IKEA France, le procès d’une surveillance à échelle industrielle par la collecte illicite de données à caractère personnel

Après 8 ans d’enquête, quinze dirigeants de Ikea France – et notamment son Directeur de la sécurité – ont fait l’objet d’une ordonnance de renvoi devant le tribunal correctionnel de Versailles pour « collecte de données à caractère personnel dans un fichier par un moyen frauduleux », « détournement de la finalité d’un traitement de données à caractère personnel », « divulgation illégale volontaire de données à caractère personnel », « violation du secret professionnel ». La particularité de ce procès qui s’est ouvert en mars 2021 est l’importance accordée à la protection des données personnelles au vu des faits rapportés.

Débuté le 22 mars 2021 devant le tribunal correctionnel de Versailles, le procès contre le géant suédois de l’ameublement aura duré deux semaines et s’est achevé le 1^er avril 2021 par les plaidoiries du défendeur. Le délibéré est attendu pour le 15 juin 2021.

En substance, Ikea est accusée d’avoir mis en place un système illégal de surveillance généralisée de ses employés, de candidats, et de clients entre 2009 et 2012. Ikea aurait ainsi eu recours à une société d’investigations privées pour obtenir des informations sur les antécédents judiciaires ou le patrimoine de ses employés. La société d’investigations aurait notamment eu accès à des fichiers de police pour remplir sa mission.

Par son ordonnance, le juge d’instruction a renvoyé ces 15 dirigeants devant le tribunal correctionnel de Versailles pour pas moins de 81 chefs d’accusation et notamment la « collecte de données à caractère personnel, par un moyen frauduleux, déloyal ou illicite » et le détournement de finalité.

Au vu des faits allégués, la problématique des données personnelles a été au centre des débats. Cette affaire rappelle ce qui est interdit en matière de traitement de données personnelles.

Ainsi nous pouvons relever :

• Au niveau de l’information : les personnes concernées – c’est-à-dire les salariés d’Ikea, des clients, des candidats à l’embauche – n’ont pas été correctement informées sur ce traitement de leurs données personnelles. La collecte en elle-même apparaît donc bien illicite au sens de la réglementation applicable à la protection des données personnelles.
• S’agissant de la minimisation, la question se pose de savoir si les données traitées, donc les données concernant des informations financières ou des condamnations, étaient effectivement nécessaires au traitement envisagé.
• Par ailleurs, un tel traitement, qui porte nécessairement atteinte aux droits des personnes concernées, devrait faire l’objet d’une analyse d’impact préalable.

Mais en réalité, les débats qui ont animé pendant deux semaines le tribunal correctionnel de Versailles se sont concentrés sur la connaissance des dirigeants d’Ikea de ce système de surveillance et ont survolé la question du respect de la protection des données personnelles.

Il faut dire qu’au moment des faits incriminés, entre 2009 et 2012, le Règlement Européen sur la Protection des Données, le RGPD, n’était pas encore entré en application, cette dernière datant du 25 mai 2018. En revanche, la loi informatique et libertés qui date de 1978 était quant à elle déjà en vigueur, comme le rappelle d’ailleurs la présidente du tribunal. Or, cette loi comportait déjà un grand nombre des principes édictés par le RGPD.

Quoi qu’il en soit, cette problématique de la collecte illicite de données à caractère personnel pour établir une surveillance quasi industrielle méritait d’être traitée et ainsi l’importance du respect de la mise en conformité au RGPD dans les entreprises.

Il faudra donc attendre le résultat du délibéré du tribunal correctionnel de Versailles prévu pour le 15 juin pour découvrir si la problématique des données personnelles sera remise à la place centrale qu’elle mérite dans ce procès.

A rapprocher : Espionnage chez Ikea : le parquet confirme un système « à grande échelle » (Le Monde, 14 mars 2018) ; Espionnage à Ikea : la procureure dénonce la lâcheté de la direction et veut une « peine exemplaire » (Libération, 30 mars 2021)