Un jugement de la Cour fédérale de justice a établi que la perte de contrôle sur ses données personnelles constitue un préjudice, renforçant ainsi les droits des utilisateurs. Suite à une fuite de données touchant 533 millions de comptes Facebook, un plaignant a demandé des dommages à Meta. La cour a reconnu cette perte de contrôle comme un motif légitime de réclamation, tandis que les victimes peuvent porter plainte jusqu’à la fin de l’année pour demander des réparations estimées à environ 100 euros.
Un jugement marquant pour tous ceux touchés par des violations de données en ligne : La simple perte de contrôle sur ses propres informations personnelles est désormais reconnue comme un préjudice. C’est la décision rendue aujourd’hui par la Cour fédérale de justice.
La Cour fédérale de justice (BGH) a renforcé les droits des utilisateurs face aux violations de données sur les grandes plateformes Internet dans un jugement fondamental. Dans ce cas, un utilisateur de Facebook, victime d’une fuite de données, a porté plainte en réclamant des dommages et intérêts à Meta, la société mère de Facebook, en raison de la protection insuffisante de ses données personnelles.
Cette décision fait suite à une importante fuite de données survenue en 2021, où des cybercriminels ont réussi à accéder aux informations personnelles de 533 millions d’utilisateurs à travers 106 pays. En Allemagne, environ six millions de personnes ont été touchées.
Récemment, un incident majeur de fuite de données a également été signalé chez l’une des agences de renseignement économique les plus importantes d’Allemagne.
Exploitation d’une fonctionnalité de Facebook comme point d’entrée
Les auteurs de la fuite ont utilisé une fonctionnalité spécifique de Facebook pour accéder aux données : en utilisant un ordinateur, ils ont généré des millions de numéros de téléphone et les ont téléchargés via des outils automatisés dans la fonction dite ‘d’importation de contacts’ de Facebook. Cette fonction, initialement conçue pour faciliter la recherche d’amis ou de proches sur la plateforme, permettait d’accéder même aux numéros définis comme ‘non publics’ dans les paramètres de confidentialité des utilisateurs.
Lorsque le numéro de téléphone téléchargé était associé à un profil Facebook, les auteurs pouvaient voir toutes les informations publiques du profil, telles que le nom, la date de naissance, le lieu de résidence et parfois même l’entreprise de l’utilisateur. Ces données ont été regroupées avec les numéros correspondants et publiées en ligne en 2021.
La méthode utilisée par les hackers est connue sous le nom de ‘scraping’, qui désigne la collecte de données accessibles au public. Contrairement au hacking, qui implique une intrusion dans un système, le scraping consiste à rassembler des informations disponibles sans autorisation. Ces données sont souvent revendues à des tiers.
La Cour de justice de l’Union européenne a déjà restreint la capacité de Meta à traiter les données personnelles des utilisateurs.
Facebook a-t-il suffisamment protégé les données ?
Dans le cadre de la procédure devant la Cour fédérale de justice (BGH), la question centrale était de savoir si Facebook aurait dû renforcer la protection des données des utilisateurs. La cour devait également déterminer si la simple perte de contrôle sur les données constitue un préjudice, ou si un dommage ne peut être prouvé que par des impacts tangibles, comme la crainte d’une utilisation abusive des données.
Meta a fait valoir devant le tribunal que les données récupérées étaient déjà accessibles publiquement et qu’il n’y avait pas eu de violation de son système. De plus, le plaignant n’a pas prouvé avoir subi de préjudice significatif. Bien qu’il ait mentionné avoir reçu plus d’appels indésirables après la fuite, il n’avait pas jugé nécessaire de changer de numéro.
La Cour fédérale de justice à Karlsruhe a statué différemment aujourd’hui. Elle a affirmé que la simple perte de contrôle sur les données constitue un préjudice, ouvrant ainsi la voie à des demandes de dommages et intérêts. Toutefois, l’affaire sera renvoyée à un tribunal inférieur pour examiner si des dommages et intérêts peuvent être exclus en raison de l’acceptation des conditions d’utilisation de Facebook par l’utilisateur.
Le centre de protection des consommateurs NRW a également mis en demeure Meta, la société mère de Facebook.
Possibilité de porter plainte jusqu’à la fin de l’année
L’avocat de Meta, Martin Mekat, a exprimé sa confiance quant à un résultat favorable pour la société. Il a déclaré après le jugement : ‘Meta considère que cette décision est incompatible avec la jurisprudence de la Cour de justice de l’Union européenne.’ Cependant, le BGH a une vision différente. Selon le droit de l’UE, les utilisateurs peuvent demander des dommages et intérêts simplement en cas de perte temporaire de contrôle sur leurs données. Il revient maintenant au tribunal inférieur de déterminer s’il y a lieu d’accorder des dommages et à quel montant.
Les victimes de cette fuite de données ont jusqu’à la fin de l’année pour porter plainte contre Meta et demander des réparations. Le BGH a estimé ce montant à environ 100 euros. Cette décision de principe pourrait également influencer d’autres plateformes de médias sociaux à l’avenir.