La cour de cassation, dans un arrêt du 4 octobre 2011, a jugé qu’un contrat de location de matériel informatique qui ne respectait pas la loi informatique et libertés devait être annulé. La cour d’appel de Paris, dans un précédent arrêt du 23 février 2011, avait annulé trois contrats de location de matériel avec maintenance car ils n’étaient pas conformes à la loi informatique et libertés.
Dans ces affaires, la société Easydentic, (devenue aujourd’hui Safetic), avait conclu avec ses clientes des contrats de location et de maintenance de systèmes d’accès sécurisés. Le contrôle était basé sur un dispositif biométrique, en l’occurrence un fichier centralisé d’empreintes digitales.
La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Ces caractéristiques permettent l’identification des individus et sont donc les dispositifs de reconnaissance biométrique sont soumis par la loi à l’autorisation préalable de la CNIL.
La société Easydentic a délibérément fourni des dispositifs biométriques de contrôle d’accès non conformes à la loi informatique et libertés, car ils étaient basés sur le contrôle des empreintes digitales. D’après les arrêts de la cour d’appel de Paris, elle avait même interdit à ses commerciaux de contacter la CNIL. Elle comptait ainsi éviter que la vente de ses matériels soit remise en question.En effet, la CNIL autorise la mise en place de certains systèmes, notamment ceux basés sur la reconnaissance du contour de la main ou du réseau veineux des doigts.
Le problème des systèmes basés sur la reconnaissance des empreintes digitales est que ces technologies laissent des traces susceptibles d’être utilisées à des fins inappropriées.
La cour d’appel de Paris a donc retenu que les contrats conclus par la société Easydentic devaient être annulés. La cour de cassation a posé que le contrat de location, qui portait sur un système de contrôle non autorisé par la CNIL, était nul pour objet illicite.
En résumé, il appartient donc à celui qui vend un système qui peut être utilisé pour traiter des données nominatives de vérifier que ce système est conforme à la loi informatique et libertés. Et le client mécontent peut se servir d’une non-conformité à cette loi pour obtenir la nullité du contrat…
On savait que la violation de la loi informatique et libertés pouvait causer plusieurs sanctions :
– pénales (c’est rare),
– pécuniaires (de la part de la CNIL, c’est de plus en plus fréquent),
– en matière de droit du travail (si votre système de contrôle d’accès n’est pas bien déclaré, vous ne pouvez pas licencier sur cette base, voir Cour de cassation 6 avril 2004),
– et maintenant en matière contractuelle…
lien vers communiqué de la CNIL.
La date de publication de cet article est : 31/10/2011 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.