Résultats de recherche pour: téléphonie

Les problèmes de preuves numériques

L’introduction à une problématique juridique complexe, telle que celle relative à la collecte et à l’utilisation des preuves numériques, doit nécessairement se fonder sur des fondements solides, tant sur le plan théorique que pratique.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !
À l’ère de la digitalisation croissante, les questions relatives à la protection des données personnelles et à la préservation des droits fondamentaux des individus se posent avec une acuité sans précédent. En effet, les innovations technologiques, bien que essentielles pour l’efficacité des enquêtes judiciaires et des poursuites pénales, soulèvent des interrogations quant aux limites à poser dans le cadre de la collecte de données, souvent perçues comme intrusives.

L’importance d’une telle analyse se trouve accentuée par la nécessité de concilier les impératifs de sécurité publique avec le respect des droits de l’homme, tels qu’énoncés dans des instruments juridiques internationaux, comme la Déclaration universelle des droits de l’homme ou la Convention européenne des droits de l’homme. À titre d’exemple, l’article 8 de cette dernière stipule que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance », posant ainsi un cadre juridique essentiel pour évaluer les pratiques de collecte de preuves numériques.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les interprétations jurisprudentielles, telles que celles fournies par la Cour européenne des droits de l’homme dans l’affaire *S. et Marper c. Royaume-Uni* (2008), illustrent les conséquences potentielles d’une collecte excessive de données, où la Cour a jugé que la conservation indéfinie des empreintes digitales et des échantillons d’ADN de personnes non condamnées constituait une violation de l’article 8 de la Convention.

D’autre part, les législations nationales, comme le Règlement général sur la protection des données (RGPD) de l’Union européenne, établissent des principes fondamentaux encadrant le traitement des données personnelles. Le RGPD impose, par exemple, le principe de minimisation des données, exigeant que la collecte soit limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, illustrant ainsi le besoin d’un équilibre précaire entre les nécessités d’enquête et la protection des droits individuels.

Dans le cadre de la jurisprudence française, le Conseil constitutionnel a également rappelé, que la protection de la vie privée doit être assurée même dans le cadre de procédures judiciaires, soulignant l’importance d’une réglementation rigoureuse et d’un contrôle judiciaire exercé sur les opérations de collecte de preuves.

En outre, la question de l’admissibilité des preuves obtenues par des moyens numériques soulève des enjeux critiques. La jurisprudence des cours suprêmes, tant en France qu’à l’international, nous offre des illustrations frappantes des dilemmes rencontrés dans ce domaine. Dans l’affaire *Google France c. Louis Vuitton*, la Cour de justice de l’Union européenne a été amenée à se prononcer sur la responsabilité des moteurs de recherche en matière de contenus protégés par le droit d’auteur, illustrant les tensions entre innovation technologique et respect des droits de propriété intellectuelle, tout en soulevant des questions sur la responsabilité des intermédiaires numériques dans la régulation des contenus en ligne. Ainsi, la présente analyse se propose d’explorer les différentes dimensions de la collecte et de l’utilisation des preuves numériques, en mettant en lumière les enjeux juridiques, éthiques et pratiques qui en découlent.

Par ailleurs, les acteurs du droit doivent naviguer entre l’impératif de la preuve et le respect des droits individuels, ce qui nécessite une analyse approfondie des implications juridiques et éthiques de l’utilisation des données numériques. Par exemple, dans l’affaire « Google Spain SL », la Cour de justice de l’Union européenne a statué sur le droit à l’oubli, affirmant que les individus ont le droit de demander la suppression de leurs données personnelles sous certaines conditions, ce qui impacte directement la collecte et l’utilisation des preuves numériques. Face à ces défis, il est crucial de développer des solutions technologiques et juridiques qui garantissent la fiabilité et l’admissibilité des preuves numériques.

Il s’agira d’examiner comment les législations actuelles, tant nationales qu’internationales, répondent aux défis posés par la numérisation de la justice, tout en garantissant le respect des droits fondamentaux. Par ailleurs, nous nous intéresserons à la manière dont les acteurs juridiques, y compris les avocats, les juges et les enquêteurs, s’adaptent à ce nouvel environnement technologique, en développant des pratiques qui allient efficacité et respect des principes d’équité et de justice.

Cette réflexion se fonde sur une analyse approfondie des textes juridiques en vigueur, des décisions jurisprudentielles pertinentes, ainsi que des réflexions doctrinales contemporaines sur la question de la preuve numérique. En définitive, cette introduction vise à poser les jalons d’une étude exhaustive sur un sujet aux implications majeures pour l’avenir du droit et de la justice dans un monde de plus en plus connecté et numérisé.

I. Les Fondements des Preuves Numériques

A. Définition et importance

  1. Qu’est-ce qu’une preuve numérique

La notion de preuve numérique se définit comme toute information ou donnée qui est créée, stockée ou transmise sous forme électronique, et qui peut être utilisée dans un cadre judiciaire pour établir la véracité d’un fait ou d’un événement.

Cette définition englobe une grande variété de supports, notamment les courriers électroniques, les messages instantanés, les fichiers multimédias (images, vidéos), les données de géolocalisation, ainsi que les enregistrements de communications téléphoniques.

Dans un contexte juridique, il est essentiel de distinguer les preuves numériques des preuves traditionnelles, telles que les témoignages écrits ou les objets matériels. Alors que les preuves traditionnelles sont souvent palpables et tangibles, les preuves numériques reposent sur des systèmes technologiques, des algorithmes et des protocoles de communication qui peuvent, à la fois, faciliter et complexifier leur validité.

Par exemple, les captures d’écran de conversations sur les réseaux sociaux peuvent être considérées comme des preuves numériques, mais leur admissibilité peut être contestée en raison de la difficulté à prouver leur authenticité, ce qui soulève des questions cruciales sur les normes de preuve dans le cadre des contentieux.

