Suite à la décision du tribunal de Munich concernant les dommages et intérêts pour préjudice moral en raison de l'utilisation de Google Fonts sur un site web, on trouve désormais de plus en plus de lettres de menaces relatives à la protection des données. Les auteurs envoient une lettre aux responsables de la protection des données qui exploitent un site web avec des polices Google sans intégration locale, dans laquelle ils réclament des dommages et intérêts conformément au RGPD. Si la demande n'est pas suivie d'effet, l'auteur est prêt à réclamer le montant en justice.
Il n'est pas rare que les destinataires de ces lettres soient complètement dépassés par la situation. Vous découvrirez ici ce qui se cache réellement derrière de telles lettres et comment vous devez les traiter.
Base : jugement du tribunal de Munich
Le site Le tribunal de Munich a décidé il y a quelques mois cas suivant : un exploitant de site web utilisait des polices Google sans les héberger sur son propre serveur. De ce fait, l'adresse IP de tous les visiteurs du site web était transmise aux serveurs américains de Google. Cela n'était pas non plus couvert par un consentement correspondant des visiteurs du site web concernant un tel transfert vers un pays tiers. Il s'agissait là d'une violation du RGPD.
Le tribunal de grande instance de Munich a donné raison au plaignant dans sa demande de dommages et intérêts (article 82 du RGPD) et lui a accordé 100 € (AZ 3 O 17493). Le tribunal a notamment motivé sa décision par le fait que le plaignant avait perdu le contrôle de ses données personnelles.
Lettres de menaces relatives à la protection des données : contenu
Suite à ce jugement, de plus en plus d'exploitants de sites web qui utilisent Google Fonts sans l'intégrer localement reçoivent des lettres de menaces relatives à la protection des données. Dans ces lettres, l'auteur décrit généralement la situation en matière de protection des données et renvoie au jugement du tribunal de grande instance de Munich. L'auteur demande ensuite au responsable de lui verser également 100 € de dommages et intérêts. De manière subliminale, l'auteur menace ensuite de porter l'affaire devant les tribunaux dans le cas contraire.
Ce procédé ne semble pas être un cas isolé. Les lettres de menaces de ce type sont actuellement très nombreuses.
Procédure des auteurs
Le contenu de ces lettres de menaces relatives à la protection des données suggère que les auteurs veulent utiliser les dommages-intérêts liés à la protection des données comme source de revenus pour eux-mêmes. Ils semblent rechercher de manière ciblée des sites web qui utilisent des polices Google non intégrées localement. Ensuite, ils sauvegardent probablement les preuves correspondantes de la manière dont leur adresse IP est transmise lors de la visite du site web et contactent ensuite le responsable enregistré dans les mentions légales.
Évaluation de ces lettres de menaces du point de vue de la protection des données
Les destinataires de ces lettres de menaces relatives à la protection des données se voient confrontés à la grande question de savoir s'ils doivent réagir à de telles lettres par un paiement ou si la lettre n'est que "beaucoup de bruit pour rien".
En premier lieu, il convient de constater que la démarche des exploitants de sites web concernés constitue dans tous les cas une violation du RGPD. La seule question est de savoir comment les tribunaux se prononceraient et si le cas est effectivement similaire à celui dans lequel le tribunal de Munich a récemment statué.
Co-responsabilité de l'auteur des lettres de menaces
Même si la notion de dommage du RGPD est toujours controversée, on peut se demander, du moins dans ces cas, s'il y a faute partagée. Selon l'article 254 I du BGB (Code civil allemand), les dommages et intérêts doivent être réduits en fonction de la coresponsabilité si la victime est coresponsable de la survenue du dommage.
Dans le cas des lettres de menace, la personne potentiellement lésée a justement consulté les sites web parce qu'elle voulait enregistrer la transmission des données personnelles. Il a ainsi provoqué de sa propre initiative la survenance du dommage.
En outre, la victime a une obligation de réduire le dommage (§ 254 II BGB), qu'il viole également en agissant de la sorte. L'auteur a carrément provoqué la survenance du dommage.
Selon l'avis unanime, ces normes du droit national s'appliquent également au RGPD à titre complémentaire.
Compte tenu de ces faits, il semble très improbable que les auteurs de telles lettres obtiennent gain de cause dans une procédure judiciaire. La jurisprudence relative à l'article 82 du RGPD continue toutefois d'évoluer, de sorte qu'il n'est pas possible de procéder à une évaluation définitive.
Contrôle des données à caractère personnel
Le tribunal de Munich a précisément fondé sa décision sur le fait que le plaignant a perdu le contrôle de ses données à caractère personnel lorsqu'il a consulté le site web et que l'adresse IP a été transmise. Or, si le visiteur du site web consulte le site web précisément parce qu'il veut prouver cette transmission, il n'y a manifestement plus de perte de contrôle. On peut supposer que les tribunaux le reconnaîtront également.
Conclusion
Dans tous les cas, l'utilisation de Google Fonts sans intégration locale constitue une infraction au RGPD. Les lettres de menace visant à provoquer délibérément un préjudice en matière de protection des données ont sans doute peu de potentiel pour devenir un danger aigu.
Le véritable danger réside plutôt dans la conception du site web. Toute conception non conforme à la protection des données doit être immédiatement éliminée.
Vous avez besoin d'aide pour trouver et éliminer les violations de la protection des données, par exemple sur votre site web ? Notre équipe d'experts se fera un plaisir de vous aider !