Les tribunaux se rangent du côté de grandes entreprises, dont Amazon et Experian, dans le cadre d’appels en matière de confidentialité

Les entreprises ont fait appel des décisions du RGPD depuis l’entrée en vigueur de la loi expansive sur la protection de la vie privée en 2018 dans le but de lutter contre les atteintes à la réputation et les lourdes amendes, qui peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial d’une entreprise, ou 20 millions d’euros, selon le montant le plus élevé. Désormais, les entreprises voient des modèles commerciaux entiers en jeu. Meta Platforms Inc., par exemple, a déclaré qu’elle faisait appel des amendes de 390 millions d’euros, soit 414 millions de dollars, infligées en Irlande en janvier pour les pratiques de la société de médias sociaux consistant à cibler les utilisateurs d’Instagram et de Facebook avec des publicités.

“Nous commençons à voir la ligne d’horizon des entreprises qui commencent à choisir leurs batailles et à consacrer du temps et des efforts aux appels qu’elles pensent pouvoir gagner et qui auraient un effet sur leurs modèles commerciaux”, a déclaré Edward Machin, avocat au Bureau londonien du cabinet d’avocats Ropes & Gray LLP.

Les appels des décisions majeures du RGPD montrent une quantité importante de “zone grise” où les avocats de la protection de la vie privée, les régulateurs et les tribunaux sont en désaccord sur ce que la loi autorise, a déclaré Flora Egea Torrón, associée du cabinet d’avocats espagnol Legal Army SL et ancienne responsable de la protection des données chez Banco. Bilbao Vizcaya Argentaria SA. BBVA est une société multinationale de services financiers.

“Il y a encore tellement de place pour interpréter le RGPD, c’est pourquoi [companies] doivent lutter contre les décisions » des régulateurs, a-t-elle déclaré.

Un tribunal espagnol a annulé une amende de 5 millions d’euros en 2020 contre BBVA liée à de multiples plaintes de la banque traitant des données personnelles sans consentement. La décision du tribunal, rendue fin décembre et rendue publique cette année, a déclaré que le régulateur espagnol avait fait un large argument sur la politique de protection des données de la banque sans suffisamment de preuves.

Mme Torrón a déclaré qu’elle était au courant de l’appel alors qu’elle travaillait au BBVA, mais qu’elle n’était pas impliquée en tant qu’avocate extérieure après avoir rejoint Legal Army en février. Le régulateur a déclaré qu’il envisageait de faire appel. BBVA a refusé de commenter.

Un tribunal italien a annulé le mois dernier une amende de 26,5 millions d’euros de 2021 contre le service public Enel Energia pour des appels marketing non sollicités – une décision qui, selon la société, “confirme la justesse” de son comportement. Le régulateur italien s’est refusé à tout commentaire.

Le mois dernier, un tribunal britannique s’est largement rangé du côté de la société de notation de crédit irlandaise Experian dans son appel d’une décision de 2020 prise par le régulateur britannique de la confidentialité qui aurait restreint la façon dont il traite les données provenant de sources publiques.

Le tribunal a déclaré que la collecte de données d’Experian peut reposer sur un intérêt légitime, un terme juridique du RGPD permettant aux entreprises de collecter des données personnelles sans demander de consentement explicite, à des fins de marketing direct. Le tribunal a rejeté l’argument du régulateur selon lequel la collecte de données personnelles pour créer des profils à des fins de marketing porte atteinte au droit à la vie privée. Le tribunal a déclaré que le régulateur avait “fondamentalement mal compris” les implications de la façon dont Experian utilisait les données, et qu’il n’y avait aucun effet négatif pour les individus. L’organisme britannique de protection de la vie privée demandera l’autorisation de faire appel de la décision, a déclaré une porte-parole du régulateur.

Le tribunal n’a pas complètement exonéré Experian, convenant avec le régulateur que la société n’avait pas correctement informé environ cinq millions de personnes de la manière dont elle avait acquis leurs données à partir de documents publics. Experian doit émettre ces notifications dans un délai d’un an.

Experian a déclaré dans un communiqué qu’il était “très satisfait du résultat”.

Amazon a obtenu gain de cause lorsqu’un tribunal s’est rangé le mois dernier contre le régulateur de la protection des données de l’État allemand de Basse-Saxe, qui a statué en 2020 que l’utilisation par l’entreprise de scanners manuels pour surveiller les performances des employés dans un entrepôt était illégale. Il n’y avait pas d’amende. Le régulateur a déclaré dans un communiqué après que le tribunal a annulé sa décision que les législateurs devaient créer de nouvelles protections.

Un porte-parole d’Amazon a déclaré que la société était “satisfaite” de la décision. « Les systèmes de gestion d’entrepôt sont la norme de l’industrie, et la recherche montre que ces systèmes ont un effet positif sur l’expérience de travail des employés », a-t-il déclaré.

Ces récentes victoires encourageront probablement d’autres entreprises à faire appel des violations du GDPR, a déclaré M. Machin de Ropes & Gray.

“Il y a un élément stratégique ici car les entreprises apprennent, tout comme les régulateurs apprennent, ce qui peut fonctionner, ce qui ne peut pas fonctionner et ce qu’ils pensent peut être contesté”, a-t-il déclaré.

Écrivez à Catherine Stupp à [email protected]