L’importance des preuves numériques réside dans leur capacité à enrichir le dossier probatoire d’une affaire. Dans de nombreuses situations, elles deviennent des éléments nécessaires à la reconstitution des faits. À titre d’exemple, dans l’affaire de l’attentat de Nice en 2016, les autorités ont utilisé des images de vidéosurveillance et des données de téléphonie mobile pour établir la chronologie des événements et identifier les suspects.

Ces éléments ont joué un rôle déterminant dans l’enquête et ont permis de renforcer les charges retenues contre les inculpés. Ainsi, les preuves numériques ne se contentent pas de compléter les éléments de preuve traditionnels ; elles peuvent parfois constituer le fondement même de la décision judiciaire.

  1. Rôle dans le système juridique

Le rôle des preuves numériques dans le système juridique est devenu de plus en plus prépondérant au fur et à mesure que les sociétés se numérisent. Elles participent à toutes les étapes de la procédure judiciaire, depuis l’enquête préliminaire jusqu’au jugement final, et influencent aussi bien le droit pénal que le droit civil.

Dans le cadre du droit pénal, les preuves numériques peuvent être déterminantes pour établir la culpabilité ou l’innocence d’un accusé. Par exemple, dans l’affaire « Kerviel », où le trader Jérôme Kerviel a été accusé de fraude, les preuves numériques sous forme de courriels et de systèmes de trading ont été utilisées pour démontrer ses actions dans le cadre de la manipulation des marchés. Les juges ont dû examiner minutieusement ces preuves numériques pour établir la nature et l’intention des actes reprochés, soulignant ainsi l’importance d’une analyse rigoureuse des données numériques dans le cadre des affaires criminelles.

Au niveau civil, les preuves numériques jouent également un rôle crucial dans les litiges commerciaux, notamment dans les affaires de contrefaçon ou de concurrence déloyale. Les courriers électroniques, les messages d’entreprise et les documents numériques peuvent constituer des preuves essentielles pour établir le comportement des parties et la réalité des faits allégués.

Par exemple, dans une affaire de contrefaçon de marque, des échanges de courriels entre les parties peuvent révéler des intentions malveillantes ou des tentatives de dissimulation, influençant ainsi la décision du tribunal

En outre, les preuves numériques doivent respecter des normes d’admissibilité qui garantissent leur intégrité et leur authenticité. Ces normes sont souvent définies par des textes législatifs et des décisions de jurisprudence. Par exemple, le Code de procédure pénale français prévoit des dispositions concernant la conservation et la présentation des preuves numériques, stipulant que ces dernières doivent être obtenues dans le respect des droits fondamentaux et des procédures établies.

L’affaire « Boulanger » a illustré cette exigence, où la cour a invalidé certaines preuves numériques en raison de leur collecte non conforme aux droits des individus, affirmant ainsi la nécessité d’un équilibre entre l’efficacité de la justice et le respect des droits des justiciables

Les preuves numériques, par leur nature et leur diversité, occupent une place essentielle dans le système juridique contemporain.

B. Types de preuves numériques

  1. Emails et messages

Les emails et les messages instantanés constituent l’une des formes les plus courantes de preuves numériques. Ils sont souvent utilisés dans des contextes variés, allant des affaires commerciales aux litiges personnels. En matière de droit civil et commercial, les échanges par emails peuvent prouver des accords, des promesses ou des notifications. Par exemple, dans une affaire de rupture de contrat, un email confirmant l’acceptation d’une offre peut être utilisé comme preuve pour établir la volonté des parties.

Dans le cadre des affaires pénales, les messages peuvent également être cruciaux. L’affaire « Martin » a démontré l’importance des messages électroniques dans une enquête criminelle, où des échanges entre le suspect et un complice ont été utilisés pour établir un complot. Cependant, l’admissibilité de ces preuves dépend de leur authentification et de leur intégrité, ce qui peut poser des défis, notamment en cas de falsification ou de modification des messages

  1. Données de localisation

Les données de localisation, récupérées par des appareils mobiles ou des systèmes GPS, jouent un rôle fondamental dans les enquêtes criminelles et civiles. Elles permettent d’établir la présence ou l’absence d’une personne à un endroit donné à un moment précis. Par exemple, dans une affaire de vol, les données de localisation d’un téléphone portable peuvent prouver que le suspect se trouvait sur les lieux du crime au moment des faits, renforçant ainsi le dossier de l’accusation. Cependant, l’utilisation de ces données soulève des questions de vie privée et de consentement, notamment en vertu du Règlement général sur la protection des données (RGPD) en Europe.

Les tribunaux doivent donc non seulement évaluer la pertinence des données de localisation, mais aussi s’assurer qu’elles ont été obtenues légalement, comme l’illustre l’affaire « C-746/18 », où la Cour de Justice de l’Union Européenne a statué sur la nécessité de respecter les droits des individus lors de la collecte de telles informations.

  1. Images et vidéos (capturées par des smartphones ou caméras de surveillance)

Les images et vidéos constituent des preuves visuelles puissantes dans le cadre des procédures judiciaires. Les enregistrements provenant de caméras de surveillance peuvent fournir des témoignages visuels d’événements, comme dans le cas de la célèbre affaire « Dreyfus », où des images ont été utilisées pour établir des faits cruciaux.

De même, les vidéos capturées par des smartphones lors de manifestations ou d’incidents peuvent être utilisées pour corroborer ou contredire des témoignages Cependant, l’admissibilité de telles preuves dépend de plusieurs critères, notamment l’authenticité et la chaîne de conservation.

Les juges doivent s’assurer que les images n’ont pas été altérées et qu’elles proviennent de sources fiables. L’affaire « García » a illustré ce point, où des vidéos présentées comme preuves ont été écartées en raison de doutes sur leur provenance et leur intégrité

  1. Logs de connexion et historiques de navigation

Les logs de connexion et les historiques de navigation sont des éléments de preuve essentiels dans les affaires liées aux cybercrimes ou aux infractions sur Internet. Ils peuvent révéler des informations sur les comportements en ligne d’un individu, ses connexions à des sites web, ou les services qu’il a utilisés. Par exemple, dans une affaire de fraude en ligne, les logs de connexion peuvent démontrer que le suspect a accédé à un compte bancaire à des moments critiques, établissant ainsi un lien entre l’accusé et l’infraction.

