Dans un contexte où les violations de la protection des données personnelles se multiplient, l’Autorité italienne de protection des données (Garante per la protezione dei dati personali) continue d’imposer des sanctions rigoureuses pour faire respecter le RGPD. Ces décisions récentes mettent en lumière des manquements graves dans les domaines du travail et du marketing, soulignant l’impératif de bases juridiques solides et de mesures proportionnées. Un aspect clé émerge : l’utilisation de l’Open Source Intelligence (OSINT), qui désigne la collecte et l’analyse d’informations publiques ou accessibles en ligne (comme sur les réseaux sociaux), sans méthodes clandestines. Bien que légitime dans certains cas, l’OSINT doit respecter le RGPD dès qu’il implique des données personnelles. Parallèlement, le sommet G7 Privacy d’Ottawa marque une avancée dans la coopération internationale. Analyse de ces cas emblématiques, avec un focus sur les mécanismes en jeu, les erreurs à éviter et les parallèles en France, où la CNIL applique des sanctions similaires pour des violations analogues.
Utilisation Illégale de Données Privées pour Justifier un Licenciement : Amende de 420 000 Euros à Autostrade per l’Italia Spa
Le Garante Privacy a infligé une sanction administrative pécuniaire de 420 000 euros à Autostrade per l’Italia Spa, l’un des principaux opérateurs autoroutiers italiens, pour un traitement illicite de données personnelles d’une salariée. Cette affaire, initiée par un reclamo (plainte) de l’intéressée, révèle comment des contenus extraits de profils Facebook et de conversations privées sur Messenger et WhatsApp ont été exploités pour motiver des procédures disciplinaires aboutissant à un licenciement.
Comment cela s’est passé : L’entreprise a recouru à des pratiques d’OSINT en collectant des captures d’écran fournies par des collègues et un tiers (amis de la salariée sur les réseaux), incluant des extraits de commentaires et des descriptions de photos. Ces données, issues de sources « ouvertes » mais à accès restreint, ont été analysées et utilisées sans base juridique valide, transformant une intelligence open source en violation de privacy.
Ce qu’il ne faut pas faire : Éviter de collecter via OSINT des données personnelles de réseaux sociaux sans base légale explicite (comme un intérêt légitime justifié et proportionné), surtout pour des fins disciplinaires. Ne pas ignorer le caractère privé des échanges, même en ligne, et s’abstenir d’utiliser des informations hors contexte professionnel pour évaluer un salarié. Cela contrevient aux principes de licéité (article 5(1)(a)), finalité (article 5(1)(b)) et minimisation des données (article 5(1)(c)) du RGPD. Comme l’a rappelé l’Autorité, les données accessibles en ligne ne sont pas librement exploitables.
En France, une telle pratique pourrait mener à des sanctions par la CNIL, qui a déjà prononcé des amendes pour aspiration illicite de données sur réseaux sociaux et non-respect des droits des personnes, avec des motifs incluant la collecte déloyale et le défaut de mise à jour. Des cas similaires d’utilisation abusive pour licenciement exposent à des risques cumulés avec le droit du travail, potentiellement jusqu’à 240 000 euros pour constitution de bases de données via OSINT non conforme.
Interdiction des Données Biométriques pour la Détection des Présences : Sanction de 4 000 Euros à un Institut Scolaire
Dans le secteur public, le Garante a sanctionné un institut d’enseignement supérieur de Tropea (Calabre) pour 4 000 euros, en raison de l’emploi d’un système de reconnaissance biométrique basé sur les empreintes digitales. Destiné à vérifier les présences du personnel administratif et à prévenir les actes de vandalisme, ce dispositif n’était activé que pour les employés consentants, évitant les méthodes traditionnelles comme les badges ou les signatures.
Comment cela s’est passé : Ce cas implique un traitement de données sensibles collectées en interne, sans norme spécifique justifiant son usage systématique. Le consentement, vicié par l’asymétrie employeur-employé, n’a pas suffi comme base légale.
Ce qu’il ne faut pas faire : Ne pas déployer de systèmes biométriques pour des fins courantes comme la détection de présences sans une base juridique solide (comme une obligation légale ou intérêt public proportionné), et éviter de s’appuyer sur un consentement potentiellement non libre. Réaffirmant un avis de 2019, l’Autorité a jugé ce traitement disproportionné et invasif, en l’absence d’une norme protégeant les droits des travailleurs, violant l’article 9 du RGPD sur les données sensibles.
En France, la CNIL sanctionne régulièrement de tels dispositifs, avec des amendes pour traitements biométriques illégaux au travail, comme une sanction de 10 000 euros pour un usage disproportionné dans le contrôle des horaires. Les règles strictes sur le contrôle d’accès biométrique imposent des formalités préalables, sous peine de sanctions pénales et administratives.
Manquements en Marketing Numérique : 45 000 Euros d’Amende à un Revendeur d’Automobiles en Ligne
Le marketing direct reste un terrain miné pour le RGPD, comme l’illustre la sanction de 45 000 euros infligée à un revendeur d’automobiles en ligne. À l’origine : un reclamo d’un client excédé par des e-mails promotionnels non sollicités, envoyés via des partenaires tiers, sans réponse aux demandes d’exercice de droits (opposition au traitement, article 21 du RGPD).
Comment cela s’est passé : Les enquêtes ont révélé une chaîne de responsabilité défaillante, avec des partenaires traitant des données sans contrôle. Cela pourrait impliquer des collectes indirectes de données publiques (comme via scraping ou OSINT pour enrichir des bases), sans vérification de consents, menant à des envois massifs illicites.
Ce qu’il ne faut pas faire : Ne pas déléguer des traitements à des partenaires sans contrats encadrés (article 28 du RGPD) ni vérifier les consents (article 7), et éviter d’ignorer les oppositions en raison d’une mauvaise gestion des rôles. Le Garante recommande des mécanismes comme le double opt-in pour valider les inscriptions, minimisant les risques de spam et renforçant l’accountability (article 5(2)).
En France, la CNIL inflige fréquemment des sanctions pour prospection commerciale sans consentement préalable, avec des amendes jusqu’à 900 000 euros pour des courtiers en données transmettant des informations à des partenaires sans base légale. Des violations incluent le défaut d’information et le non-respect du droit d’opposition, souvent cumulées avec des injonctions.