Résultats de recherche pour: téléphonie

L’anonymat sur Internet

« Si je regarde suffisamment vos messages et votre localisation, et que j’utilise une intelligence artificielle, je peux prévoir où vous allez vous rendre. Montrez-nous 14 photos de vous et nous pourrons vous identifier. Vous pensez qu’il n’y a pas quatorze photos différentes de vous sur Internet ? Il y en a plein sur Facebook ! » le PDG de Google, Eric Schmidt, a estimé, que l’anonymat sur Internet était voué à disparaître et serait remplacé par une  » transparence totale « .

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! 

L’anonymat sur internet fait référence à la possibilité pour les utilisateurs d’utiliser des services en ligne sans révéler leur véritable identité.

Avec le développement des activités numériques sur le web, le terme  » anonyme  » prend une nouvelle orientation. Ainsi, des millions d’internautes naviguent sur le web de façon anonyme, du moins le croient-ils, en consultant des sites d’information ou d’e-commerce. Dans le même temps, d’autres millions d’internautes ont ouvert des comptes personnels sur des réseaux sociaux en se cachant derrière un pseudonyme. Alors qu’on utilise de plus en plus Internet, qu’on y laisse toujours plus de données et qu’il est de plus en plus facile de savoir qui y fait quoi, l’inquiétude quant à l’utilisation de ces données grandit chaque jour.

En toute hypothèse, sur le web, la sensation d’anonymat est décuplée par la distance qui existe entre l’internaute et le serveur auquel il accède pour y consulter des informations ou pour y créer des données (donner une opinion, écrire un texte, uploader un document, etc.). Et la sensation d’anonymat s’accroit chez de nombreux internautes à partir du moment où ils se cachent derrière un écran et un pseudonyme.

Dans la pratique, moins de 5% des internautes mettent en place des pratiques d’offuscation de leurs traces sur le web en utilisant notamment des services tels que les réseaux privés virtuels (VPN), des navigateurs anonymes et des services de messagerie anonymes

On notera le caractère ambigu de l’anonymat : d’un côté, c’est ce qui est sans nom, sans valeur, parfois menaçant ; de l’autre, c’est une stratégie de protection, de préservation, porteuse d’égalité (dans le cas par exemple, de l’anonymat du vote en France). Cette dualité se retrouve également sur internet.

 

I. L’anonymat, principe nécessaire à la protection de la vie privée sur internet

A. Anonymat et vie privée sur internet

Anonymat et vie privée sont très souvent associés, et pour cause. Le premier est un moyen de préserver la seconde. La vie privée est la raison pour laquelle on peut recourir à des techniques d’anonymisation. Internet bouleverse la manière dont nous gérons notre vie privée.

L’anonymat en ligne offre de nombreux avantages, notamment la possibilité de protéger ses données personnelles, de contourner les restrictions géographiques imposées par certains services, et de protéger son identité lors de la participation à des débats politiques ou sociaux

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La vie privée ne peut se comprendre qu’en termes de contrôle de ce qu’on laisse sur internet. Elle consiste à conserver le contrôle d’une information personnelle et ne pas la laisser sortir d’un cadre dans lequel elle a été rendue publique.

La notion de vie privée se rapporte principalement à la capacité de contrôler les informations personnelles que l’on partage sur Internet, afin de préserver leur caractère confidentiel et de les empêcher de se propager au-delà du cadre dans lequel elles ont été rendues publiques.

Sur internet, cet ensemble d’informations personnelles aussi appelées données constitue ce que l’on nomme « l’identité numérique ». Elle se compose à la dois des traces personnelles, des traces liées à notre activité sur les plateformes et des traces commerciales.

Sur internet, l’utilisateur ne laisse pas seulement des traces volontairement et de manière visible. S’il existe bien des traces visibles et intentionnelles (commentaire sur un blog, photo sur les réseaux sociaux), les traces invisibles et non intentionnelles sont d’autant plus nombreuses (l’adresse IP quand on se connecte à un site internet, requête dans les archives d’un moteur de recherche). Il y a également les cookies placés sur le navigateur ou le tracker, qui est un petit programme présent sur les sites web qui enregistre certaines activités à des fins publicitaires, présent sur les sites de e-commerce.

Un très grand nombre d’informations peuvent être collectées sur internet : l’historique de connexions et de visites, l’adresse IP, les recherches Google, les favoris et l’historique complet, les emails etc..