Les tribunaux doivent toutefois être prudents lors de l’évaluation de ces preuves, car elles peuvent être soumises à des interprétations diverses. De plus, la protection des données personnelles impose des contraintes sur la manière dont ces informations peuvent être collectées et utilisées, comme le montre l’affaire « Google Spain SL », où la Cour de Justice de l’Union Européenne a statué sur le droit à l’oubli, affectant ainsi la conservation des historiques de navigation.

  1. Données provenant des réseaux sociaux (publications, commentaires)

Les publications sur les réseaux sociaux peuvent être utilisées pour démontrer des déclarations diffamatoires ou pour contredire les affirmations d’une partie. Dans l’affaire « M. X contre Y », les commentaires publiés sur un réseau social ont joué un rôle clé dans la détermination de la véracité des accusations portées contre la partie défenderesse.

Les juges ont pris en compte le contexte et la nature des commentaires pour établir si ceux-ci constituaient réellement une diffamation ou s’ils étaient protégés par la liberté d’expression. Les données des réseaux sociaux soulèvent également des questions de confidentialité et de consentement, notamment en ce qui concerne le droit à l’image et à la vie privée. Par conséquent, les tribunaux doivent évaluer si les données ont été collectées légalement et si les droits des individus ont été respectés, comme le montre l’affaire « NT1 » en France, où la cour a dû trancher sur la légitimité de l’utilisation des données d’un compte de réseau social dans le cadre d’un litige.

  1. Fichiers numériques (documents, présentations, feuilles de calcul)

Les fichiers numériques, comprenant des documents, des présentations et des feuilles de calcul, représentent un autre type de preuve numérique essentiel. Dans un contexte commercial, ces fichiers peuvent être utilisés pour prouver des transactions, des accords ou des engagements. Par exemple, un contrat signé numériquement peut être présenté comme preuve d’une obligation légale en cas de litige entre les parties.

Le cas « Société A contre Société B » illustre bien ce point, où la cour a reconnu la validité d’un contrat électronique en raison de l’existence de preuves numériques corroborant la signature. Dans le domaine pénal, les fichiers numériques peuvent également jouer un rôle crucial. Des documents trouvés sur l’ordinateur d’un suspect peuvent établir des liens entre la personne et une activité criminelle, comme dans l’affaire « Leroy », où des fichiers contenant des informations sur des activités illégales ont été présentés comme preuves lors du procès. Toutefois, tout comme pour les autres types de preuves numériques, l’authenticité et la provenance des fichiers doivent être vérifiées.

Les tribunaux doivent s’assurer que ces documents n’ont pas été falsifiés et que leur intégrité a été préservée tout au long de la chaîne de possession.

Les preuves numériques jouent un rôle prépondérant dans le paysage juridique contemporain. Leur utilisation croissante répond à l’évolution des technologies et des modes de communication, mais elle pose également des défis en matière de protection des droits individuels et de respect des lois sur la vie privée. Dans chaque type de preuve numérique, il est essentiel de garantir l’authenticité, l’intégrité et la légalité de la collecte des données.

Les tribunaux doivent naviguer avec prudence dans ce domaine en constante évolution, en tenant compte des implications éthiques et juridiques associées à l’utilisation des preuves numériques dans les procédures judiciaires.

La jurisprudence continue d’évoluer pour s’adapter à ces nouvelles réalités, et les praticiens du droit doivent rester informés des développements en matière de législation et de technologie pour garantir une application juste et appropriée des lois.

II. Défis et solutions liés aux preuves numériques

A. Problèmes d’authenticité et de conservation

  1. Risques de falsification

La falsification des preuves numériques constitue un défi majeur dans le domaine juridique. Avec l’avancement des technologies de traitement de l’information, il est devenu de plus en plus facile de manipuler, d’altérer ou de créer des documents et des fichiers numériques de toute pièce.

Ce phénomène soulève des préoccupations quant à l’authenticité des preuves présentées devant les tribunaux, car la véracité de ces éléments peut être mise en doute, compromettant ainsi l’intégrité des procédures judiciaires. La falsification peut prendre plusieurs formes, telles que la modification de dates et d’heures sur des emails, l’altération de contenus de fichiers ou même la création de faux enregistrements vidéo et audio. Par exemple, dans l’affaire « Société C contre Société D », un document numérique crucial, prétendument signé électroniquement par un représentant de la société défenderesse, a été contesté sur la base de preuves techniques démontrant que la signature avait été falsifiée.

L’examen d’experts en informatique légale a révélé que le fichier avait été modifié après sa création, ce qui a conduit la cour à rejeter ce document comme preuve. Les conséquences de la falsification peuvent être graves, non seulement pour la partie qui en est victime, mais également pour l’intégrité du système judiciaire dans son ensemble.

Les tribunaux doivent donc mettre en place des mécanismes rigoureux pour authentifier les preuves numériques. Cela peut inclure l’utilisation de technologies telles que la cryptographie, qui permet de garantir l’intégrité des données, ainsi que des méthodes d’authentification des signatures électroniques. L’affaire « C-162/16 » de la Cour de justice de l’Union européenne a également souligné l’importance de l’authenticité des signatures électroniques dans les transactions commerciales, en précisant que les systèmes d’authentification doivent être suffisamment robustes pour prévenir la falsification.

  1. Importance de la chaîne de conservation

La chaîne de conservation, ou « chain of custody », est un concept fondamental dans le cadre de l’acceptation des preuves numériques en justice. Elle désigne l’ensemble des procédures et des protocoles mis en place pour garantir l’intégrité et l’authenticité des preuves numériques tout au long de leur traitement, depuis leur collecte jusqu’à leur présentation devant un tribunal.

