internet-et-droit

LA SECURITE DU COMMERCE SUR INTERNET

Le développement des nouvelles technologies de l’information et de la communication a permis l’apparition d’internet, et celui-ci a permis la mise en place du commerce en ligne, autrement appelé, commerce électronique.

 C’est la loi pour la confiance dans une économie numérique, du 21 juin 2004, qui définit le commerce électronique dans son article 14 comme « l’activité économique par laquelle une personne propose ou assure à distance et par voie électronique la fourniture de biens ou services ».

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Toutefois, l’immense majorité des contrats conclus dans le commerce électronique s’exécutent dans le monde matériel ; donc souvent des biens corporels qui sont livrés par une personne physique. Et c’est bien parce qu’ils s’exécutent à distance, qu’ils doivent impérativement respecter les conditions de sécurité et de confidentialité. En effet, lorsqu’on réalise un achat sur internet, la plupart du temps, on transfert des données personnelles, données qui peuvent être extrêmement sensibles et que si elles ne sont pas protégées, elles peuvent impacter gravement la vie privée d’une personne

C’est la raison pour laquelle, certaines dispositions concernant la sécurité des paiements, la protection des consommateurs et également, la signature sécurisée des contrats électroniques ont été adoptées.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I. La signature électronique

En vertu de l’article 1367 aliéna 2 du code civil, « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité de la signature assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’État ».

Depuis le règlement européen n° 910/2014 du Parlement européen relatif à la signature électronique (règlement eIDAS), on distingue 3 niveaux de signatures : la signature simple, la avancée et la qualifiée.

Les signatures électroniques ne bénéficiant pas d’une présomption de fiabilité sont la signature électronique simple et avancée.

Qu’est-ce une signature simple ?

Cette signature est définie par le règlement eIDAS du 23 juillet 2014 comme « des données sous forme électronique qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Il faut savoir que cette signature est la plus utilisée, dans la vie courante, puisqu’elle est rapide et efficace.

Toutefois, elle a ses limites, notamment pour la signature numérisée. En effet, la Cour de cassation a rendu un arrêt en date du 17 mai 2006 (Cass. Soc. N° 04-46.706) où elle estimait que la signature manuscrite était scannée apposée sur une lettre de licenciement n’avait pas de valeur probatoire et était donc irrégulière. Par là, il faut comprendre que la signature simple ne permet pas de garantir que la personne qui rédige et appose sa signature est bien la personne qui était présente pour s’engager. Par conséquent, elle apparaît comme la moins fiable puisqu’elle ne permet pas d’authentifier avec certitude la personne qui signe le document ni l’intégrité des données signées.

Ensuite, il y a la signature avancée.

Qu’est-ce une signature avancée ?

L’article 26 du règlement eIDAS prévoit que la signature électronique avancée doit respecter certaines exigences

-Il est nécessaire que la signature soit liée au signataire de manière univoque

-Elle doit identifier le signataire

-Elle doit avoir été créée à l’aide de données de création de signatures électroniques

-Elle doit être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

En revanche, la signature électronique, qui elle bénéficie d’une présomption de fiabilité, est la signature qualifiée. L’article 1er du décret n° 2017-1416 du 28 septembre 2017 énonce ainsi que « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée ».

L’article 3 du règlement eIDAS de 2014 définit la signature qualifiée comme « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signatures électroniques qualifiée, et qui repose sur un certificat qualifié de signature électronique ».

 Ce certificat est en quelque sorte une carte d’identité électronique qui doit permettre d’établir un lien entre la personne et sa signature. Il est délivré par un prestataire de service de confiance qui obtient son agrément auprès de l’ANSSI. Ce certificat doit contenir des mentions obligatoires comme l’identité et la signature du prestataire de services de certification électronique.

Cependant, la jurisprudence a admise que même si une signature électronique ne bénéficie pas d’une présomption de fiabilité, elle pourra être admise par le juge si leur fiabilité technique est démontrée. En effet, dans un arrêt en date du 6 avril 2016, la Cour de cassation a confirmé la décision des juges du fond de considérer comme fiable une signature qui n’a pas été effectuée conformément aux techniques fixées par décret.

En cas de contestation de la fiabilité d’une signature électronique qualifiée, il appartiendra à celui qui conteste de prouver que la signature n’est pas fiable. Dès lors, la charge de la preuve est inversée.

II. Sécurité des paiements en ligne

Aujourd’hui, pour effectuer un achat en ligne, il est nécessaire de passer par une opération de paiement, et celle-ci doit être sécurisée et confidentielle.

L’article L. 133-3 du code monétaire et financier dispose qu’une opération de paiement est une action consistant à verser, transférer ou retirer des fonds, indépendamment de toute obligation sous-jacente entre le payeur et le bénéficiaire, initiée par le payeur, ou pour son compte, ou par le bénéficiaire.

A l’heure actuelle, il existe plusieurs moyens de paiement électroniques :

1.Paiement par carte bancaire en ligne ou par e-carte bancaire

La banque attribue à son client un numéro de carte à usage unique, cela évite la circulation du numéro de la carte bancaire. Concernant la sécurité, le prestataire doit s’assurer que les dispositifs de sécurité personnalisés de la carte ne soient pas accessibles à d’autres personnes. Le titulaire de la carte s’oblige à rembourser à la banque, les sommes qui sont représentatives des achats.