Par ailleurs, avec l’arrivée des objets connectées d’autres types de données sont à présents la cible des entreprises.

B. L’encadrement juridique de la protection des données collectées sur internet

S’il est aisé d’imaginer que nous sommes tous fichés par l’Etat et les organismes qui lui sont rattachés (sécurité sociale, fisc, police à travers la carte nationale d’identité, la préfecture lors de l’établissement de la carte grise, le Pôle emploi, le médecin, etc.), par son employeur, par des associations indépendantes (club de sport, association à laquelle on fait un don, forum de discussion ou chat, etc.) ou encore par des sociétés commerciales (banque, assureurs, téléphonie, fichiers clients des commerces, etc.), on imagine moins être fichés par des sociétés que l’on ne connaît pas. Et pourtant, les données personnelles circulent facilement soit contre rémunération pour le titulaire du fichier, soit de manière involontaire en cas notamment de piratage informatique ou de détournement de la finalité d’un fichier.

C’est pour cela qu’en France, la CNIL, la Commission nationale informatique et libertés veille à ce que la loi Informatique et libertés de 1978 et les autres textes qui protègent ces données personnelles, soient respectés, afin d’éviter les abus et les atteintes aux droits fondamentaux.

En 2014, la CNIL affirme que près de 35% des recruteurs avouent avoir déjà écarté un candidat à un emploi à cause d’une e-réputation négative. négative.

En France, le texte fondateur en matière de protection des données est la Loi informatique et liberté du 6 janvier 1978 qui définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Elle renforce les droits des personnes sur leurs données, prévoit une simplification des formalités administratives déclaratives et précise les pouvoirs de contrôle et de sanction de la CNIL.

La loi « Informatique et Libertés » est applicable dès lors qu’il existe un traitement automatisé ou un fichier manuel, c’est-à-dire un fichier informatique ou un fichier  » papier  » contenant des informations personnelles relatives à des personnes physiques.

Depuis le 25 mai 2018, la réglementation européenne à la protection des données a étendu les pouvoirs de la CNIL et la protection des données sur le plan européen.

En 2018, plusieurs associations actives dans le domaine de la protection des données personnelles ainsi qu’un opérateur de télécoms ont saisi le Conseil d’État de recours contre les décrets qui prévoient la conservation des données de connexions et qui organisent leur traitement pour les besoins du renseignement et des enquêtes pénales.

À cette occasion, le Conseil d’État a saisi, en 2018, la Cour de justice de l’Union européenne (CJUE) pour l’inviter à préciser la portée des règles issues du droit européen (directive 2002/58, dite « vie privée et communications électroniques » et règlement général sur la protection des données – RGPD). Plusieurs juridictions d’autres États membres de l’Union ont, elles aussi, saisi la CJUE dans le même but. Par trois décisions rendues le 6 octobre 2020, la CJUE a détaillé les limites posées à ses yeux par le droit européen

Dans un arrêt rendu le 6 octobre 2020, la CJUE a précisé que le droit de l’UE s’oppose à ce qu’une « réglementation nationale permettant à une autorité étatique d’imposer, aux fins de la sauvegarde de la sécurité nationale, aux fournisseurs de services de communications électroniques la transmission généralisée et indifférenciée des données relatives au trafic et des données de localisation aux services de sécurité et de renseignement ».

Toutefois, elle a nuancé sa position en rajoutant que, dans des situations dans lesquelles un État membre fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, ce dernier peut déroger à l’obligation d’assurer la confidentialité des données afférentes aux communications électroniques en imposant, par des mesures législatives, une conservation généralisée et indifférenciée de ces données pour une durée temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de la menace.

Contrairement à toute attente, par rendu un arrêt rendu le 21 avril 2021, le CE avait autorisé la conservation généralisée des données de connexion, et ce, en dehors des situations exceptionnelles d’état d’urgence sécuritaire. Cette décision contraire aux exigences de la jurisprudence précédente de la CJUE (6 octobre 2020) a été possible grâce à une réinterprétation de la notion de « sécurité nationale » pour inclure des infractions au-delà de la lutte contre le terrorisme telles que l’organisation de manifestations non-déclarées ou encore le trafic de stupéfiants.