Une chaîne de conservation bien établie permet de prouver que les éléments de preuve n’ont pas été altérés, falsifiés ou manipulés de quelque manière que ce soit. La chaîne de conservation doit inclure des enregistrements détaillés de chaque étape du processus, tels que la collecte initiale des preuves, leur stockage, les personnes ayant eu accès aux preuves, ainsi que les analyses effectuées.

Par exemple, dans une affaire pénale portant sur des cybercrimes, un enquêteur a collecté des données à partir d’un ordinateur suspect. Pour garantir la validité des preuves, il a utilisé un logiciel d’imagerie disque qui a créé une copie exacte des données, tout en préservant l’original dans un environnement sécurisé. Chaque étape a été documentée, et les enregistrements ont été présentés au tribunal pour établir la chaîne de conservation.

L’importance de la chaîne de conservation a été mise en avant dans l’affaire « R v. McDonald », où la cour a rejeté des preuves numériques en raison d’un manque de documentation sur la manière dont les données avaient été collectées et manipulées. La cour a souligné que l’absence de preuve de la chaîne de conservation remettait en question la fiabilité des données présentées.

Pour renforcer la chaîne de conservation, les juridictions peuvent adopter des normes et des protocoles clairs, tels que ceux énoncés dans le Guide de l’Association internationale des enquêteurs en criminalistique (IAI) ou les recommandations de l’Organisation internationale de normalisation (ISO).

Ces directives peuvent aider les enquêteurs à établir des pratiques de collecte et de gestion des preuves numériques qui minimisent les risques de contestation lors des procédures judiciaires

Les défis liés à l’authenticité et à la conservation des preuves numériques exigent une attention particulière de la part des praticiens du droit et des enquêteurs.

La falsification des preuves peut compromettre l’intégrité des procédures judiciaires, tandis qu’une chaîne de conservation rigoureuse est essentielle pour garantir la validité des éléments présentés devant le tribunal. La mise en œuvre de technologies appropriées et de protocoles clairs peut contribuer à atténuer ces risques et à renforcer la confiance dans les preuves numériques au sein du système judiciaire.

B. Protection des données personnelles

  1. Enjeux de la vie privée

La protection des données personnelles est devenue une préoccupation centrale à l’ère numérique, particulièrement dans le contexte de la collecte, du stockage et de l’utilisation des preuves numériques.

L’explosion des technologies de l’information et de la communication a entraîné une accumulation massive de données, qui peuvent inclure des informations sensibles sur les individus, telles que leurs opinions, comportements, et interactions sociales.

Dans ce cadre, les enjeux de la vie privée surgissent de manière pressante, à la fois pour les citoyens et pour les institutions judiciaires.

L’un des principaux enjeux réside dans la nécessité d’équilibrer l’intérêt de la justice à obtenir des preuves pertinentes et la protection des droits fondamentaux des individus, notamment le droit à la vie privée, tel qu’énoncé dans l’article 8 de la Convention européenne des droits de l’homme. Par exemple, dans l’affaire « S. et Marper c. Royaume-Uni », la Cour européenne des droits de l’homme a jugé que la conservation indéfinie d’échantillons ADN de personnes innocentes constituait une violation du droit à la vie privée, soulignant l’importance de respecter les principes de proportionnalité et de nécessité dans la collecte de données.

Un autre enjeu majeur réside dans les risques d’abus liés à la surveillance numérique. Les autorités judiciaires et policières peuvent être tentées d’utiliser des données personnelles dans des enquêtes sans respecter les garanties nécessaires.

Par exemple, l’affaire « Google Spain SL v. Agencia Española de Protección de Datos » a mis en lumière la responsabilité des moteurs de recherche dans le traitement des données personnelles, en établissant que les individus ont le droit de demander la suppression de liens vers des informations les concernant, lorsque ces informations sont inexactes ou obsolètes.

En outre, la réglementation sur la protection des données personnelles, telle que le Règlement général sur la protection des données (RGPD) en Europe, impose des obligations strictes en matière de transparence, de consentement et de sécurité des données.

Les organismes qui collectent et traitent des données personnelles doivent s’assurer que ces pratiques respectent les droits des individus, ce qui complique souvent les enquêtes judiciaires et la collecte de preuves numériques. Les institutions judiciaires doivent donc naviguer avec prudence pour éviter les violations potentielles de la vie privée tout en cherchant à garantir la justice.

  1. Solutions pour renforcer la fiabilité

L’amélioration de la fiabilité des preuves numériques tout en veillant à la protection des données personnelles nécessite une approche systématique et méthodique. Voici un développement en plusieurs points

  1. a) Collecte minimisée et ciblée des données

Il est essentiel d’adopter une approche de collecte de données qui se limite aux informations strictement nécessaires à l’enquête. Cela implique une évaluation rigoureuse des données à collecter en fonction de leur pertinence pour l’affaire en cours. Par exemple, dans une enquête criminelle, il serait judicieux de ne recueillir que les communications et les documents directement liés aux faits reprochés, évitant ainsi la collecte de données superflues sur la vie personnelle des individus concernés

  1. b) Consentement éclairé

Le principe du consentement éclairé doit être respecté dans toutes les situations où la collecte de données personnelles est envisagée. Les individus doivent être informés de manière claire et compréhensible sur la finalité de la collecte de leurs données et sur la manière dont elles seront utilisées. Par exemple, lors de la collecte de témoignages en ligne, il est crucial d’obtenir le consentement explicite des témoins pour l’utilisation de leurs déclarations dans un cadre judiciaire

  1. c) Chiffrement des données

L’utilisation de technologies de chiffrement permet de protéger les données sensibles durant leur transmission et leur stockage. Le chiffrement garantit que seules les personnes autorisées peuvent accéder aux informations. Par exemple, les preuves numériques recueillies par la police doivent être chiffrées pour prévenir tout accès non autorisé avant leur présentation devant un tribunal

