Suite à la décision du tribunal de Munich concernant les dommages et intérêts pour préjudice moral en raison de l'utilisation de Google Fonts sur un site web, on trouve désormais de plus en plus de lettres de menaces relatives à la protection des données. Les auteurs envoient une lettre aux responsables de la protection des données qui exploitent un site web avec des polices Google sans intégration locale, dans laquelle ils réclament des dommages et intérêts conformément au RGPD. Si la demande n'est pas suivie d'effet, l'auteur est prêt à réclamer le montant en justice.
Il n'est pas rare que les destinataires de ces lettres soient complètement dépassés par la situation. Vous découvrirez ici ce qui se cache réellement derrière de telles lettres et comment vous devez les traiter.
Base : jugement du tribunal de Munich
Le site Le tribunal de Munich a décidé il y a quelques mois cas suivant : un exploitant de site web utilisait des polices Google sans les héberger sur son propre serveur. De ce fait, l'adresse IP de tous les visiteurs du site web était transmise aux serveurs américains de Google. Cela n'était pas non plus couvert par un consentement correspondant des visiteurs du site web concernant un tel transfert vers un pays tiers. Il s'agissait là d'une violation du RGPD.
Le tribunal de grande instance de Munich a donné raison au plaignant dans sa demande de dommages et intérêts (article 82 du RGPD) et lui a accordé 100 € (AZ 3 O 17493). Le tribunal a notamment motivé sa décision par le fait que le plaignant avait perdu le contrôle de ses données personnelles perdu.
Lettres de menaces relatives à la protection des données : contenu
Suite à cet arrêt, de plus en plus d'exploitants de sites web qui Utiliser les polices Google non intégrées localement, des lettres de menaces relatives à la protection des données. Dans ces lettres, l'auteur décrit généralement la situation en matière de protection des données et renvoie au jugement du tribunal de Munich. Ensuite, l'auteur demande au responsable de lui verser également 100 € de dommages et intérêts. De manière subliminale, l'auteur menace ensuite de porter l'affaire devant les tribunaux dans le cas contraire.
Ce procédé ne semble pas être un cas isolé. Les lettres de menaces de ce type sont actuellement très nombreuses.
Procédure des auteurs
Le contenu de ces lettres de menace en matière de protection des données laisse à penser que leurs auteurs ont voulu faire passer le message. les dommages et intérêts liés à la protection des données comme source de revenus pour eux-mêmes. Ils semblent rechercher de manière ciblée des sites web qui utilisent des polices Google non intégrées localement. Ensuite, ils sauvegardent probablement les preuves correspondantes de la manière dont leur adresse IP est transmise lors de la visite du site web et contactent ensuite le responsable indiqué dans les mentions légales.
Évaluation de ces lettres de menaces du point de vue de la protection des données
Les destinataires de ces lettres de menaces relatives à la protection des données se voient confrontés à la grande question de savoir s'ils doivent réagir à de telles lettres par un paiement ou si la lettre n'est que "beaucoup de bruit pour rien".
En premier lieu, il convient de constater que la démarche des exploitants de sites web concernés constitue dans tous les cas une violation du RGPD. La seule question est de savoir comment les tribunaux se prononceraient et si le cas est effectivement similaire à celui dans lequel le tribunal de Munich a récemment statué.
Co-responsabilité de l'auteur des lettres de menaces
Même si la notion de dommage du RGPD est toujours controversée, on peut se demander, du moins dans ces cas, s'il y a faute partagée. Selon l'article 254 I du BGB (Code civil allemand), les dommages et intérêts doivent être réduits en fonction de la coresponsabilité si la victime est coresponsable de la survenue du dommage.
Dans le cas des lettres de menace, la personne potentiellement lésée a justement consulté les sites parce qu'elle souhaitait la transmission de la données personnelles voulait enregistrer. Il a ainsi provoqué la survenance du dommage de sa propre responsabilité.
En outre, la victime a une obligation de réduire le dommage (§ 254 II BGB), qu'il viole également en agissant de la sorte. L'auteur a carrément provoqué la survenance du dommage.
Selon l'avis unanime, ces normes du droit national s'appliquent également au RGPD à titre complémentaire.
Compte tenu de ces faits, il semble très improbable que les auteurs de telles lettres obtiennent gain de cause dans une procédure judiciaire. La jurisprudence relative à l'article 82 du RGPD continue toutefois d'évoluer, de sorte qu'il n'est pas possible de procéder à une évaluation définitive.
Contrôle des données à caractère personnel
Le LG de Munich a précisément fondé sa décision sur le fait que le plaignant avait le contrôle de ses données personnelles lorsqu'il a consulté le site et que l'adresse IP a été transmise. Mais si le visiteur du site web consulte justement le site web parce qu'il veut prouver cette transmission, il n'y a manifestement plus de perte de contrôle. On peut supposer que le tribunal le reconnaîtrait également.
Conclusion
Dans tous les cas, l'utilisation de Google Fonts sans intégration locale constitue une infraction au RGPD. Les lettres de menace visant à provoquer délibérément un préjudice en matière de protection des données ont sans doute peu de potentiel pour devenir un danger aigu.
Le véritable danger réside plutôt dans la conception du site web. Toute conception non conforme à la protection des données doit être immédiatement éliminée.
Vous avez besoin d'aide pour trouver et éliminer les violations de la protection des données, par exemple sur votre site web ? Notre équipe d'experts se fera un plaisir de vous aider !
Français 
Deutsch 
English 
Español 
Polski