Correction cas pratique n°1

Résumé des faits

La société Google dont le siège social est en Californie, n’a pas fait suite à la demande de Michel survenue en avril 2020 de suppression de ses données à caractère personnel. Michel semble vivre en France et être ressortissant européen.

De plus, Michel souhaitant adhérer à un programme de fidélité dans un magasin, n’a pas su identifier l’exploitation qui sera faite des informations personnelles qui lui ont été demandées lors de son adhésion à ce programme.

Problème de droit

Dès lors, il s’agira en l’espèce de répondre à la question suivante : Les données de Michel ont-elles été protégées conformément aux dispositions prévues par le RGPD entré en application en mai 2018 ?

Nous verrons dans un premier temps que Google est tenu de supprimer les données personnelles de Michel (I), puis dans un second temps que RGPD est applicable aux programmes de fidélités (II)

1. L’obligation de suppression des données personnelles de Michel par la société Google
2. L’application du RGPD

• Définition du RGPD et quelques généralités à donner en préambule.
  • Qu’est-ce que le RGPD
  • Date d’adoption du règlement + entrée en vigueur

RGPD texte adopté en 2016. Date d’entrée en vigueur du RGPD par les entreprises le 25 mai 2018.

• Le RGPD s’applique aux pays membres de l’Union européenne
  • Application aux entreprises qui siègent en Europe
  • Application du RGPD aux ressortissants européens
• Article 3 du RGPD relatif au champ territorial.

• Droit à l’effacement ou droit à l’oubli (le définir): Les entreprises soumises au RGPD ont l’obligation d’effacer les données enregistrées lorsqu’une personne concernée en fait la demande. Obligation prévue par l’article 17 du RGPD.

En l’espèce :

• Google a son siège social en Californie
• Michel semble résidé en France donc citoyen européen.
• Michel a exprimé son souhait de faire supprimer ses données personnelles en avril 2020 : RGPD applicable à cette date.

Par conséquent, Google n’a pas respecté le RGPD.

1. Les sanctions encourues par Google

Chapitre 8 du RGPD sur les voies de recours

• Article 77 du RGPD: Réclamation de Michel auprès de la CNIL possible
• Article 78 du RGPD: Droit à un recours juridictionnel
• Sanctions possibles :
  • Avertissement
  • Sanction pécuniaire de 4% du CA
  • Dommages intérêts

En l’espèce, il ne semble pas y avoir de préjudice pour Michel, cependant il peut tout à fait réaliser une réclamation auprès de l’autorité de contrôle : La CNIL. Le recours juridictionnel ne semble pas opportun pour Michel dans la mesure où il n’a subi aucun préjudice à date.

1. L’application du RGPD aux programmes de fidélité

Champ d’application large du RGPD. En effet, le RGPD s’applique aux programmes de fidélité dans la mesure où il concerne « le traitement de données à caractère personnel, automatisé en tout ou partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

• Le formulaire d’adhésion complété par Michel est donc concerné par le RGPD.
  • Le magasin afin d’être en conformité avec le RGPD doit identifier le traitement des données qu’il fait.
  • Le magasin doit respecter le principe de transparence : Article 12 du RGPD + Article 13 (informations à fournir). Ce principe implique différentes choses, notamment mettre à disposition les informations permettant de comprendre ce qui sera fait des données.

En l’espèce, Michel n’a trouvé aucune information sur ce qu’il sera fait de ses données après avoir complété le formulaire.

Par conséquent, le magasin à l’obligation de répondre aux interrogations de Michel.

En somme, ni Google, ni le magasin dans lequel s’est rendu Michel n’a respecté le RGPD.