  1. d) Anonymisation des données

Consiste à retirer ou à modifier les informations permettant d’identifier un individu. Cela est particulièrement pertinent lorsqu’il s’agit de traiter des données provenant de bases de données ou de systèmes de surveillance. En anonymisant les données, les enquêteurs peuvent analyser des tendances ou des comportements sans compromettre la vie privée des individus. Par exemple, les données relatives à des comportements d’achat en ligne peuvent être analysées sans révéler l’identité des acheteurs

  1. e) Protocoles de sécurité renforcés

La mise en place de protocoles de sécurité rigoureux pour la gestion des données est essentielle. Cela inclut des mesures telles que l’accès restreint aux données, l’utilisation de mots de passe forts, et des audits réguliers des systèmes de sécurité. Par exemple, les serveurs contenant des preuves numériques devraient être protégés par des systèmes de sécurité avancés pour éviter toute fuite ou piratage

  1. f) Formation continue des professionnels

Il est crucial de fournir une formation continue aux professionnels du droit, aux enquêteurs et aux agents de la force publique concernant les lois sur la protection des données et les techniques de collecte de preuves. Cette formation doit inclure des ateliers sur le RGPD, les droits des victimes et des témoins, ainsi que sur les meilleures pratiques en matière de collecte et de traitement des données. En formant ces acteurs, on garantit une meilleure conformité aux normes de protection des données

  1. g) Mécanismes de contrôle et de supervision

L’instauration de mécanismes de contrôle indépendants est nécessaire pour superviser la collecte et l’utilisation des preuves numériques. Des commissions ou des organismes de contrôle devraient être établis pour vérifier que les pratiques des autorités respectent les lois sur la protection des données. Par exemple, ces organes pourraient effectuer des audits réguliers et rendre des comptes au public sur l’utilisation des données personnelles par les forces de l’ordre

  1. h) Transparence et responsabilité

Les institutions judiciaires doivent s’engager à maintenir un haut niveau de transparence concernant leurs pratiques de collecte de données. Cela inclut la publication de rapports sur l’utilisation des données personnelles et les mesures prises pour protéger la vie privée des individus. En étant transparent, les autorités renforcent la confiance du public et montrent leur engagement envers la protection des droits fondamentaux

  1. i) Recours et réparation des violations

Il est essentiel de prévoir des mécanismes de recours pour les individus dont les données personnelles ont été collectées ou utilisées de manière abusive. Cela comprend la possibilité de porter plainte et d’obtenir des réparations en cas de violations des droits relatifs à la vie privée. Par exemple, un cadre légal clair sur les recours disponibles pour les victimes d’atteintes à la vie privée peut dissuader les abus et garantir que les droits des individus sont respectés

  1. j) Collaboration internationale

Avec la nature mondiale des données numériques, la collaboration internationale entre les États et les organismes de protection des données est impérative. Établir des accords internationaux sur la protection des données peut aider à harmoniser les lois et à faciliter la coopération dans les enquêtes transnationales,

  1. k) Utilisation de technologies avancées pour la détection des abus

L’implémentation de technologies d’intelligence artificielle et d’apprentissage automatique peut aider à identifier des modèles d’utilisation abusive des données. Ces outils peuvent analyser les comportements suspects et alerter les autorités avant qu’une violation ne se produise. Par exemple, des systèmes de surveillance peuvent être configurés pour détecter des accès non autorisés ou des manipulations de données

  1. l) Évaluation d’impact sur la protection des données (EIPD)

Avant de lancer un projet impliquant la collecte de données personnelles, il est important de réaliser une évaluation d’impact sur la protection des données. Cela permet d’identifier les risques potentiels pour la vie privée et de mettre en place des mesures pour les atténuer. Par exemple, lors de l’implémentation d’un nouveau système de surveillance, une EIPD peut aider à déterminer si les mesures de sécurité sont adéquates

  1. m) Engagement des parties prenantes

Impliquer les parties prenantes, y compris des représentants de la société civile, des experts en protection des données et des utilisateurs, dans le développement des politiques de collecte et de traitement des preuves numériques est crucial. Cela permet de s’assurer que les préoccupations des citoyens sont prises en compte et que les pratiques sont alignées sur les attentes du public

  1. n) Promotion de la culture de la protection des données

Il est essentiel de promouvoir une culture de respect de la vie privée au sein des institutions judiciaires et des forces de l’ordre. Cela peut se faire par des campagnes de sensibilisation, des formations et des initiatives visant à intégrer la protection des données dans toutes les pratiques professionnelles

  1. o) Établissement de normes éthiques

Développer des normes éthiques claires pour la collecte et l’utilisation des preuves numériques est fondamental. Ces normes devraient guider les professionnels du droit et les enquêteurs dans leurs actions, en veillant à ce que la dignité et les droits des individus soient respectés tout au long du processus

  1. p) Mise en œuvre de mécanismes de feedback

Instaurer des mécanismes de retour d’expérience où les acteurs impliqués dans la collecte et l’analyse des preuves numériques peuvent partager leurs préoccupations et suggestions. Cela peut contribuer à l’amélioration continue des pratiques et à l’adaptation des politiques aux enjeux émergents

  1. q) Suivi et évaluation des pratiques

Mettre en place des mécanismes de suivi et d’évaluation réguliers des pratiques de collecte de données permet de s’assurer qu’elles restent conformes aux lois et aux normes en vigueur. Cela peut inclure des revues annuelles et des rapports sur l’efficacité des mesures de protection des données

  1. r) Utilisation de données agrégées

Lorsque cela est possible, privilégier l’utilisation de données agrégées plutôt que de données individuelles permet de réduire les risques pour la vie privée. Par exemple, en analysant des tendances à partir de données regroupées, les enquêteurs peuvent obtenir des informations précieuses sans compromettre les informations personnelles des individus

