Un coup de tonnerre vient de retentir dans le monde des géants du web. La Cour fédérale de justice allemande a rendu ce lundi un arrêt lourd de conséquences à l’encontre de Meta, maison mère de Facebook. Les juges ont estimé que le réseau social était bel et bien responsable de « préjudice moral » envers les utilisateurs touchés par une vaste fuite de données remontant à 2021. Un revers cuisant pour le groupe américain, qui pourrait ouvrir la voie à des milliers de recours.
533 millions de victimes dans le monde
Revenons sur les faits. En 2021, une méthode de « scraping » avait permis à des individus malveillants de collecter les données personnelles de plus de 533 millions d’utilisateurs Facebook dans 106 pays : numéros de téléphone, identités, lieux de travail… Avant de les diffuser en masse sur Internet. Rien que pour l’Allemagne, près de 6 millions de comptes auraient été concernés selon la presse locale.
Facebook s’était alors défendu en assurant que ces données avaient été récupérées à son insu en 2019, via une faille de sécurité depuis colmatée. Mais ces explications n’ont pas suffi à convaincre la justice allemande. La plus haute instance du pays a en effet jugé que la simple perte de contrôle des données personnelles, consécutive à une violation du RGPD, constituait un « préjudice moral » devant être réparé.
« Il n’est pas nécessaire qu’il y ait eu une utilisation abusive »
Un internaute allemand, dont la plainte initiale avait été rejetée, réclamait 1000 euros à Facebook au motif que le réseau n’avait pas pris de « mesures de sécurité suffisantes ». Son recours a finalement été validé en partie par la Cour fédérale de Karlsruhe. Fait notable, les juges ont précisé qu’« il n’est pas nécessaire […] qu’il y ait eu une utilisation abusive concrète de ces données » pour qu’il y ait préjudice, évalué à « un ordre de grandeur de 100 euros » par victime.
Cette décision sera déterminante pour des milliers d’autres cas devant les tribunaux allemands
Commentaire d’une source judiciaire
Meta conteste mais s’expose à une vague de plaintes
Si l’affaire a été renvoyée devant la Cour d’appel de Cologne pour un dernier examen, la position de la haute cour laisse peu de place au doute. Meta a bien tenté de contester, se disant « convaincu » d’obtenir gain de cause et jugeant que les dommages-intérêts réclamés ne seraient « pas conformes aux récents arrêts de la Cour de justice de l’UE ». Mais le géant américain, déjà condamné à de lourdes amendes en Europe pour manquement à la protection des données, semble cette fois acculé.
Comme le souligne une source judiciaire, cette décision « sera déterminante pour des milliers d’autres cas » outre-Rhin. Meta fait en effet déjà face à quelque 6000 procédures similaires rien qu’en Allemagne, où ces nouvelles conclusions devraient fortement inciter les plaignants à aller jusqu’au bout. Et ce n’est qu’un début, au vu de l’ampleur mondiale de cette fuite sans précédent.
Un arrêt qui fera date
Au-delà du cas Facebook, cet arrêt majeur de la justice allemande pourrait faire jurisprudence et changer durablement la donne en matière de protection des données en ligne. En reconnaissant qu’une fuite massive peut causer un préjudice en soi, même sans exploitation malveillante avérée des informations dérobées, la Cour fédérale place résolument la responsabilité du côté des plateformes.
Un avertissement sans frais pour les géants du web, dont les failles de sécurité sont régulièrement pointées du doigt. Et une victoire pour les défenseurs de la vie privée, qui y voient un levier précieux pour renforcer les droits des utilisateurs face aux dérives du tout-numérique. Reste à savoir si cette décision pionnière fera des émules dans d’autres pays européens, où les enjeux de souveraineté des données sont plus que jamais d’actualité.