Quel est l’impact de la faillite sur les données personnelles ?

Publié le 03/06/2019 par Etienne Wery , Thierry Léonard

L’affaire Cambridge Analytica aura au moins permis de faire progresser le droit : un tribunal anglais estime que l’administrateur d’une société n’est pas, en règle, coresponsable de traitement avec la société dont il a la charge, et que la liquidation n’y change rien.

Cambridge Analytica ?

L’affaire Cambridge Analytica (autrement appelée affaire Facebook) fut, en 2018, un scandale mondial.

La firme avait mis en place un questionnaire psychologique d’apparence anodine. Comme elle était un partenaire agréé par Facebook, elle a pu proposer ce questionnaire aux utilisateurs du réseau social.

En réalité, l’application de Cambridge Analytica poursuivait une autre visée :

• elle récupérait les données Facebook de toute personne répondant au questionnaire ;
• elle récupérait également au passage, les données Facebook des amis de la personne répondant au questionnaire.

Cela a permis à Cambridge Analytica de récupérer les données de 87 millions d’utilisateurs alors que 270.000 personnes (seulement) ont répondu au questionnaire. C’est un rapport moyen de 1 à 322, c’est-à-dire que pour 1 personne répondant au questionnaire, l’application a accédé en moyenne aux données de 321 autres personnes (les « amis » de celui participant au sondage).

Cambridge Analytica disposait par ailleurs d’autres bases de données ou d’autre sources d’informations. Elle a agrégé toutes les données sur le modèle du big data, ce qui lui a permis de dresser un profil individuel de chaque personne. En d’autres termes, elle a converti des données brutes dont elle disposait en quantité, en un profilage des personnes concernées (voir la méthode ci-dessous).

Ce profilage a notamment été utilisé dans le cadre des élections américaines par le staff de campagne de Donald Trump.

C’est un lanceur d’alerte, ex-employé de la société, qui a révélé et dénoncé le système.

Nous avons consacré une analyse sur cette affaire; nous y renvoyons le lecteur qui souhaite en apprendre plus.

La liquidation

Le scandale ayant pris des proportions mondiales, les entreprises du groupe ont connu de grosses difficultés financières. Elles ont fait face à plusieurs plaintes de personnes lésées, et divers procureurs ont ouvert des enquêtes pénales et ont saisi le parc informatique.

Tout ceci a abouti à une procédure de liquidation frappant toutes les entreprises du groupe. Cette procédure est initiée par les anciens administrateurs, qui demandent à être nommés liquidateurs.

Un créancier intervient et s’oppose à la nomination des anciens administrateurs en tant que liquidateurs. Un de ses arguments porte sur les données personnelles : les administrateurs ayant massivement violé les obligations découlant des lois sur la protection des données (notamment l’égard dudit créancier), il n’est pas acceptable de les voir jouer ensuite un rôle de liquidateur.

Derrière cette question s’en profile un autre, et c’est bien à celle-là que le juge répond en premier : quel est le rôle d’un administrateur vis-à-vis des données personnelles ? Est-il le coresponsable du traitement, ensemble avec la société dont il a la charge ? Et en cas de liquidation ou autre procédure collective, son rôle est-il affecté ?

Administrateur mais pas responsable de traitement

Pays de common law oblige, le juge commence par un rappel de la jurisprudence existante : « It was established in Re Southern Pacific Personal Loans Ltd [2014] Ch 426 that where a company holds and processes data then it is the company  alone  (and  not  the  company  and  its  directors  together)  which  is  the  data controller; and the fact that the company becomes subject to an insolvency process does not of itself  make the office holder a “data controller” »

Certes, l’administrateur peut devenir exceptionnellement un responsable de traitement mais uniquement dans le cas où il apparait, des circonstances de l’espèce, qu’il a pris des décisions en cette qualité : « The office holder will only become a “data controller” if he takes  decisions  about  the  processing  of  the  data  as principal  in  his  capacity  as  liquidator  (or  administrator)  rather  than  as  agent  of  the company. Accordingly“[office holders] are not personally responsible for compliance with the provisions of the DPA in respect of the data processed by the company (…) ». Un cas typique serait la vente par le liquidateur, dans le cadre de la réalisation des actifs, d’une base de données comportant des données personnelles.

Le juge ne voit donc aucune raison de reprocher aux administrateurs des violations qui, si elles sont établies, impliqueraient la responsabilité du responsable de traitement, c’est-à-dire les sociétés. Certes, la responsabilité des administrateurs peut être recherchée sur d’autres bases juridiques, mais pas en leur qualité alléguée de responsable ou coresponsable de traitement.

Liquidateur mais pas responsable de traitement

Intéressant aussi est le passage dans lequel le juge refuse de reprocher aux administrateurs devenus liquidateurs après la procédure collective, d’avoir fait preuve de passivité à l’égard des personnes physiques qui ont exercé leurs droits (d’accès notamment).

Pour le juge, dans la mesure où les administrateurs ne sont pas responsables de traitement et puisque ledit responsable de traitement est frappé par une procédure collective ayant abouti à l’arrêt total de ses activités, il n’y a pas de raison que les administrateurs devenus entretemps liquidateurs doivent prendre le relais à titre personnel et faire suite aux demandes individuelles d’exercice des droits.

Le juge rappelle que la mission principale d’un liquidateur judiciaire est de réaliser les actifs dans le respect de la loi, de défendre les intérêts de la masse et de veiller à la protection des intérêts des créanciers. Ils ne sont pas là pour se substituer en tant que responsable de traitement à la société qui a cessé ses activités.

« In my judgment the Joint Administrators were not guilty of misconduct in relation to the Enforcement Notice (although they did not appreciate the legal niceties of a novel situation in a developing area of the law). Their judgment that the costs of compliance with the Enforcement Notice were disproportionate is not demonstrated to be wrong. Attempts at compliance would have involved incurring costs that would have ranked as an  expense  of  the  administration:  non-compliance  has  resulted  in  some  costs  (taking advice  on  the  summons)  and  in  an  additional  unsecured  claim.  There  is  no  evidence that the latter situation is more burdensome to creditors than the former. In truth, Prof. Carroll’s  complaints  do  not  touch  upon  his  interests as  creditor.  They  are,  as correspondence from his solicitors makes clear, grounded upon his desire for his own data and to advance his view of the public interest. The administration was not being run  with  a  view  to  providing  Prof.  Carroll  with  his  data,  or  to  satisfy  his  academic curiosity,  or  to  promote  his  campaign.  It  had  altogether  more  prosaic  objectives focussing on the rights and interests of all creditors. »

L’impact d’une faillite sur le droit des données personnelle est une question rarement débattue.

Ce jugement apporte une intéressante pierre à un édifice qui, comme le juge l’admet lui-même en toute modestie, est encore en pleine construction.

Plus d’infos ?

En lisant le jugement, disponible en annexe.