Responsable du traitement des données établi à l’étranger: quelles protections ?

Les avocats belges référencés sans leur consentement sur «Jechoisismonavocat.be»

3/10 ! C’est la note attribuée à l’ensemble des avocats belges référencés sur le site « Jechoisismonavocat.be ». Si permettre au public de noter les avocats suscite de nombreuses questions, tel n’est pas l’objet du présent article. En réalité, il s’agit plutôt de s’intéresser à l’effectivité de la protection des données lorsqu’un individu est confronté à une violation manifeste de celles-ci et que le responsable du traitement est établi à l’étranger.

 

Publié 26-04-2018

warzee
Fabian Warzée
Avocat
jechoisismonavocat

En l’espèce, la société américaine LegalUP, qui est à l’origine du site en question, a cru bon de référencer sans leur consentement de nombreux avocats belges dont notamment le bâtonnier du Barreau francophone de Bruxelles. En outre, le site leur a attribué une note de 3/10. Si l’égalité est bien respectée, le préjudice n’en demeure pas moins fondé. Cette note est supposée refléter les avis des clients. Or, les avocats concernés n’avaient pas connaissance de ce site et n’ont jamais traité avec un quelconque client identifié sur ledit site. Il apparait donc que cette note est arbitraire et porte largement préjudice aux avocats qui cherchent à développer leur clientèle personnelle.

Par ailleurs, le site profite directement de ce référencement étant donné qu’un client qui ne serait pas rebuté par la note attribuée à l’avocat et qui chercherait à le contacter se voit redirigé vers le site de LegalUP où il est ensuite invité à s’inscrire et à fournir ses coordonnées bancaires.

Au final, le client n’entrera jamais en contact avec l’avocat de son choix.

 

Violation, quels recours ?

La violation des données par LegalUP est évidente, cependant la protection de ces données ne l’est pas tout autant. En effet, saisie d’une plainte relative au site « Jechoisismonavocat.be », la Commission de la protection de la vie privée a considéré qu’elle n’était pas compétente étant donné que le responsable du traitement est établi aux Etats-Unis sans présence d’un responsable sur le territoire belge. Elle recommande donc de s’adresser à l’organisme de contrôle américain.

Face à ce constat, quels recours recommander aux personnes touchées par une telle violation ? Sous l’empire de la loi du 8 décembre 1992 relative à la protection de la vie privée qui a transposé par la suite la directive 95/46/CE, il n’en existe en réalité que trois.

Premièrement, l’intéressé peut s’adresser directement au site qui abuse de ses données. Cependant, rien ne vient contraindre le responsable du traitement de prendre en compte cette réclamation. De son côté, le site « Jechoisismonavocat.be » a décidé de ne pas donner suite à la réclamation. Il convient enfin de préciser qu’il ne s’agit pas d’un préalable obligatoire.

La deuxième possibilité consiste à s’adresser directement à la Commission de la protection de la vie privée. Néanmoins, cette Commission n’est compétente que lorsque le responsable du traitement :

  • a un « établissement fixe » en Belgique[1];
  • ou lorsque le responsable n’a pas son établissement fixe en Belgique, quand il effectue un « traitement de données » à caractère personnel en Belgique autre que le simple transit[2];
  • Cependant, cette notion de « traitement de données » n’a pas été définie par la loi et suscite de nombreuses interrogations lorsqu’il s’agit de fonder la compétence extraterritoriale de la Commission.

Enfin, il est possible de s’adresser directement au président du Tribunal de première instance siégeant comme en référé. Sa compétence est déterminée par le domicile du requérant ou, à défaut, celui du responsable du traitement ou son siège social. Néanmoins, face à une entreprise établie à l’étranger, il conviendra de démontrer qu’elle effectue un « traitement de données » en Belgique. A supposer que ce traitement soit démontré et que la demande soit fondée, il restera encore à faire exécuter le jugement à l’étranger, ce qui peut s’avérer plus compliqué.  

Au vu de cette brève analyse, il apparait que la protection des données semble plus théorique que pratique lorsque le responsable de traitement est établi à l’étranger sans présence d’un responsable sur le territoire belge. Cette situation connaitra-t-elle un changement avec l’application du Règlement européen 2016/679 sur la protection des données ce 25 mai prochain ? La question mérite d’être posée.

 

Nouvelles perspectives

L’absence de réelle protection face à un responsable établi à l’étranger découle directement du champ d’application de la loi du 8 décembre 1992. Or, le Règlement européen sur la protection des données offre justement une nouvelle définition de ce champ d’application et développe une réelle collaboration entre les autorités de contrôle. Par ailleurs, il n’est plus question de transposition par les Etats-membres, comme ce fut le cas avec la directive 95/46/CE, mais bien d’une application directe dans l’Union européenne, facilitant ainsi son application.

En ce qui concerne le champ d’application, il est désormais prévu que le Règlement s’applique au traitement de données effectué par un responsable, ou son sous-traitant, qui a son établissement dans l’Union, et ce indépendamment de la localisation du traitement. Cet établissement correspond au lieu de « l’administration centrale » du responsable sauf si les « décisions relatives aux moyens et finalités » du traitement sont prises dans un autre établissement de l’Union et que cet établissement dispose du « pouvoir de les faire appliquer »[3].

Lorsque le responsable ou son sous-traitant n'est pas établi dans l'Union comme c’est précisément le cas pour LegalUP, le Règlement s’appliquera au traitement de données relatif:

  • à « l'offre de biens ou de services » à des personnes dans l'Union, indépendamment du caractère payant. Le considérant 23 du Règlement précise que l’intention du responsable du traitement d’offrir des biens et services peut être déduite sur base des indices suivants : la langue du site, la monnaie utilisée, ou encore la mention expresse que le site se destine à de telles activités ;
  • ou au « suivi du comportement » de personnes qui a lieu au sein de l'Union[4]. Le considérant 24 du Règlement précise que ce suivi peut être démontré lorsqu’il existe un profilage visant à analyser leur comportement et leurs préférences.

En appliquant ces nouveaux critères au site « Jechoisismonavocat.be », il apparait que le Règlement 2016/679 offre de nouvelles perspectives.

A partir du 25 mai 2018, saisie d’une plainte relative à ce site, l’autorité de contrôle belge aura à examiner si LegalUP offre effectivement des services en Belgique et/ou utilise des techniques de profilage. S’il est difficile de se prononcer sur l’interprétation future de l’autorité belge, les considérants 23 et 24 du Règlement semblent indiquer que le responsable du site « Jechoisismonavocat.be » a bien l’intention d’offrir des biens et services à des personnes en Belgique. En effet, le site est en français, fait référence à des services pouvant être apportés en Belgique, et prévoit un paiement en EURO. A condition que l’autorité de contrôle belge se déclare compétente et considère l’action fondée, celle-ci disposera réels pouvoirs coercitifs : avertissement, mesures contraignantes et amendes administratives[5]. Elle pourra également ester en justice afin d’appliquer les dispositions du Règlement. Cependant, si une réclamation est déclarée recevable et fondée, il restera toujours la difficulté de la faire exécuter en dehors de l’Union européenne.

En définitive, le Règlement apporte son lot de nouveautés et son application prochaine apparait comme une nécessité au vu du fait que la loi du 8 décembre 1992 est entrée en vigueur il y a plus de 25 ans. La technologie a évolué, et internet apparait désormais comme un réseau tentaculaire où nos données personnelles circulent librement. Leur protection est donc au cœur du débat et si le Règlement ne constitue pas une vraie révolution, il s’agit effectivement d’une belle évolution.

 

 

[1]  Egalement : ou en un lieu où la loi belge s'applique en vertu du droit international public.

[2] Article 3bis de la loi du 8 décembre 1992.

[3] Article 4, 16) du Règlement 2016/679.

[4] Article 3 du Règlement 2016/679.

[5] Article 58 du Règlement 2016/679.

warzee
Fabian Warzée
Avocat

Fabian Warzée est avocat au Barreau francophone de Bruxelles et exerce principalement en droit des sociétés et en droit commercial. Il traite également des questions relatives à la protection des données à caractère personnel, avec une demande accrue suite à l’arrivée du Règlement européen 2016/679.

 

  358