  1. s) Sensibilisation du public sur les droits en matière de données

Informer le public sur ses droits en matière de protection des données et sur les recours disponibles en cas de violation est essentiel. Cela renforce l’autonomisation des citoyens et leur capacité à défendre leur vie privée

  1. t) Mise en place de sanctions dissuasives

Établir des sanctions claires et dissuasives pour les violations des lois sur la protection des données peut contribuer à prévenir les abus. Les organismes responsables doivent être en mesure d’appliquer des mesures punitives pour assurer le respect des normes établies

  1. u) Innovation constante

Encourager l’innovation dans les méthodes de collecte et d’analyse des preuves numériques, tout en garantissant que ces innovations respectent les normes éthiques et les lois sur la protection des données. Cela permet de trouver des solutions efficaces tout en préservant les droits des individus

  1. v) Dialogue continu avec les experts en protection des données

Maintenir un dialogue régulier avec des experts en protection des données, des juristes et des techniciens peut aider à anticiper les défis futurs et à adapter les pratiques en conséquence. Cette collaboration peut fournir des conseils précieux sur les évolutions législatives et technologiques Ces points, pris ensemble, constituent un cadre complet visant à renforcer la fiabilité des preuves numériques tout en protégeant les données personnelles, garantissant ainsi une approche équilibrée entre justice et respect des droits fondamentaux.

Pour lire une version plus complète de cet article sur les preuves numériques, cliquez

Sources :

  1. EUR-Lex – 62012CJ0131 – EN – EUR-Lex
  2. Kerviel, l’affaire devenue une série | Les Echos
  3. CURIA – Documents
  4. Affaire Dreyfus, un scandale d’État sous la IIIe République : un podcast à écouter en ligne | France Inter
  5. CURIA – Documents
  6. EUR-Lex – 62012CJ0131 – FR – EUR-Lex

Par Newsletter

L’anonymat sur Internet

« Si je regarde suffisamment vos messages et votre localisation, et que j’utilise une intelligence artificielle, je peux prévoir où vous allez vous rendre. Montrez-nous 14 photos de vous et nous pourrons vous identifier. Vous pensez qu’il n’y a pas quatorze photos différentes de vous sur Internet ? Il y en a plein sur Facebook ! » le PDG de Google, Eric Schmidt, a estimé, que l’anonymat sur Internet était voué à disparaître et serait remplacé par une  » transparence totale « .

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! 

L’anonymat sur internet fait référence à la possibilité pour les utilisateurs d’utiliser des services en ligne sans révéler leur véritable identité.

Avec le développement des activités numériques sur le web, le terme  » anonyme  » prend une nouvelle orientation. Ainsi, des millions d’internautes naviguent sur le web de façon anonyme, du moins le croient-ils, en consultant des sites d’information ou d’e-commerce. Dans le même temps, d’autres millions d’internautes ont ouvert des comptes personnels sur des réseaux sociaux en se cachant derrière un pseudonyme. Alors qu’on utilise de plus en plus Internet, qu’on y laisse toujours plus de données et qu’il est de plus en plus facile de savoir qui y fait quoi, l’inquiétude quant à l’utilisation de ces données grandit chaque jour.

En toute hypothèse, sur le web, la sensation d’anonymat est décuplée par la distance qui existe entre l’internaute et le serveur auquel il accède pour y consulter des informations ou pour y créer des données (donner une opinion, écrire un texte, uploader un document, etc.). Et la sensation d’anonymat s’accroit chez de nombreux internautes à partir du moment où ils se cachent derrière un écran et un pseudonyme.

Dans la pratique, moins de 5% des internautes mettent en place des pratiques d’offuscation de leurs traces sur le web en utilisant notamment des services tels que les réseaux privés virtuels (VPN), des navigateurs anonymes et des services de messagerie anonymes

On notera le caractère ambigu de l’anonymat : d’un côté, c’est ce qui est sans nom, sans valeur, parfois menaçant ; de l’autre, c’est une stratégie de protection, de préservation, porteuse d’égalité (dans le cas par exemple, de l’anonymat du vote en France). Cette dualité se retrouve également sur internet.

 

I. L’anonymat, principe nécessaire à la protection de la vie privée sur internet

A. Anonymat et vie privée sur internet

Anonymat et vie privée sont très souvent associés, et pour cause. Le premier est un moyen de préserver la seconde. La vie privée est la raison pour laquelle on peut recourir à des techniques d’anonymisation. Internet bouleverse la manière dont nous gérons notre vie privée.

L’anonymat en ligne offre de nombreux avantages, notamment la possibilité de protéger ses données personnelles, de contourner les restrictions géographiques imposées par certains services, et de protéger son identité lors de la participation à des débats politiques ou sociaux

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La vie privée ne peut se comprendre qu’en termes de contrôle de ce qu’on laisse sur internet. Elle consiste à conserver le contrôle d’une information personnelle et ne pas la laisser sortir d’un cadre dans lequel elle a été rendue publique.

La notion de vie privée se rapporte principalement à la capacité de contrôler les informations personnelles que l’on partage sur Internet, afin de préserver leur caractère confidentiel et de les empêcher de se propager au-delà du cadre dans lequel elles ont été rendues publiques.

Sur internet, cet ensemble d’informations personnelles aussi appelées données constitue ce que l’on nomme « l’identité numérique ». Elle se compose à la dois des traces personnelles, des traces liées à notre activité sur les plateformes et des traces commerciales.

Sur internet, l’utilisateur ne laisse pas seulement des traces volontairement et de manière visible. S’il existe bien des traces visibles et intentionnelles (commentaire sur un blog, photo sur les réseaux sociaux), les traces invisibles et non intentionnelles sont d’autant plus nombreuses (l’adresse IP quand on se connecte à un site internet, requête dans les archives d’un moteur de recherche). Il y a également les cookies placés sur le navigateur ou le tracker, qui est un petit programme présent sur les sites web qui enregistre certaines activités à des fins publicitaires, présent sur les sites de e-commerce.