En outre, il relevait à cette occasion, la possibilité d’accéder à ces données pour la lutte contre la criminalité grave permet, à ce jour, de garantir les exigences constitutionnelles de prévention des atteintes à l’ordre public et de recherche des auteurs d’infractions pénales. En revanche, il ordonnait au Gouvernement de réévaluer régulièrement la menace qui pèse sur le territoire pour justifier la conservation généralisée des données et de subordonner l’exploitation de ces données par les services de renseignement à l’autorisation d’une autorité indépendante.

II. L’anonymat, principe menacé par les développements technologiques

A. Le Big Data au détriment de l’anonymat

Littéralement, le terme de  » Big Data  » signifie métadonnées, grosses données ou encore données massives. Ils désignent un ensemble très volumineux de données qu’aucun outil classique de gestion de base de données ou de gestion de l’information ne peut vraiment travailler. En effet, nous procréons environ 2,5 trillions d’octets de données tous les jours. Ce sont les informations provenant de partout : messages que nous nous envoyons, vidéos que nous publions, informations climatiques, signaux GPS, enregistrements transactionnels d’achats en ligne et bien d’autres encore. Ces données sont baptisées Big Data ou volumes massifs de données. Les géants du Web, au premier rang desquels Yahoo (mais aussi Facebook et Google ), ont été les tous premiers à déployer ce type de technologie.

L’analyse des données est capable d’extraire des informations très précises sur les individus en croisant des données anonymes. Par exemple, les signaux de géolocalisation des portables, la démarche d’un passant filmée par vidéosurveillance, le choix de films téléchargés forment autant d’indicateurs sur les habitudes, les intérêts et les activités des personnes.

Le cas Cambridge Analytica dévoilé en 2018, fait échos aux risques que font courir la collecte et la manipulation des données personnelles à grande échelle.

Actuellement, la tendance est à la convergence des différentes données disponibles. Data en ligne et hors ligne, structurées ou non structurées rassemblées et consolidées, accord entre Facebook et des courtiers de données : les algorithmes n’ont pas fini de générer de plus en plus de sources lucratives sur le marché des Big Data. Plus encore : il est possible de prédire où se trouvera une personne d’ici 80 semaines sur la base de données de géolocalisation issues de son GPS. Finalement, rester non identifié devient une gageure.

B. Une pression croissante de l’État

Depuis une dizaine d’années, les initiatives de la part des gouvernements pour tenter de réguler et de contrôler internet se sont multipliées. Rappelons les révélations d’Edward Snowden en 2013, qui ont montré que les collectes massives d’informations par la NSA, concernant des citoyens du monde entier, dépassaient le cadre de la lutte nécessaire contre le terrorisme ou contre les autres risques géopolitiques.

La France n’est pas en reste, puisque son service de renseignement extérieur, la DGSE (Direction Générale de la Sécurité Extérieure), a également à sa disposition un système d’interception massif d’Internet, sans compter sa proximité avec l’opérateur Orange. Au delà des services de renseignement, ces dernières années, le législateur français a été particulièrement attentif à la régulation d’internet :  LCEN (loi pour la confiance en l’économie numérique) ; DADVSI (loi relative aux droits d’auteur et droits voisins dans la société d’information) , LOPPSI 2 (loi d’orientation et de programmation pour la performance de la sécurité intérieure), Hadopi (loi Création et Internet de la Haute autorité pour la diffusion des œuvres et la protection des droits sur internet) ou encore les lois antiterroristes qui accroissent la surveillance du réseau à la recherche de potentiels terroristes.

Cette pression croissante des gouvernements à des fins de contrôle, de régulation et de surveillance peut se faire au détriment de l’anonymat des utilisateurs d’internet.

Le 15 novembre 2001, la France a adopté la loi sur la sécurité quotidienne, dont l’article 29 oblige les fournisseurs d’accès à internet à conserver les identifiants de connexion de leurs abonnés. Ses mesures, dont l’article 29, auraient dû arriver à expiration fin décembre 2003. Cependant un amendement de la loi sur la sécurité intérieure du 21 janvier 2003, a pérennisé les mesures de conservation des identifiants et les a séparées du motif terroriste, leur raison d’être de l’adoption de la première loi. Ces mesures sont désormais présentes dans l’article 34-1 du Code des postes de communications électroniques.

