d’une part, la collecte et le traitement de données personnelles à des fins de profilage et, d’autre part, l’absence de consentement préalable, libre, informé et exprès des internautes.
La collecte et le traitement de données personnelles à des fins de profilage
Les faits incriminés résultent dans la constitution, par la société Publicc Soluciones Informáticas, vraisemblablement à l’aide d’un traitement automatisé, d’une base de données nourrie de courriers électroniques récupérés sur la toile Internet sans le consentement des personnes concernées.
Les informations ainsi collectées venaient s’inscrire de façon ordonnée dans ladite base de données en fonction notamment du critère de l’activité professionnelle, auquel pouvait être associés, pour un profilage optimisé, le nom de famille de la personne concernée, son adresse postale, son numéro de téléphone ou sa date de naissance. Ajoutons que ce système était également utilisé pour des données concernant les entreprises (dénomination sociale, nombre d’employés, numéro de fax, etc.).
Ces adresses de courriers électroniques ainsi récoltées (plusieurs millions), ordonnées et optimisées par l’association d’autres informations nominatives, constituaient autant de biens informationnels que la société défenderesse exploitait de façon directe par l’envoi massif de courriers électroniques non sollicités (spamming), ou de façon indirecte par la cession de fichiers contenant ces données personnelles, avec, par ailleurs, la possibilité d'opter pour un service d’envoi massif de courriers occultant l’adresse de l’expéditeur.
À la lecture de la décision, il apparaît que des personnes intéressées ont demandé, à de multiples reprises mais en vain, de ne pas figurer dans la base de données incriminée. C’est ainsi que Publicc Soluciones Informáticas s'est vue assignée devant le tribunal civil et commercial de Buenos Aires, les demandeurs exigeant l’accès et la suppression de leurs données personnelles, la cessation de leur traitement et le blocage des adresses électroniques concernées.
Ils estiment que la collecte et le traitement de ces données personnelles élaborés de manière à établir et organiser des profils sociaux ou comportementaux destinés à être exploités par la technique du spamming sont contraires à la législation argentine.
Pour l’affirmer, ils se prévalent, d’une part, de l’article 18 de la Constitution qui garantit le droit au respect de la vie privée [3] et, d’autre part, de la loi n° 25.326 du 4 octobre 2000 qui défend le droit au respect des données à caractère personnel.
L’absence de consentement préalable, libre, informé et exprès de l’intéressé
Ainsi, l’article 5-1° de cette loi dispose que le traitement des données personnelles, pour être licite, requiert le consentement préalable, libre, informé et exprès de l’intéressé.
Mais selon les défendeurs, la règle posée à l’article 5-1° souffre d'une exception concédée à l’article 27-1° en ce qu’il autoriserait le traitement des données rassemblées à des fins de profilage promotionnel, commercial, publicitaire ou qui permettent de dresser des habitudes de consommation lorsque ces informations figurent dans des documents accessibles au public sans restriction.
L’une des questions soumises au juge résidait donc dans le fait de savoir si les pages du réseau Internet balayées par le système automatisé de collecte d’adresses électroniques pouvaient être qualifiées de documents accessibles au public au sens de l’article 27-1°.
Le juge y répond par la négative. D’abord en affirmant qu’il importe peu que les informations rassemblées proviennent de documents accessibles au public dès lors que les personnes concernées n’ont été ni consultées, ni informées. Ensuite, il souligne la lettre de l’article 27-3° qui prévoit la possibilité pour cette même personne, d’exiger, à tout instant, le retrait ou le blocage de ses données. Or, tel était le cas en l’espèce puisque les demandeurs en avaient visiblement fait la demande à plusieurs reprises, en vain.
L’impossibilité d’accéder à ses données personnelles, de les modifier ou de les supprimer
Par ailleurs, il est jugé que l'utilisation ou l’offre d’un système permettant d’envoyer massivement des courriers électroniques en occultant l’adresse de l’expéditeur viole de façon flagrante les articles 6 et 14 de la loi n° 25.326 en ce qu’il neutralise toute faculté d’accéder à ses données personnelles, d’en demander la modification ou la suppression de la base.
Il résulte de l'ensemble de ces considérations que le tribunal qualifie l’adresse de courrier électronique de données personnelles protégées au sens de la loi n° 25.326.
Une décision motivée s’inscrivant dans un contexte international
S’agissant de la première décision relative à l’exploitation illicite de courriers électroniques, le juge prend soin de justifier, par des considérations d’opportunité, l’intérêt de lutter contre les atteintes aux données personnelles et contre le spamming (coût économique supporté par l'internaute, perte de temps, altération du disque dur de l'ordinateur, etc.).
Il en profite surtout pour rappeler l'existence d'une législation en la matière, soulignant au passage la distinction, posée par la loi, entre données personnelles et données sensibles. Les premières incluent toute information, entre autres, de nature commerciale, sociale, patrimoniale ou financière et ce quelqu’en soit la forme. Les secondes, les données à caractère sensible, portent sur des informations de nature à révéler l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques ou morales, l’affiliation syndicale ou bien sur des informations faisant référence à la santé ou à l’orientation sexuelle.
Enfin, le jugement prend soin de souligner une décision du Tribunal constitutionnel d’Espagne selon lequel la garantie du respect de la vie privée se traduit par le droit de contrôler l'utilisation de ses données personnelles traitées dans un programme informatique et par la possibilité donnée à la personne de s’opposer à leur utilisation à des fins différentes de celles qui légitiment leur collecte [4].
Quelques semaines après la publication, par le groupe de réflexion de l’Organisation de coopération et de développement économique (OCDE) sur le spam, d’un rapport exhaustif sur cette activité, ses conséquences économiques et les moyens de la combattre [5], cette référence à la jurisprudence d’un système judiciaire étranger est de bon augure et traduit une fois encore la volonté (nécessaire) de donner un caractère transnational à la lutte contre les atteintes aux données personnelles.
• Une condamnation pour atteinte au respect des données personnelles Ce jugement condamne principalement d’une part, la collecte et le traitement de données personnelles à des fins de profilage et, d’autre part, l’absence de consentement préalable, libre, informé et exprès des internautes. • La collecte de données personnelles La collecte automatisée, sur l'Internet, d'adresses de courriers électroniques organisés dans une base de données. • La cession de fichiers de données personnelles et le spamming Les adresses de courriers électroniques récoltées étaient exploitées par l’envoi massif de courriers électroniques non sollicités. Les données étaient également cédées avec la possibilité d'opter pour un service d’envoi massif de courriers occultant l’adresse de l’expéditeur. • L'impossibilité d'accéder aux informations personnelles L’offre d’un système capable d’envoyer massivement des courriers électroniques en occultant l’adresse de l’expéditeur neutralise toute faculté d’accéder à ses données personnelles, d’en demander la modification ou d’en demander la suppression de la base. • Une référence à une décision du Tribunal constitutionnel espagnol Cette référence à la jurisprudence d’un système judiciaire étranger est de bon augure et traduit une fois encore la volonté (nécessaire) de donner un caractère transnational à la lutte contre les atteintes aux données personnelles.
Lettre gratuite
Sur votre site
RSS
.JPG){kind=small}
Imprimer la chronique
Envoyer la chronique
= requiert un