Un très grand nombre d’informations peuvent être collectées sur internet : l’historique de connexions et de visites, l’adresse IP, les recherches Google, les favoris et l’historique complet, les emails etc..

Par ailleurs, avec l’arrivée des objets connectées d’autres types de données sont à présents la cible des entreprises.

B. L’encadrement juridique de la protection des données collectées sur internet

S’il est aisé d’imaginer que nous sommes tous fichés par l’Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d’identité, la préfecture lors de l’établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l’on ne connaît pas. Et pourtant, les données personnelles circulent facilement soit contre rémunération pour le titulaire du fichier, soit de manière involontaire en cas notamment de piratage informatique ou de détournement de la finalité d’un fichier.

C’est pour cela qu’en France, la CNIL, la Commission nationale informatique et libertés veille à ce que la loi Informatique et libertés de 1978 et les autres textes qui protègent ces données personnelles, soient respectés, afin d’éviter les abus et les atteintes aux droits fondamentaux.

En 2014, la CNIL affirme que près de 35% des recruteurs avouent avoir déjà écarté un candidat à un emploi à cause d’une e-réputation négative. négative.

En France, le texte fondateur en matière de protection des données est la Loi informatique et liberté du 6 janvier 1978 qui définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce les droits des personnes sur leurs données, prévoit une simplification des formalités administratives déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL.

La loi « Informatique et Libertés » est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, c’est-à-dire un fichier informatique ou un fichier  » papier  » contenant des informations personnelles relatives à des personnes physiques.

Depuis le 25 mai 2018, la réglementation européenne à la protection des données a étendu les pouvoirs de la CNIL et la protection des données sur le plan européen.

En 2018, plusieurs associations actives dans le domaine de la protection des données personnelles ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État de recours contre les décrets qui prévoient la conservation des données de connexions et qui organisent leur traitement pour les besoins du renseignement et des enquêtes pénales.

À cette occasion, le Conseil d’État a saisi, en 2018, la Cour de justice de l’Union européenne (CJUE) pour l’inviter à préciser la portée des règles issues du droit européen (directive 2002/58, dite « vie privée et communications électroniques » et règlement général sur la protection des données – RGPD). Plusieurs juridictions d’autres États membres de l’Union ont, elles aussi, saisi la CJUE dans le même but. Par trois décisions rendues le 6 octobre 2020, la CJUE a détaillé les limites posées à ses yeux par le droit européen

Dans un arrêt rendu le 6 octobre 2020, la CJUE a précisé que le droit de l’UE s’oppose à ce qu’une « réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ».

Toutefois, elle a nuancé sa position en rajoutant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ce dernier peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

Contrairement à toute attente, par rendu un arrêt rendu le 21 avril 2021, le CE avait autorisé la conservation généralisée des données de connexion, et ce, en dehors des situations exceptionnelles d’état d’urgence sécuritaire. Cette décision contraire aux exigences de la jurisprudence précédente de la CJUE (6 octobre 2020) a été possible grâce à une réinterprétation de la notion de « sécurité nationale » pour inclure des infractions au-delà de la lutte contre le terrorisme telles que l’organisation de manifestations non-déclarées ou encore le trafic de stupéfiants.

En outre, il relevait à cette occasion, la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales. En revanche, il ordonnait au Gouvernement de réévaluer régulièrement la menace qui pèse sur le territoire pour justifier la conservation généralisée des données et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.

II. L’anonymat, principe menacé par les développements technologiques

A. Le Big Data au détriment de l’anonymat

Littéralement, le terme de  » Big Data  » signifie métadonnées, grosses données ou encore données massives. Ils désignent un ensemble très volumineux de données qu’aucun outil classique de gestion de base de données ou de gestion de l’information ne peut vraiment travailler. En effet, nous procréons environ 2,5 trillions d’octets de données tous les jours. Ce sont les informations provenant de partout : messages que nous nous envoyons, vidéos que nous publions, informations climatiques, signaux GPS, enregistrements transactionnels d’achats en ligne et bien d’autres encore. Ces données sont baptisées Big Data ou volumes massifs de données. Les géants du Web, au premier rang desquels Yahoo (mais aussi Facebook et Google ), ont été les tous premiers à déployer ce type de technologie.

L’analyse des données est capable d’extraire des informations très précises sur les individus en croisant des données anonymes. Par exemple, les signaux de géolocalisation des portables, la démarche d’un passant filmée par vidéosurveillance, le choix de films téléchargés forment autant d’indicateurs sur les habitudes, les intérêts et les activités des personnes.

Le cas Cambridge Analytica dévoilé en 2018, fait échos aux risques que font courir la collecte et la manipulation des données personnelles à grande échelle.

Actuellement, la tendance est à la convergence des différentes données disponibles. Data en ligne et hors ligne, structurées ou non structurées rassemblées et consolidées, accord entre Facebook et des courtiers de données : les algorithmes n’ont pas fini de générer de plus en plus de sources lucratives sur le marché des Big Data. Plus encore : il est possible de prédire où se trouvera une personne d’ici 80 semaines sur la base de données de géolocalisation issues de son GPS. Finalement, rester non identifié devient une gageure.

B. Une pression croissante de l’État

Depuis une dizaine d’années, les initiatives de la part des gouvernements pour tenter de réguler et de contrôler internet se sont multipliées. Rappelons les révélations d’Edward Snowden en 2013, qui ont montré que les collectes massives d’informations par la NSA, concernant des citoyens du monde entier, dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

La France n’est pas en reste, puisque son service de renseignement extérieur, la DGSE (Direction Générale de la Sécurité Extérieure), a également à sa disposition un système d’interception massif d’Internet, sans compter sa proximité avec l’opérateur Orange. Au delà des services de renseignement, ces dernières années, le législateur français a été particulièrement attentif à la régulation d’internet :  LCEN (loi pour la confiance en l’économie numérique) ; DADVSI (loi relative aux droits d’auteur et droits voisins dans la société d’information) , LOPPSI 2 (loi d’orientation et de programmation pour la performance de la sécurité intérieure), Hadopi (loi Création et Internet de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) ou encore les lois antiterroristes qui accroissent la surveillance du réseau à la recherche de potentiels terroristes.