À partir de la loi de 2004 et de la loi pour la confiance en l’économie numérique, la conservation des identifiants de connexion, qui devait être effectuée uniquement par les opérateurs de télécommunications, donc les fournisseurs d’accès à internet, concerne également les hébergeurs, c’est à dire, tous les sites qui mettent à disposition du public un service de  » stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature  » (sites d’informations, services de vidéo type Dailymotion ou Youtube, Wikipédia…). Le décret précisant les modalités n’est intervenu que le 1er mars 2012.

Le 30 juillet 2021, la loi n° 2021-998 relative à la prévention d’actes de terrorisme et au renseignement a été adoptée. Ce texte, par le biais de son article 17, a  modifié l’article L34-1 du Code des postes et des communications électroniques ainsi que l’article 6-II de la LCEN.

Ce texte révise la loi sur le renseignement du 24 juillet 2015 notamment pour tenir compte de l’évolution des technologies et des modes de communication utilisés par les terroristes. Les services de renseignement disposent de nouveaux moyens de contrôle, en particulier la possibilité à titre expérimental d’intercepter des communications satellitaires.

  1. Les limites dans le cadre des enquêtes pénales

Par une série de quatre arrêts rendus le 12 juillet 2022 par la chambre criminelle, la Cour de cassation tire les conséquences des décisions rendues par la Cour de justice de l’Union européenne relatives à la conservation des données de connexion et à l’accès à celles-ci dans le cadre de procédures pénales (Crim. 12 juill. 2022, FS-B+R, n° 21-83.710 ; Crim. 12 juill. 2022, FS-B, n° 21-83.820 ; Crim. 12 juill. 2022, FS-B, n° 21-84.096 ; Crim. 12 juill. 2022, FS-B, n° 20-86.652).

D’une part, la Cour de cassation énonce que les données de connexion ne peuvent être obtenues que dans le cadre d’enquêtes pénales relatives à des infractions d’une certaine gravité. A ce propos, la loi n° 2022-299 du 2 mars 2022 visant à combattre le harcèlement scolaire avait déjà limité une telle possibilité aux enquêtes relatives à une infraction punie d’au moins 3 ans d’emprisonnement en application notamment du nouvel article 60-1-2 du Code de procédure pénale.
L’appréciation du caractère grave de la criminalité par les juridictions est également effectuée au regard de la nature des agissements de la personne mise en cause, de l’importance du dommage qui en résulte, des circonstances de la commission des faits et de la durée de la peine encourue.

D’autre part, la Cour de cassation précise que la délivrance de réquisitions relatives aux données de connexion doit faire l’objet d’un contrôle préalable par une juridiction ou une autorité administrative indépendante au sens où l’entend la Cour de justice de l’Union européenne.

La Cour de cassation en conclut que les articles 60-1, 60-2, 77-1-1 et 77-1-2 du Code de procédure pénale n’étaient pas conformes au droit de l’Union européenne. Selon elle, les règles actuelles du Code de procédure pénale, qui permettent au procureur de la République ou à un enquêteur d’accéder à ces données, sont contraires au droit de l’Union car elles ne prévoient pas un contrôle préalable par une juridiction ou une entité administrative indépendante. Bien que la Cour valide la compétence du juge d’instruction en la matière, elle considère en revanche que le procureur de la République, en ce qu’il incarne une autorité de poursuite, ne peut pas ordonner de telles mesures d’investigation.

Par le passé, la Cour de justice de l’Union européenne avait en effet jugé, par un arrêt de sa Grande chambre du 2 mars 2021, H. K. et Prokuratuur, C-746/18, que « l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale. »

La Cour de cassation a toutefois jugé que les éléments de preuve ainsi obtenus ne peuvent être annulés que si une telle irrégularité portait concrètement atteinte aux droits de la personne poursuivie. Cette interprétation permet de limiter les cas dans lesquels la nullité des actes serait encourue et de sauvegarder la plupart des procédures pénales en cours.