2.La monnaie électronique

La monnaie électronique n’est pas à confondre avec la cryptomonnaie. La monnaie électronique est une valeur monétaire stockée sous forme électronique sur un support tel qu’une carte prépayée ou tout autre support informatique, représentant une créance sur l’émetteur et qui est émise contre la remise de fonds aux fins d’opérations de paiement.

3.Portefeuille électronique (e-wallet)

C’est l’exemple de PayPal ou ApplePay, et c’est un  système dans lequel sont stockées des données personnelles, coordonnées et des données bancaires.

4.Cryptomonnaies ou actifs numériques

Elles fonctionnent grâce au Blockchain, le bitcoin naturellement.

Ils sont considérés comme des « tokens » les jetons non fongibles, tout instrument contenant sous forme numérique des unités de valeurs monétaires pouvant être transférées ou conservées dans le but d’acquérir en biens ou services, mais ne représentant pas des créances sur la méthode.

Il convient toutefois de préciser que les paiements faits sur bitcoin sont faits dans un but lucratif ; en France le paiement d’argent s’effectue en euro (art. 1343-3 du Code civil).

III. Protection des consommateurs

Les consommateurs sont aussi protégés lorsqu’ils effectuent des achats en ligne. La plupart des opérations nécessitent une authentification forte. Celle-ci s’entend comme une procédure permettant au prestataire de services de paiement de vérifier l’identité d’un utilisateur de services de paiement

La loi impose le remboursement immédiat pour toute transaction effectuée sans authentification forte. Toutefois, en cas de fraude à la carte bancaire, le porteur peut obtenir le remboursement des débits frauduleux et des frais occasionnés en s’adressant auprès de sa banque. L’établissement de crédit doit rembourser le payeur le montant de l’opération immédiatement après avoir pris connaissance de l’opération ou après en avoir été informé. En cas de perte, de vol, etc. , le payeur supporte les conséquences avant d’avoir formé opposition même s’il y a un plafond de 50 euros.

Cependant, le payeur supporte toutes les pertes occasionnées par des opérations de paiement non autorisées si ces pertes résultent d’un agissement frauduleux de sa part ou s’il n’a pas satisfait intentionnellement ou par négligence grave aux obligations mentionnées aux articles L. 133-16 et L. 133-17 du code monétaire et financier.

Selon une jurisprudence de la chambre commerciale de la Cour de cassation, la faute du porteur de carte ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été effectivement utilisés (Com. 18 janvier 2017, n° 15-18.102).

La victime du hameçonnage peut voir sa responsabilité engagée pour négligence grave s’il a reçu un courriel frauduleux et communiqué des données sensibles. La négligence grave doit s’apprécier in abstracto aux regards d’indices et au regard d’un utilisateur normalement attentif aux caractéristiques d’un courriel frauduleux.

Par ailleurs, les personnes dont les données personnelles font l’objet d’un traitement bénéficient de plusieurs droits :

-Droit d’accès (article 15 du RGPD)

-Droit de rectification (article 16 du RGPD)

-Droit à l’oubli (article 17 du RGPD)

-Droit à la limitation du traitement (article 18)

-Droit à l’opposition

Aussi, le responsable de traitement doit s’assurer dans un premier temps que les données traitées sont bien protégées dès la conception de l’outil numérique concerné (Privacy by design). Il aura alors recours à certaines techniques très spécifiques telles que la pseudonymisation ou la minimisation des données – selon la CNIL “le principe de minimisation des données prévoit que les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées”.

Les pratiques commerciales déloyales sont interdites. Selon l’article L. 121-1 du code de la consommation est considérée comme déloyale une pratique commerciale contraire aux exigences de la diligence professionnelle et qui altère ou est de nature à altérer de manière substantielle le comportement économique du consommateur

Sont des pratiques déloyales, des pratiques trompeuses et dangereuses.

Les pratiques trompeuses sont visées à l’article L. 121-2 et L. 121-3 du code de la consommation et sont interdites, car regardées comme déloyales à l’égard des consommateurs, dans la mesure où elles reposent sur des allégations, indications ou présentations fausses ou de nature à induire en erreur le consommateur ou encore parce qu’elles se caractérisent par une ou des omissions.

La pratique dangereuse, elle, soit altère ou est de nature à altérer de manière significative la liberté de choix d’un consommateur ; soit elle vicie ou est de nature à vicier le consentement d’un consommateur ; soit elle entrave l’exercice des droits contractuels d’un consommateur (article L. 121-6 code de la consommation).

Toutefois, malgré toutes ces dispositions, la sécurité dépendra surtout du comportement du consommateur ou de l’utilisateur. Ce dernier doit, en effet, adopter certains mécanismes lorsqu’il surfe sur le net. Il est, ainsi, recommandé :

1) ne jamais communiquer des données sensibles (numéro de carte bancaire, identifiants personnels) en cliquant sur un lien envoyé par courrier électronique ;

2) toujours vérifier, dans la barre d’adresse du navigateur, l’adresse du site internet avant de saisir les informations demandées ;

3) toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandés des identifiants ;

4) lors de la consultation de sites sécurisés (sites bancaires, par exemple), s’assurer de l’activation du cryptage des données (l’adresse du site doit commencer par https et non par http)

5) en cas de doute, prendre contact directement avec l’entreprise concernée (votre banque, votre fournisseur d’accès à l’internet, etc.) pour lui signaler le message suspect.