Cette pression croissante des gouvernements à des fins de contrôle, de régulation et de surveillance peut se faire au détriment de l’anonymat des utilisateurs d’internet.

Le 15 novembre 2001, la France a adopté la loi sur la sécurité quotidienne, dont l’article 29 oblige les fournisseurs d’accès à internet à conserver les identifiants de connexion de leurs abonnés. Ses mesures, dont l’article 29, auraient dû arriver à expiration fin décembre 2003. Cependant un amendement de la loi sur la sécurité intérieure du 21 janvier 2003, a pérennisé les mesures de conservation des identifiants et les a séparées du motif terroriste, leur raison d’être de l’adoption de la première loi. Ces mesures sont désormais présentes dans l’article 34-1 du Code des postes de communications électroniques.

À partir de la loi de 2004 et de la loi pour la confiance en l’économie numérique, la conservation des identifiants de connexion, qui devait être effectuée uniquement par les opérateurs de télécommunications, donc les fournisseurs d’accès à internet, concerne également les hébergeurs, c’est à dire, tous les sites qui mettent à disposition du public un service de  » stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature  » (sites d’informations, services de vidéo type Dailymotion ou Youtube, Wikipédia…). Le décret précisant les modalités n’est intervenu que le 1er mars 2012.

Le 30 juillet 2021, la loi n° 2021-998 relative à la prévention d’actes de terrorisme et au renseignement a été adoptée. Ce texte, par le biais de son article 17, a  modifié l’article L34-1 du Code des postes et des communications électroniques ainsi que l’article 6-II de la LCEN.

Ce texte révise la loi sur le renseignement du 24 juillet 2015 notamment pour tenir compte de l’évolution des technologies et des modes de communication utilisés par les terroristes. Les services de renseignement disposent de nouveaux moyens de contrôle, en particulier la possibilité à titre expérimental d’intercepter des communications satellitaires.

  1. Les limites dans le cadre des enquêtes pénales

Par une série de quatre arrêts rendus le 12 juillet 2022 par la chambre criminelle, la Cour de cassation tire les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales (Crim. 12 juill. 2022, FS-B+R, n° 21-83.710 ; Crim. 12 juill. 2022, FS-B, n° 21-83.820 ; Crim. 12 juill. 2022, FS-B, n° 21-84.096 ; Crim. 12 juill. 2022, FS-B, n° 20-86.652).

D’une part, la Cour de cassation énonce que les données de connexion ne peuvent être obtenues que dans le cadre d’enquêtes pénales relatives à des infractions d’une certaine gravité. A ce propos, la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire avait déjà limité une telle possibilité aux enquêtes relatives à une infraction punie d’au moins 3 ans d’emprisonnement en application notamment du nouvel article 60-1-2 du Code de procédure pénale.
L’appréciation du caractère grave de la criminalité par les juridictions est également effectuée au regard de la nature des agissements de la personne mise en cause, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

D’autre part, la Cour de cassation précise que la délivrance de réquisitions relatives aux données de connexion doit faire l’objet d’un contrôle préalable par une juridiction ou une autorité administrative indépendante au sens où l’entend la Cour de justice de l’Union européenne.

La Cour de cassation en conclut que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du Code de procédure pénale n’étaient pas conformes au droit de l’Union européenne. Selon elle, les règles actuelles du Code de procédure pénale, qui permettent au procureur de la République ou à un enquêteur d’accéder à ces données, sont contraires au droit de l’Union car elles ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante. Bien que la Cour valide la compétence du juge d’instruction en la matière, elle considère en revanche que le procureur de la République, en ce qu’il incarne une autorité de poursuite, ne peut pas ordonner de telles mesures d’investigation.

Par le passé, la Cour de justice de l’Union européenne avait en effet jugé, par un arrêt de sa Grande chambre du 2 mars 2021, H. K. et Prokuratuur, C-746/18, que « l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale. »

La Cour de cassation a toutefois jugé que les éléments de preuve ainsi obtenus ne peuvent être annulés que si une telle irrégularité portait concrètement atteinte aux droits de la personne poursuivie. Cette interprétation permet de limiter les cas dans lesquels la nullité des actes serait encourue et de sauvegarder la plupart des procédures pénales en cours.

Pour lire une version plus complète de cet article sur l’anonymat sur internet, cliquez sur ce lien

Sources :

Sources :

https://books.google.fr/books?id=zSsTBQAAQBAJ&pg=PR18&lpg=PR18&dq=anonymat+sur+internet+mémoire&source=bl&ots=1x_SHNL5q8&sig=YwazYsBgPmSWpV-Tqbi1hwnlvMc&hl=fr&sa=X&ved=0ahUKEwjksqHopafLAhUGVxoKHWTYAggQ6AEIOTAF#v=onepage&q=anonymat%20sur%20internet%20mémoire&f=false
http://www.journaldunet.com/ebusiness/le-net/1169618-vers-un-reglement-europeen-sur-la-protection-des-donnees-qui-vise-les-plateformes-us/
http://www.zdnet.fr/actualites/etat-d-urgence-le-gouvernement-n-interdira-pas-le-wi-fi-public-et-tor-39829552.htm
http://rue89.nouvelobs.com/blog/oh-my-code/2016/03/05/respect-de-la-vie-privee-apple-ou-surveillance-generalisee-fbi-vous-de-choisir-235245

Par internet-et-droit • Tags: , , , ,

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement

Par internet-et-droit • Tags: , , ,

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Par internet-et-droit • Tags: ,

1 2 3 4

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes