Le tribunal de grande instance de Munich, dans son Jugement du 20.01.2022 a décidé que la transmission de l'adresse IP dynamique à Google en cas d'utilisation de Google Fonts sans le consentement de la personne concernée justifiait une demande de dommages et intérêts (en l'occurrence d'un montant de 100 €). L'intérêt légitime n'était pas suffisant en l'espèce.
Les faits
La défenderesse exploite un site web. Sur celui-ci, elle a utilisé Google Fonts de manière à ce que les adresses IP des visiteurs du site soient transmises à Google à chaque consultation du site. Aucun consentement n'a été demandé au visiteur pour cette transmission. En outre, l'utilisation de Google Fonts est également possible sans la communication de l'adresse IP à Google, comme la défenderesse a entre-temps adapté son site web.
Le plaignant est l'un des visiteurs du site web concernés, dont l'adresse IP a été transmise à Google à plusieurs reprises lors de la visite du site web. Il a donc intenté une action en cessation et en dommages-intérêts.
Le jugement
Le tribunal de grande instance de Munich a finalement condamné la défenderesse à une injonction, à la fourniture d'informations et au paiement de Dommages et intérêts (article 82 du RGPD) au demandeur. Si une affaire devait être signalée dans laquelle le défendeur s'opposerait à l'injonction, le tribunal lui infligerait une amende pouvant atteindre 250 000 €. Les dommages et intérêts à verser au demandeur ont été fixés à 100 €, plus les intérêts.
Le jugement constate une violation du droit général de la personnalité sous la forme du droit à l'autodétermination en matière d'information. Dans ce cadre, le tribunal a également dû examiner certaines questions pertinentes en matière de protection des données.
L'adresse IP dynamique en tant que donnée à caractère personnel
L'exploitant du site web a enregistré et transmis l'adresse IP dynamique de chaque visiteur. Selon le tribunal, cette adresse IP dynamique permet "d'identifier la personne concernée avec l'aide de tiers, à savoir l'autorité compétente et le fournisseur d'accès à Internet". Le tribunal s'est finalement basé sur cette possibilité d'identification abstraite de la personne. Le fait que l'exploitant du site web ou Google ait eu la possibilité concrète de déterminer la personne se trouvant derrière l'adresse IP est sans importance.
En conséquence, il s'agit pour l'exploitant du site web d'une donnée à caractère personnel au sens de l'article 4, point 1, du RGPD.
Justification du traitement des données à caractère personnel
Il n'y avait pas de consentement du visiteur du site web conformément à l'article 6 I, lettre a du RGPD.
On pourrait encore envisager un intérêt légitime de l'exploitant du site web au sens de l'article 6 I, lettre f du RGPD. Mais comme Google Fonts peut être utilisé sans connexion au serveur de Google à chaque consultation du site web, le tribunal rejette cette hypothèse.
Obligations du visiteur du site web ?
Le tribunal s'est également penché sur la question de savoir si le plaignant lui-même, en tant que visiteur du site, aurait dû crypter son adresse IP avant de le visiter (par exemple via un VPN). Dans ce contexte, le tribunal explique que l'objectif du droit de la protection des données est précisément de protéger "les personnes physiques lors du traitement de leurs données à caractère personnel contre toute atteinte". Si l'on obligeait la personne concernée à agir de la sorte, l'objectif du droit de la protection des données serait tout simplement inversé.
Détermination du préjudice conformément à l'article 82 I du RGPD
Le tribunal, se référant au considérant 146 p. 3 du RGPD, a fait appel à une interprétation large de la notion de dommage. Selon lui, les objectifs de sanction et de prévention doivent avant tout être pris en compte lors de la fixation.
Le tribunal n'a pas eu à se prononcer sur la problématique du seuil de pertinence par rapport à l'article 82 du RGPD, étant donné que la transmission de l'adresse IP a eu lieu plusieurs fois dans le cas présent et qu'il y a donc eu une perte de contrôle considérable du plaignant. Le fait que Google soit une entreprise américaine, qui ne peut pas garantir un niveau de protection des données adéquat dans ce pays, a également été pris en compte.
Le montant du préjudice (100 €) a été évalué en fonction de la gravité du contenu et de la durée de l'infraction.
Conclusion
Dans la pratique, les violations de la protection des données ne sont pas toujours évidentes. Toute communication de l'adresse IP des visiteurs d'un site web constitue un traitement de données à caractère personnel qui doit être justifié.
Compte tenu de la grande diffusion des fonds Google, cette vulnérabilité en matière de protection des données concerne une quantité énorme de sites web.
Laissez nos experts vous montrer comment rendre votre site web et d'autres services conformes à la protection des données !