Pour lire une version plus complète de la sécurité du commerce sur internet, cliquez

SOURCES :

https://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-reglement-eidas/
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000035676246/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032389405/

LA RESPONSABILITÉ DE L’EMPLOYEUR DU FAIT DE L’USAGE DES MAILS PAR SES SALARIES

Aujourd’hui, l’utilisation d’internet par les salariés est essentielle pour de nombreuses entreprises. Néanmoins, l’usage que peut faire le salarié de la connexion internet de l’entreprise pourrait amener à engager la responsabilité de l’employeur. Mais alors, quelle est la responsabilité de l’employeur du fait de l’usage des mails par ses salariés ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Classiquement, la responsabilité de l’employeur vis-à-vis des faits de son salarié correspond à la responsabilité délictuelle prévue dans le Code civil.

Cependant, bien que l’employeur puisse être tenu responsable des actes de ses salariés, la responsabilité de ces derniers n’est pas totalement exclue.

Nous verrons dans le cadre de la responsabilité de l’employeur du fait de l’usage des mails par ses salariés que pour certains, la sévérité vis-à-vis de l’employeur est justifiée par la nécessité de protéger les victimes. Mais dans certains cas, d’autres estiment que cela est particulièrement difficile pour l’employeur.

De nos jours, l’utilisation des mails est quotidienne dans l’entreprise, par conséquent, la responsabilité de l’employeur devrait peut-être se voir limitée.

I. La responsabilité civile des commettants du fait de leurs préposés

L’article 1242 alinéa premier du Code civil dispose que  “on est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que lon a sous sa garde”.

Également, l’article 1242 alinéa 5 du Code civil énonce que “les maîtres et les commettants …sont responsables… du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés.


Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Par conséquent, l’employeur est responsable des activités de ses salariés. Il s’agit d’une responsabilité de plein droit. Aucune faute de l’employeur n’est nécessaire pour que sa responsabilité puisse être engagée.

Dans un arrêt rendu le 19 mai 1988 en assemblée plénière, la Cour de cassation a eu l’occasion de définir les contours et les limites de cette responsabilité. La Cour a dégagé trois conditions pour exonérer l’employeur de sa responsabilité, ces dernières doivent toutes être remplies. Tout d’abord, il faut que le salarié ait agi hors de ses fonctions, ensuite qu’il ait agi dans l’autorisation de l’employeur et enfin que le salarié ait agis à des fins étrangères à ses attributions. Si toutes ses conditions sont remplies, alors, l’employeur se verra exonéré de sa responsabilité et le salarié sera seul responsable de ses actes.

La jurisprudence n’admet cependant que rarement l’exonération de la responsabilité de l’employeur.

Dès lors que l’infraction est commise sur le lieu de travail du salarié et pendant son temps de travail, la jurisprudence estime que le salarié n’a pas agi à des fins étrangères à ses attributions.

Dans un arrêt rendu par la Cour de cassation le 17 mars 2011, la cour n’a justement pas retenu l’exonération de la responsabilité de l’employeur alors qu’au vu des faits, on aurait pu s’attendre à une décision contraire. En effet, plusieurs élèves avaient été victimes d’agressions sexuelles par leur professeur de musique. Ce dernier avait agi pendant son temps de travail et sur son lieu de travail. Cet arrêt illustre la difficulté pour l’employeur de réunir les conditions d’exonération de responsabilité.

II. La responsabilité de l’employeur du fait de l’activité de ses salariés sur internet

L’émergence d’internet dans le monde du travail a amené au développement de la responsabilité de l’employeur du fait des activités de ses salariés. En effet, internet a étendu le champ ces activités.

Dans un arrêt rendu par la cour d’appel d’AIX le 13 mars 2006 a eu l’occasion de se prononcer sur la question de la responsabilité de l’employeur du fait de l’activité de ses salariés sur internet. En l’espèce, un employé d’une entreprise de nouvelles technologies avait sur son lieu de travail confectionné un site internet ayant pour objectif de critiquer de manière agressive une grande société d’autoroutes. Pour réaliser ce site internet, il avait en grande partie utilisé les ressources de son entreprise. La société d’autoroute a alors porté plainte contre l’employeur du salarié.

Le salarié a été condamné sur différents fondements au regard de son activité délictuelle et dommageable (contrefaçon …).

De manière plus étonnante, La Cour de cassation a également retenu la responsabilité de l’employeur en vertu de l’article 1242 alinéa premier du Code civil. Il s’agit du premier cas où un employeur voit sa responsabilité retenue du fait de l’activité de l’un de ses salariés sur internet. Il convient de comprendre pourquoi les juges n’ont pas retenu, les critères d’exonération de la responsabilité de l’employeur dégagé par la jurisprudence, en l’espèce.

Concernant le premier critère, à savoir si l’employé a agi ou non dans le cadre de ses fonctions, la cour considère que le salarié avait bien agi dans le cadre de ses fonctions. Ce dernier était un technicien et utilisait par conséquent un ordinaire et disposait d’une connexion à internet quotidienne pour remplir ses fonctions.

Sur le second critère, la cour estime que le salarié n’a pas agi sans autorisation. En effet, son employeur lui avait même laissé une note indiquant qu’il pouvait utiliser d’autre site internet si ces derniers présentaient un intérêt direct avec son activité.

Néanmoins, il est courant dans les entreprises que les salariés puissent consulter des sites qui ne seraient même pas en relation avec leur activité sans pour autant qu’une note les y autorisent. Par conséquent, dans des cas d’espèce similaires d’autres salariés n’ayant pas cette autorisation express auraient donc agi sans l’autorisation de l’employeur.

Le dernier critère, portant sur le fait que l’employé est agi à des fins étrangères à ses attributions, pour les juges, ce n’est pas le cas. Ils ont estimé que le salarié ayant été autorisé à utiliser l’accès à internet, et ce, même en dehors de ses heures de travail n’avait donc pas agi à des fins étrangères à ses fonctions. Ici aussi, de nombreux salariés auraient pu se retrouver dans cette situation.

Ainsi, la solution retenue en l’espèce est particulièrement sévère pour l’employeur, cette situation pouvant arriver fréquemment avec l’omniprésence d’internet dans les entreprises.

Tous les salariés peuvent publier facilement sur des forums, réseaux sociaux ou encore des blogs. On pourrait donc facilement y retrouver de la diffamation ou de la contrefaçon.

Il apparaît donc important que les employeurs puissent agir contre l’engagement de leur responsabilité du fait des activités de leur salarié sur internet. Cela pourrait amener à un refus d’utilisation d’internet (inscrit au règlement intérieur) pour des utilisations autres que celles en rapport direct avec l’activité du salarié.

Cependant, il est nécessaire de rappeler que cette responsabilité a pour objectif d’assurer à la victime une protection bien supérieure, en effet, l’employeur étant généralement plus solvable que le salarié. Également, empêcher ses salariés d’avoir accès à internet apparaît aujourd’hui comme bien trop radicale, voire impossible selon le métier.

III. Le pouvoir de surveillance et de contrôle de l’employeur

Les employeurs peuvent contrôler et limiter l’utilisation d’Internet pour empêcher une utilisation abusive des outils informatiques dans leurs entreprises. Pour ce faire, l’employeur dispose d’un pouvoir de surveillance et de contrôle. Ces pouvoirs peuvent donc révéler des manquements éventuels de la part de ses salariés, assurer la sécurité du réseau de l’entreprise et limiter les utilisations à des fins personnelles d’internet par les salariés.

L’employeur pourra à ce titre avoir accès aux fichiers créés sur le temps de travail, aux courriels issus de la boîte mail professionnelle ainsi qu’aux sites internet visités par le salarié.

Cependant, les pouvoirs de l’employeur ne doivent pas être exercés de manière excessive. Le salarié bénéficie du droit au respect de sa vie privée, principe découlant de l’article 9 du Code civil. Le salarié doit avoir connaissance de la possible surveillance de l’employeur. Également, si un fichier est identifié comme strictement personnel par le salarié avec la mention “PERSONNEL” ou “STRICTEMENT PERSONNEL” alors l’employeur ne pourra avoir accès à ces fichiers qu’en présence du salarié. Concernant les courriels, le principe est similaire, si le salarié les identifie comme strictement personnels alors l’employeur ne pourra y avoir accès.

Enfin, la Cour de cassation dans un arrêt rendu le 9 juillet 2008 a eu l’occasion de se prononcer sur les connexions internet réalisées via la connexion mise à disposition du salarié par l’entreprise. La cour juge que l’employeur doit pouvoir avoir accès aux sites consultés par son salarié. Également, il a été précisé que même si les sites ont été mis en favoris, cela ne leur confère pas un caractère privé.

Pour lire une version plus complète de cet article sur la responsabilité de l’employeur du fait de l’usage des mails par ses salariés, cliquez

Source :
https://www.legifrance.gouv.fr/juri/id/JURITEXT000023742368/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000019166094/
https://www.cnil.fr/fr/les-outils-informatiques-au-travail

Newsletter

Newsletter Mai 2022

 

MONDE : Effondrement des ventes de NFT

+++

 

Technologie :  Les transactions en lien avec les NFT ont connu une baisse de près de 92% en comparaison avec septembre dernier. La vente de NFT s’élève à hauteur d’environ 19 000 par semaine, contre 225 000 en septembre.

(WallStreetJournal)

 

###

 

MONDE : GOOGLE propose à ses utilisateurs de demander la suppression des résultats de recherche aux données privées

 

+++

 

Actualité : Il est désormais possible pour les utilisateurs de demander la suppression dans les résultats de recherche GOOGLE de certaines données personnelles telles que le numéro de téléphone, l’adresse électronique ou encore l’adresse physique.

(Zdnet)

 

###

 

MONDE : La société Rivos poursuivie par Apple pour vol d’information commerciale relative à ses puces électroniques

 

+++

 

Le géant Apple reproche à la start-up américaine Rivos d’avoir embauché 40 de ses anciens salariés qui auraient emporté avec eux des fichiers confidentiels.

(UsineDigital)

 

###

 

USA : Le FBI démantèle un réseau utilisé par les Russes pour mener de possibles cyberattaques

 

+++

 

Le ministère de la justice américaine a annoncé avoir démantelé le réseau « botnet », soupçonné d’être utilisé par les services de renseignement militaire russes.

(LeMonde)

 

###

 

USA : Nvidia condamné à une amende de 5,5 millions pour dissimulation d’information

 

+++

 

Technologie : Le fabricant de puces électroniques Nvidia a été condamné à une amende de 5,5 millions d’euros par la Securities and Exchange Commission. Il lui était reproché d’avoir dissimulé aux investisseurs le véritable impact de la cryptomonnaie sur les revenus de son activité de gaming.

(Zdnet)

 

###

 

MONDE : Elon Musk achète Twitter pour 44 milliards de dollars

 

+++

 

Le PDG de Tesla rachète le réseau social Twitter pour 44 milliards de dollars. Il considère la plateforme comme « la place publique numérique où les sujets vitaux pour le futur de l’humanité sont débattus »

(Europe1)

 

 

USA : GitHub met en place l’authentification à double facteur

 

Sécurité : La société américaine a décidé de mettre en place dès 2023 l’authentification à double facteur pour sécuriser « l’écosystème logiciel en améliorant la sécurité des comptes ».

(Zdnet)

 

###

 

USA : Réinitialisation des mots de passe des utilisateurs d’Heroku après une intrusion

 

+++

 

Sécurité : L’entreprise de cloud américaine Heroku a dû réinitialiser les mots de passe de ses utilisateurs après avoir détecté une intrusion.

(Zdnet)

 

###

 

USA :  Google : Suppression d’applications suspectées d’espionner les utilisateurs

 

+++

 

Des applications disponibles pour Android suspectées d’avoir collecté les données personnelles de leurs utilisateurs, ont fait l’objet d’une suppression par Google.

(LeMonde)

 

###

 

AUSTRALIE : Facebook accusé d’avoir volontairement bloqué l’accès à des pages du gouvernement pour empêcher le vote d’une loi

 

+++

 

Selon les révélations du Wall Street Journal du 5 mai 2022, Facebook aurait bloqué l’accès à des pages du gouvernement pour empêcher de faire passer une loi. Cette dernière avait vocation à imposer aux GAFAM la rémunération pour les contenus journalistiques qui apparaissent sur les pages de ces géants du web.

(LeMonde)

 

###

 

PAYS-BAS : Le système de paiement d’Apple reste non conforme selon l’autorité de la concurrence néerlandaise

 

+++

 

Juridique : Après avoir déjà fait l’objet d’une condamnation par l’autorité de la concurrence néerlandaise pour utilisation de « conditions déraisonnables pour les fournisseurs d’applications de rencontre » sur l’Apple Store, l’autorité estime que les efforts d’Apple ne sont toujours pas suffisants et risque par conséquent une nouvelle amende.

(UsineDigital)

 

###

 

ALLEMAGNE : META : Ciblé par une nouvelle loi allemande sur la concurrence

 

+++

 

Juridique : Une nouvelle classification permet à la Bundeskartellamt (l’autorité de la concurrence Allemande) de pouvoir limiter davantage le pouvoir du géant du net META.

(Zdnet)

 

###

 

ESPAGNE : Le Premier ministre espagnol espionné par le logiciel israélien PEGASUS

 

+++

 

Technologie : Nouvelle victime du logiciel PEGASUS, le smartphone du Premier ministre espagnol a lui aussi été espionné. Une plainte a été déposée par le gouvernement espagnol.

(Zdnet)

 

###

 

EUROPE : Volonté de créer un espace européen pour les données de santé

 

+++

 

Législation : La Commission européenne a présenté un projet de règlement pour la création d’un espace commun de partage de données de santé pour les citoyens européens. Ce règlement permettrait « un marché européen des dossiers médicaux électroniques ».

(Zdnet)

 

###

 

EUROPE : La Commission européenne accuse Apple Pay d’abus de position dominante

 

+++

 

Juridique : Apple Pay fait l’objet d’une accusation d’abus de position dominante par l’Union européenne. L’application est accusée de favoriser sa solution de paiement au détriment de la concurrence.

(Zdnet)

 

###

 

EUROPE : Un journal interdit de publier une photographie avec pour légende « Néo-nazi condamné », la Cour européenne estime qu’il n’y a pas de violation de l’article 10 de la convention européenne des droits de l’homme

 

+++

 

Juridique : La Cour européenne des droits de l’homme a estimé dans une décision en date du 26 avril 2022 que l’interdiction de la publication dans un journal d’une photographie avec pour légende « Néo-Nazi condamné » ne constituait pas une violation de l’article 10 de la convention européenne des droits de l’homme.

(Légipresse)

 

###

 

EUROPE : La Commission européenne accuse Apple Pay d’abus de position dominante

 

+++

 

Juridique : Apple Pay fait l’objet d’une accusation d’abus de position dominante par l’Union européenne. L’application est accusée de favoriser sa solution de paiement au détriment de la concurrence.

(Zdnet)

 

###

 

EUROPE : Accord final concernant le Digital Services Act

 

+++

 

Législation : Le samedi 23 avril 2022, le règlement qui a pour but d’encadrer davantage les géants du web et les contenus en ligne a fait l’objet d’un accord entre le Parlement et le Conseil européen.

(Franceculture)

 

###

 

EUROPE : Vers une norme de l’USB-C pour tous les smartphones et tablette dans l’Union européenne

 

+++

 

Législation : Les députés européens ont voté en faveur de la proposition de la Commission européenne visant à obliger les fabriquant à proposer leur appareil avec un port USB-C. Le géant Apple est notamment la cible de cette proposition.

(Zdnet)

 

###

 

EUROPE : Les associations de consommateurs peuvent intenter une action représentative contre les atteintes à la protection des données

 

+++

 

Jurisprudence : La Cour de justice de l’Union européenne dans un arrêt rendu le 28 avril 2022 a estimé que l’article 80 du RGPD ne s’oppose pas à ce que des associations de défense des consommateurs puissent exercer des actions représentatives contre les atteintes à la protection des données.

(LEGALIS)

 

###

 

FRANCE : Le Conseil d’Etat confirme la sanction prononcée par le CSA contre RMC Découverte pour non-respect de son obligation de diffuser 75% de documentaire sur la chaîne

 

+++

 

Juridique : Le Conseil d’Etat a confirmé le 22 avril 2022 la sanction prononcée par le CSA en 2016. Cette sanction avait été prononcée suite à l’observation par le CSA de manquements à l’obligation de RMC Découverte de diffuser à 75% des documentaires. En 2017, la diffusion de ces derniers ne représentait toujours que 59,2%.

(Légipresse)

 

###

 

FRANCE : Amende de 375 000 euros pour travail dissimulé prononcé contre DELIVEROO

 

+++

 

Juridique : Le tribunal correctionnel de Paris a condamné le Mardi 19 avril 2022 l’entreprise DELIVEROO pour travail dissimulé. La plateforme de livraison de repas a été condamnée à une amende de 375 000euros. Devra figurer sur le site internet, les locaux ainsi que sur la plateforme le jugement rendu pendant deux mois

(Zdnet)

 

###

 

FRANCE : CNIL : Procédure de sanction simplifiée

 

+++

 

Législation : En raison du nombre croissant de plainte déposée auprès de la CNIL, des procédures simplifiées pour les mises en demeure et les sanctions ont été mise en place.  Ces modifications ont été prévues par une loi en date 24 janvier 2022 sur la responsabilité pénale et la sécurité suivie d’un décret d’application du 8 avril 2022.

(Légipresse)

 

###

 

FRANCE : Parution du décret d’application concernant l’enregistrement des audiences

 

+++

 

Législation : Le décret d’application a été promulgué le 31 mars 2022. Il vient apporter des précisions quant au cadre légal qui entoure les demandes d’autorisation d’enregistrement des audiences.

(Légipresse)

 

###

 

FRANCE : Publication d’un nouveau décret concernant France Identité numérique

 

+++

 

Législation : Suite à l’échec d’Alicem, solution basée sur la reconnaissance faciale dénoncée comme intrusive, le gouvernement a publié un nouveau décret le 26 avril 2022. Ce dernier est relatif au nouveau service France Identité numérique qui prendra la forme d’une application mobile et permettra aux porteurs de la nouvelle carte d’identité à puce de pouvoir bénéficier d’une identité numérique. Les cartes pourront stocker certaines données, permettant par exemple de prouver de manière sécurisée sa majorité.

(OuestFrance)

###

 

FRANCE : Encadrement de l’exposition des mineurs de moins de 16 ans sur les plateformes

 

+++

 

Législation : Un décret relatif à l’encadrement de l’exploitation commerciale de l’image d’enfants de moins de seize ans sur les plateformes en ligne a été publié le 28 avril 2022. Ce décret a pour objectif de définir les règles et les contours de cette exposition.

(Zdnet)

 

###

 

FRANCE : Un hôpital victime d’une attaque informatique : Vol et mise en vente des données

 

+++

 

Sécurité : L’hôpital GHT Cœur du Grand Est a été victime d’une attaque informatique. Une demande de rançon d’un montant de 1,3 million de dollars avait été demandée. De nombreuses données ont été dérobées et mises en vente sur une place de marché illégale. Les données de santé continues d’être la cible des attaques informatiques.

(Zdnet)

 

###

 

FRANCE : Le licenciement de l’animateur TEX pour une blague sexiste confirmé

 

+++

 

Juridique : La Cour de cassation a jugé que la sanction infligée à l’animateur pour avoir tenu des propos sexistes dans une émission de télévision était proportionnée. La Cour a estimé que le licenciement de l’animateur intervenu après une blague sexiste ne constituait pas une atteinte excessive à la liberté d’expression du salarié.

(Légipresse)

###

FRANCE : L’appréciation de l’originalité d’une œuvre est un moyen de défense au fond et ne peut constituer une fin de non-recevoir.

+++

Jurisprudence : Le juge de la mise en l’état du tribunal judiciaire de Marseille a, dans une ordonnance d’incidence en date du 3 mai 2022, estimé que l’appréciation de l’originalité d’une œuvre de l’esprit ne pouvait faire l’objet d’une fin de non-recevoir. Cette dernière relève d’un débat de fond.

(LEGALIS)

###

FRANCE : L’Arcom menace YouPorn et Redtube de bloquer leurs services

+++

Juridique : L’autorité de régulation de la communication audiovisuelle et numérique (ARCOM) a mis en demeure YouPorn ainsi que Redtube. L’Arcom demande à ces sites de bloquer au plus vite l’accès aux mineurs, auquel cas, ils s’exposeront à un arrêt de leur service sur décision judiciaire.

(LeMonde)

 

###

FRANCE : La CNIL condamne l’entreprise Dedalus à une amende de 1,5 millions d’euros

+++

Juridique : A la suite d’une fuite de données, la CNIL a condamné l’entreprise Dedalus à une amende de 1,5 million d’euros en raison de nombreux manquements de sécurité ayant permis la fuite de nombreuses données de santé.

(LeMonde)

 

Identité et mort numérique

Malgré une réelle volonté d’accompagner la société dans sa transition numérique et des lois protectrices de la vie privée, il y a encore des progrès à faire pour mieux encadrer les données personnelles. Il faudrait en particulier préciser l’identité numérique et la mort numérique. L’identité numérique permet l’identification de l’individu grâce à l’ensemble des informations recueillies en ligne. En découle la « mort numérique », c’est-à-dire du sort de l’identité numérique après la mort de l’individu. 

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

L’identité numérique est le plus souvent composée d’un compte personnel, d’un mot de passe et d’une adresse email, mais elle ne saurait se définir qu’à travers ces composantes. En effet, d’autres facteurs doivent être pris en considération tels que les traces laissées par un individu lors de ses différentes connexions (adresse IP, publications, cookies).

L’identité numérique se distingue de l’identité physique. Elle est facilement falsifiable, et survit après la mort de l’individu. Sa gestion, et plus précisément sa gestion post-mortem est donc particulièrement délicate et sujette à interrogations.

Comme l’indique la CNIL dans un article du 31 octobre 2014, le concept de mort numérique semble :« potentiellement porteur d’interrogations juridiques, mais également sociétales ». Finalement, les données personnelles ont fait l’objet d’une réglementation en 2018, avec le Règlement général pour les données personnelles (RGPD).


Besoin de l’aide d’un avocat pour un problème d’identité numérique ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Quelles sont les interrogations soulevées par les concepts d’identité et de mort numériques ?

I – La qualification des concepts d’identité et de mort numérique

A – La notion d’identité numérique

L’identité numérique ne recouvre pas les mêmes caractéristiques que l’identité physique, il est donc important de faire la différence entre les deux.

L’identité physique d’un individu se définit à travers son état civil, son nom et son domicile. Elle est alors le fondement de l’existence de sa personnalité juridique. Chaque individu possède alors une et une seule identité physique.

L’identité numérique n’est pas lié directement au principe de personnalité juridique et n’est donc pas dépendant de la naissance ou de la mort d’un individu. Un individu peut se façonner artificiellement plusieurs identités numériques.

La commission des affaires économiques de l’Assemblée nationale définit l’identité numérique dans un rapport d’information sur le «développement de l’économie numérique française» du 14 mai 2014 comme « Regroupant l’ensemble des traces laissées par un individu (adresses IP, cookies), ses coordonnées d’identification, les contenus qu’il publie ou partage en ligne (blogs, avis, discussions, contributions à des sites collaboratifs, jeux), ses habitudes de consommation sur internet ou son e-réputation. »

La Cour de Cassation a elle reconnue, le 16 novembre 2016, que l’usurpation d’identité numérique constitue une atteinte à l’honneur et à la consécration de la personne. De plus, l’article 226-4-1 sur l’usurpation d’identité dispose que « Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. ».

Cependant, en l’absence de définition juridique claire de la notion d’identité numérique, il ne peut y avoir de cadre juridique protecteur permettant une meilleure gestion des droits des individus et notamment des droits post-mortem.

Pourtant à l’heure où les contentieux de la reconnaissance du droit à l’oubli et le droit du droit au déréférencement par la Cour de justice de l’Union européenne, dans l’arrêt Google inc. c./ Costeja du 13 mai 2014. Cette notion a finalement été consacrée à l’article 17 du RGPD qui créé un droit à l’effacement, ainsi « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais »

B – la notion de mort numérique

Le principal enjeu de ce concept est celui du traitement des données à la mort du défunt. En l’absence de cadre juridique précis sur la question de la mort numérique, les pouvoirs publics traitent le sujet sous l’angle du droit au respect de la vie privée des héritiers en raison du caractère personnel attaché au droit à l’image. Dans cette perspective, la loi informatique et liberté prévoit dans son article 2 que seule : « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

La loi pour une République numérique revient alors sur ce concept en proposant une modification de l’ancien article 40, aujourd’hui l’article 85 de la Loi informatique et liberté, qui pourrait permettre de résoudre le problème de la transmission des données post-mortem.

Toute personne pourrait ainsi :« définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès. », directives modifiables et révocables à tout moment qui devront définir :«La manière dont la personne entend que soient exercés après son décès les droits qu’elle détient en application de la présente loi. ».

Ce texte apporte alors des réponses au traitement de la mort numérique, qui jusqu’à présent restait en suspens.

Dans son article publié le 28 octobre 2020 sur la mort numérique, elle réaffirme cette position « Actuellement, en l’absence d’une demande de la part des héritiers ou des proches, le profil de la personne décédée continue d’exister. Ce sont aux réseaux sociaux d’organiser le devenir de ces profils. »

Ainsi, c’est aux réseaux sociaux de prévoir la suppression de ces profils. Cependant, dans les faits, il n’est pas toujours aisé de déterminer les profils actifs et ceux inactifs dont le titulaire est décédé. En effet, il se peut tout à fait que le titulaire du compte soit simplement inactif. Le responsable de traitement ne peut donc pas s’occuper de la suppression de comptes en se basant sur l’inactivité de ces derniers.

Il convient donc d’étudier plus en détail comment se passe la gestion post-mortem de l’identité numérique.

II – La gestion post-mortem de l’identité numérique

A – La question de la suppression post-mortem des comptes sur les réseaux sociaux

La CNIL, dans une fiche pratique indique que « Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. À ce titre, le droit d’accès n’est pas transmissible aux héritiers. C’est la raison pour laquelle il n’est pas possible pour la famille d’avoir accès aux données du défunt ».

En effet, il a clairement été tranché par le conseil d’État dans une décision en date du 7 juin 2017 que les héritiers ne peuvent se substituer au défunt dans l’exercice de ses droits personnels. Les héritiers ne peuvent être considérés comme des personnes concernées. En effet, « leur seule qualité d’ayants droit de la personne à laquelle se rapportent les données » ne leur confère pas ce statut.  Ces derniers ne peuvent agir en justice que pour voir réparer un préjudice personnel qui résulterait d’une atteinte à la mémoire du défunt.