Pour lire une version plus complète de cet article sur l’anonymat sur internet, cliquez sur ce lien

Sources :

Sources :

https://books.google.fr/books?id=zSsTBQAAQBAJ&pg=PR18&lpg=PR18&dq=anonymat+sur+internet+mémoire&source=bl&ots=1x_SHNL5q8&sig=YwazYsBgPmSWpV-Tqbi1hwnlvMc&hl=fr&sa=X&ved=0ahUKEwjksqHopafLAhUGVxoKHWTYAggQ6AEIOTAF#v=onepage&q=anonymat%20sur%20internet%20mémoire&f=false
http://www.journaldunet.com/ebusiness/le-net/1169618-vers-un-reglement-europeen-sur-la-protection-des-donnees-qui-vise-les-plateformes-us/
http://www.zdnet.fr/actualites/etat-d-urgence-le-gouvernement-n-interdira-pas-le-wi-fi-public-et-tor-39829552.htm
http://rue89.nouvelobs.com/blog/oh-my-code/2016/03/05/respect-de-la-vie-privee-apple-ou-surveillance-generalisee-fbi-vous-de-choisir-235245

Par internet-et-droit • Tags: , , , ,

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement

Par internet-et-droit • Tags: , , ,

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Par internet-et-droit • Tags: ,

DROIT DES RESEAUX ET COMMUNICATIONS ELECTRONIQUES

L’ancien droit des télécommunications est devenu le droit des postes et communication électronique (CPCE). C’est du droit public, mais porte également sur le droit privé ( droit des biens, contrats. )

Ce sujet couvre deux points :  les règles en matière d’établissement et la gouvernance des réseaux y compris le secteur d’internet. Tout ceci inclut le réseau internet, et notamment la régulation des noms de domaines.
NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Les responsabilités et obligations des acteurs des réseaux sont partagées entre les transporteurs et fournisseurs d’accès, les hébergeurs, les éditeurs, les plateformes et les moteurs de recherche.

I. Préambule – Concepts de base

A. L’existence quatre concepts majeurs 

Il existe quatre concepts en droit des réseaux à savoir, la communication électronique, le réseau de communications électroniques, les services de communications électroniques et le domaine public hertzien.

Concernant la communication électronique, on entend par communications électroniques les émissions, transmissions ou réception de signes, de signaux, d’écrits, d’images ou de sons, par voie électronique » (CPCE art L. 32). Mais aussi, les filaires c’est-à-dire les câbles, les aériennes et la fibre optique.

Réseau de communications électroniques est prévu par l’article L32 du Code des postes et des communications électroniques. « On entend par réseau de communication toute installation ou tout ensemble d’installation de transport ou de diffusion ainsi que le cas échéant, les autres moyens assurant l’acheminement de communications électroniques, notamment ceux de commutation et de routage. Sont notamment considérés comme des réseaux de communications électroniques : les réseaux satellitaires, les réseaux terrestres, les systèmes utilisant le réseau électrique pour autant qu’ils servent à l’acheminement de communications électroniques et les réseaux assurant la diffusion ou utilisés pour la distribution de services de communication audiovisuelle ». (Art L32 CPCE).

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les services de communications électroniques sont prévus par les dispositions de l’article L32 du Code de poste de communication électronique « On entend par service de communications électronique consistant entièrement ou principalement en la fourniture de communications électroniques. Ne sont pas visés lex services consistant à éditer ou à distribuer des services de communication au public par voie électronique » (CPCE, art L32)

Ce principe recouvre essentiellement les services d’accès internet et les services téléphoniques, ainsi que les services de communications interpersonnelles tels que Skype, services de messagerie comme whatsApp et les services de webmail comme Gmail).

Ce service consiste entièrement ou principalement en la transmission de signaux comme les services de transmission utilisés pour la fourniture de services de machine à machine et pour la radiodiffusion. Un opérateur de service téléphonique fournit une prestation consistant à acheminer les communications.

Il est à noter que l’opérateur réseau est celui qui fait fonctionner le réseau. Un opérateur de réseau est toujours un fournisseur de communications électroniques. Ce qui permet de couvrir certains opérateurs qui ne sont pas opérateurs, simple fournisseur de réseau, mais pas opérateur.

Concernant le domaine public hertzien, il s’agit en réalité « d’ondes radioélectriques ou ondes hertziennes » ce sont des ondes électromagnétiques dont la fréquence est par convention inférieure à 3000 GHz, se propageant dans l’espace dans guide artificiel.

Ce principe est régi par l’article L.2124-26 du Code général de la propriété des personnes publiques : « L’utilisation, par les titulaires d’autorisation, de fréquences radioélectriques disponibles sur le territoire de la République, constitue un mode d’occupation privatif du domaine public de l’État ».

En conséquence les fréquences peuvent donc être affectées à certaines utilisations, mais doivent l’être à l’utilité publique. Le régime de la domanialité publique : inaliénabilité, imprescriptibilité.

