carte blanche

Face aux litiges en protection des données, comment se défendre... ou attaquer?

Il est important de se préparer à l’éventualité d’un litige en matière de protection des données, à la fois comme risque à gérer et comme angle d’attaque à l’égard d’autrui.

La conformité parfaite aux règles de protection des données existe-t-elle ? Quels que soient vos procédures et systèmes, il y a toujours une faille (typiquement humaine). Pourtant, même une erreur humaine peut créer la possibilité pour des régulateurs, concurrents et individus de vous attaquer. Inversement, vous pouvez utiliser les faiblesses de vos adversaires contre eux.

Il est donc important de se préparer à l’éventualité d’un litige en matière de protection des données, à la fois comme risque à gérer et comme angle d’attaque à l’égard d’autrui. A cetégard, il peut être utile de se pencher sur quelques considérations pratiques issues de notre expérience devant les juridictions compétentes (notamment l'Autorité de protection des données, l’APD).

Plainte potentielle devant l’APD

Les affaires gérées par la Chambre contentieuse de l'APD résultent majoritairement de plaintes d’individus ("personnes concernées"), suite à des demandes d’exercice de droits restées infructueuses ou auxquelles la réponse apportée était insatisfaisante. Il est donc essentiel de traiter chaque demande comme une plainte potentielle, et non une simple demande d'information.

Par ailleurs, au sein du Service d’inspection de l'APD, tous les dossiers liés à une organisation sont souvent confiés au même gestionnaire. Il est donc crucial de traiter des demandes similaires d’une façon cohérente.

Procédure devant l'APD

Lorsque la Chambre contentieuse considère qu'une affaire peut être traitée au fond, le responsable du traitement/sous-traitant a aujourd’hui six semaines pour soumettre des conclusions. Ce délai peut sembler court si vos conseils ne connaissent pas bien vos activités de traitement, les règles en matière de protection des données, la jurisprudence de l'APD ou ses règles de procédure. Il est donc important d’impliquer un avocat spécialisé dès qu'une demande d'une personne concernée paraît susceptible de déboucher sur une plainte.

"N’hésitez par ailleurs pas à avancer des arguments qui n’ont pas encore été tentés, le droit de la protection des données étant en voie de construction."
Peter Craddock & Camille De Munter
Avocats NautaDutilh

N’hésitez par ailleurs pas à avancer des arguments qui n’ont pas encore été tentés, le droit de la protection des données étant en voie de construction : si votre argument tient la route et n’est pas contredit par la loi, il est possible que la Chambre contentieuse vous suive.

Plaintes d'adversaires

Il y a plusieurs possibilités pour des "adversaires" de vous causer des ennuis. Notamment :

1) Toute personne dont vous traitez des données à caractère personnel peut déposer plainte, en ce compris, par exemple, un ex-employé ou le représentant d’un concurrent. A ce jour, l'APD considère généralement que l'utilisation de cette possibilité dans le contexte d’un litige plus large n'est pas un abus de droit.

2) Les associations représentant des personnes concernées (par exemple NOYB, l’ASBL de l’activiste Max Schrems) peuvent introduire une action collective à votre encontre.

3) Un concurrent qui considère que vous avez obtenu "ses" données de façon illicite peut facilement introduire une déclaration de fuite de données vous mentionnant – ce qui peut mener à une investigation par l'APD.

"Les règles relatives à la concurrence déloyale permettent à un concurrent d’introduire une action en cessation, l’exemple typique étant l’utilisation de listings de clients obtenus ou utilisés en violation du RGPD."
Peter Craddock & Camille De Munter
Avocats NautaDutilh

4) Les règles relatives à la concurrence déloyale permettent à un concurrent d’introduire une action en cessation devant les juridictions belges pour non-conformité aux obligations légales, l’exemple typique étant l’utilisation de listings de clients obtenus ou utilisés en violation du RGPD.

5) Il est possible de contester la recevabilité ou la valeur probante de preuves obtenues en violation du RGPD (souvent des emails, photos ou vidéos) devant certaines juridictions. Les règles relatives au secret des communications, aux détectives privés et à la cybercriminalité viennent souvent appuyer de tels arguments.

Outre la conformité véritable, il n’y a aucun moyen d’éviter entièrement ces procédures. Il est donc important de toujours tenir compte du risque qu’un traitement des données d’un adversaire (potentiel) soit utilisé contre vous.

Lancer l'offensive

Ces considérations sont également utiles si vous souhaitez partir à l’attaque, par exemple en notifiant une violation de données à caractère personnel causée par un adversaire. Avant d’agir, cependant, sachez que rien n'empêche l'APD de vérifier vos activités de traitement. Il vaut mieux donc anticiper cette possibilité avant d’invoquer la protection des données comme argument.

Peter Craddock & Camille De Munter
Avocats NautaDutilh

Lire également

Messages sponsorisés

Messages sponsorisés