Dans une décision du 7 juin 2017, le Conseil d’État rappelle que les héritiers ne sont par principe pas des personnes concernées, cependant il précise que si la victime d’un dommage décède alors le droit à la réparation du dommage dont elle bénéficie se transmet à ses héritiers.

Rapporté au thème de la mort numérique, cela implique donc une impossibilité pour ces derniers de demander à un responsable de site de supprimer des données au nom du défunt. En effet, l’article 85 de la loi de 1978 prévoit seulement que le responsable du traitement des données à caractère personnel prenne en considération le décès et procède aux mises à jour lorsque les héritiers d’une personne décédée en font la requête.

Si la famille d’un défunt n’a théoriquement pas le droit d’aller lire les messages privés échangés par exemple par cette personne sur Twitter, l’article 85 de la loi Informatique et libertés prévoient néanmoins que ses héritiers peuvent malgré tout exiger du responsable d’une plateforme ” qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence “ Les héritiers devront alors justifier de leurs identités. En clair, qu’il ferme ou désactive le compte en question.

La plupart des géants du Net (Facebook, Instagram, Linkedin) proposent ainsi depuis plusieurs années déjà des plateformes de signalement en cas de décès à destination des familles, même si ces procédures s’avèrent aujourd’hui assez fastidieuses dans la mesure où c’est aux proches du défunt de solliciter chaque réseau social et de fournir les justificatifs. Facebook propose notamment la possibilité de transformer le compte d’une personne décédé en « Mémorial », le compte perdure, mais sous une forme différente.

Dans sa fiche pratique en date du 28 octobre 2020, la CNIL propose une liste non exhaustive contenant des liens permettant d’entamer une procédure pour signaler un décès sur les réseaux sociaux. Ces liens vous dirigent directement vers les procédures à suivre pour de nombreux réseaux sociaux.

Le projet de loi Lemaire permet d’apporter en partie une réponse à la difficulté tenant au fait que bien souvent, les proches du défunt ne peuvent pas supprimer un compte ou un profil inactif. Désormais, les héritiers pourraient se subroger dans l’exercice des droits du défunt, de telle sorte qu’à défaut d’une quelconque désignation, dans l’application d’une directive, les héritiers de la personne décédée ont cette qualité pour voir prospérer les dernières volontés du défunt quant au sort de ses données. Le projet de loi précise alors que cela serait possible, « Sauf lorsque la personne concernée a exprimé une volonté contraire dans les directives ».

En outre, à l’heure de l’apparition des cimetières numériques, il est permis de s’interroger sur l’extrapolation du droit à l’oubli et du droit au déréférencement au-delà de la mort. La question est alors de savoir par l’intermédiaire de qui et comment ce droit pourra s’exercer. La question reste sans réponse.

B – La question de la transmission de l’identité numérique post-mortem

La question est de savoir s’il est possible d’intégrer dans un testament ses données informatiques et plus généralement son identité numérique, qui seraient dès lors transmises par un acte juridique aux ayants-droits. À cause des difficultés qui pourront être rencontrées par les ayants-droits, le plus simple reste encore d’organiser le devenir de ses données, de son vivant chez un notaire. D’autres alternatives existent.

Google s’est notamment saisi de la question de la transmission de la vie numérique de ses utilisateurs. L’idée est que son utilisateur pourra programmer un message transférant à un contact de confiance toutes ses données retenues sur ses différents comptes au bout d’une période d’inactivité de son choix. Des sociétés privées ont également mis en place des services de gestion des données post-mortem.
Également, la société Cupertino dispose d’un service nommé « Digital Legacy », ce dernier permet à l’utilisateur de désigner jusqu’à cinq personnes de confiance qui pourront avoir accès à tous les fichiers sauvegardés de l’utilisateur (photos, e-mails, contacts, sauvegardes, etc.) après le décès de celui-ci. Ce procédé a été mis en place par Apple dans la mise à jour IOS 15.2. Ainsi, avec ce dispositif, les données stockées dans le cloud de l’utilisateur ne sont plus perdues.

Pour lire l’article dans sa version complète, cliquer sur ce lien

SOURCES :

http://www.nextinpact.com/news/93503-les-nouvelles-pistes-daxelle-lemaire-pour-projet-loi-numerique.htm
http://www.cnil.fr/linstitution/actualite/article/article/mort-numerique-peut-on-demander-leffacement-des-informations-dune-personne-decedee/
http://www.cnil.fr/en/linstitution/actualite/article/article/mort-numerique-ou-eternite-virtuelle-que-deviennent-vos-donnees-apres-la-mort/
http://www.assemblee-nationale.fr/14/rap-info/i1936.asp
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Crim., 16 novembre 2016, 16-80.207
https://www.legifrance.gouv.fr/juri/id/JURITEXT000033428149/
Conseil d’État, 10ème – 9ème chambres réunies, 08/06/2016, 386525, publié au recueil Lebon
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000032674283/
TGI de Paris, 17e ch. corr., jugement correctionnel du 18 avril 2019
https://www.legalis.net/jurisprudences/tgi-de-paris-17e-ch-corr-jugement-correctionnel-du-18-avril-2019/
https://www.cnil.fr/fr/mort-numerique-effacement-informations-personne-decedee
https://www.cnil.fr/fr/la-loi-informatique-et-libertes#article85
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000032674283/
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000034879209/