Par ailleurs, le secteur des télécoms a fait l’objet d’un processus de déréglementation au niveau de l’Union européen, sous l’influence du droit communautaire. Les raisons de cela sont liées à la liberté d’expression pour la télévision, idem en matière de communication électronique, on est passé à un système libéral avec certaines limites avec des déclarations préalables.

Les chaines de télé ne payent pas pour l’utilisation de fréquences, mais sont soumises à de nombreuses obligations (en termes de programme. Pour la téléphonie, il n’y a pas de contenu, mais des obligations de sécurité c’est ce qui explique le paiement de la redevance internet.

La gestion du spectre hertzien est prévue par les Règlements internationaux et par des décisions nationales fixant par exemple le tableau national de répartition des bandes de fréquence. Les bandes de fréquences attribuées sont réparties entre neuf affectataires, sept administrations et deux autorités indépendantes : l’ARCEP, pour les services de communications électroniques, et le Conseil supérieur de l’audiovisuel (ARCOM), pour les services de radiodiffusion (CSE qui est en proie à devenir l’ARCOM).

B. Les sources

Concernant les infrastructures et les services, les dispositions applicables sont régies par le Code de poste de communication électroniques d’exécution et le code européen des communications électroniques en date de 2018, mais pas encore totalement transposées en droit français.

En matière de contenu qui circule sur les réseaux et surtout sur les sites web c’est la directive 2000/31/CE du 8 juin 2000 sur le commerce électronique (« e-commerce »), et la loi du 21 juin 2004 pour la confiance dans l’économie numérique sera applicable.

Son champ d’application est très large sous réserve des directives déjà adoptées dans certains domaines par exemple les directives sur l’audiovisuel et la télévision

La loi Avia a entraîné des obligations pour les sites qui ont été considérés par la commission euro comme contraire au principe du pays d’origine.

La loi de transposition, comme la loi pour la confiance dans l’économie numérique contient le régime de responsabilité des intermédiaires et d’autres règles importantes. Il existe aussi des règles sectorielles selon le contenu comme en matière de jeux par exemple.

II. L’établissement et le contrôle des infrastructures

A. Le droit commun

Le cadre réglementaire est refondu par la directive 2018/1972 du 11 décembre 2018 établissant le code des communications électronique européen.

L’autorité administrative indépendante en charge du secteur est l’ARCEP (autorité de régulation des communications électroniques et des postes). Comme beaucoup d’autorité indépendante, elle a un pouvoir de sanction et de régulation. C’est une véritable autorité sectorielle de concurrence.

B. Internet

Le domaine d’internet présente plusieurs aspects techniques importants.

Il s’agit d’un réseau mondial composé de réseaux de communication électroniques, privés et publics, interconnectés. Il se caractérise par l’utilisation d’une technique de transfert de données par commutation de paquets et par l’utilisation de protocoles de transferts standardisés, dont le plus connu est le protocole IP (Internet Protocole). Il donne accès à des services, liés aux protocoles utilisés ou à certains d’entre eux. Les plus connus sont le World Wide Web et le courrier électronique.

La gouvernance d’internet est régie par le droit des réseaux.

En effet, internet est un réseau de réseaux. À ce titre, il est composé de réseaux électroniques qui sont soumis, dans le territoire concerné et quelquefois sur plusieurs territoires, aux réglementations applicables aux réseaux de communications électroniques.

Mais internet fonctionne également au travers des protocoles standardisés, d’un système d’adressage et d’un système de noms de domaine (DNS). Les entités qui décident des protocoles, qui attribuent les adresses et contrôlent le système DNS contrôlent donc, dans une grande mesure, le cautionnement du réseau.

De plus, l’affectation et l’attribution des identificateurs d’internet et la gestion technique des noms de domaine ont été confiées à une société à but non lucratif de droit californien, l’Internet Corporation for Assigned Names and Numbers (ICANN), fondée en 1998.
L’ICANN dépendait indirectement du département américain du Commerce, avec lequel elle a signé des accords. Elle est devenue indépendante le 1er octobre 2016.

L’ICANN est organisée selon un modèle original. La prise de décision, fondée sur le consens, est encadrée par un processus complexe qui implique la participation des nombreux comités représentatifs des acteurs et des utilisateurs de l’Internet.

Pour lire une version plus complète de cet article sur le droit des réseaux et les communications électroniques, cliquez

SOURCES :

Par Newsletter • Tags: , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes