internet-et-droit

OBJETS CONNECTES ET DONNEES PERSONNELLES

Aujourd’hui, les objets connectés sont partout autour de nous. De notre montre en passant même par notre aspirateur. Ces derniers sont connectés à un réseau de communication et procurent à l’utilisateur un certain confort, néanmoins, ils ne sont pas sans danger face à nos données personnelles. Quelle protection est-elle apportée quant à l’utilisation de nos données personnelles par ces objets connectés ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu  de contrefaçon en passant par le formulaire !

Isaac Asimov décrivait il y a plus de 50 ans « l’ère du tout connecté », les objets connectés en tout genre qu’il avait prédit à l’époque existent presque tous aujourd’hui.

Cependant, un problème alerte, l’utilisation des données personnelles collectée et stockée par les objets connectés. En cause une affaire, l’entreprise DoctorBeet, concepteur de logiciels a dénoncé l’espionnage exercé par un téléviseur LG. En effet, l’entreprise avait remarqué des lorsqu’une publicité s’affichait sur l’écran de la télévision, alors celle-ci collectait les données sur le comportement de l’utilisateur vis-à-vis de cette publicité. De plus, DoctorBeet s’est rendu compte que même après avoir désactivité l’option collecte de données, cette dernière continuait. Les données d’une clé USB branchées à l’ordinateur avaient également fait l’objet d’une collecte. L’entreprise LG a par la suite réalisé une mise à jour de son logiciel.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Cette affaire a donc mis en évidence la problématique de la collecte des données personnelles des utilisateurs par les objets connectés.

La société IoT Analyctics a annoncé dans une étude qu’il y avait environ 12,3 milliards d’objets connectés dans le monde à la fin de l’année 2021. Aujourd’hui, les objets connectés apparaissent sous de nombreuses formes diverses et variées. On retrouve des télévisions, voitures, montres, lunettes, balances, frigidaires connectés et encore bien d’autres. Il  y a environ 10 objets connectés par foyer en 2021.

Également, l’assistant vocal de l’enceinte connectée s’est énormément développé, parmi eux la célèbre Alexa de Google Home ou encore le HomePod d’Apple. L’enceinte connectée est présente dans environ 1 foyer sur 4 aux États-Unis en 2019. La CNIL s’est penchée sur ce sujet et a publié un livre blanc en septembre 2020 sur les assistants vocaux.

Nombreux utilisateurs ne peuvent plus se passer de cette expérience qui parfois facilite leur quotidien. Néanmoins, il convient de rappeler que ces objets connectés utilisent les données personnelles pour pouvoir fonctionner.

Ces données personnelles permettant de personnaliser l’expérience client, également ces données sont envoyées aux entreprises qui récoltent donc des informations sur leurs clients. De nombreuses données de santé sont également récoltées aujourd’hui, avec les balances connectées, les montres ou encore les tensiomètres.

Par conséquent, il convient de se demander si nos données personnelles peuvent tout de même être protégées face à l’invasion des objets connectés dans notre quotidien ?

Il existe de nombreux risques face à l’utilisation des objets connectés (I) qu’il convient d’encadrer pour une utilisation respectant la vie privée des utilisateurs (II).

I. Les risques juridiques relatifs à l’utilisation de ces objets connectés

Les risques pouvant apparaître quant à l’utilisation de ces objets connectés concernent d’une part la surveillance clandestine (A) et d’autre part le traitement des données personnelles (B).

A) Une surveillance clandestine

Comme présentée en introduction, l’affaire de la surveillance de l’utilisateur par la télévision LG a mis sur le devant de la scène une forme de surveillance clandestine. Dès lors que les objets sont connectés à internet, la question de la surveillance voir de l’espionnage se pose.

Ces données intéressent forcément les pirates informatiques. En effet, la société de sécurité Kapersky a révélé dans une étude qu’entre 2018 et 2019, les attaques réalisées par les Hackers ont été multipliées par 9. Ainsi, près de 105 millions d’attaques ont eu lieu envers des objets connectés. Il s’agit d’une cible facile pour les pirates informatiques et la cybercriminalité en général, les objets connectés permettent de surveiller à distance en prenant contrôle de ces derniers. Il a été démontré par des experts informatiques en 2013 qu’il était tout à fait possible de désactiver la fonction de freinage d’une voiture électrique à distance.

Ainsi, ces informations peuvent faire peur, l’utilisation des appareils connectés peut s’avérer dangereuse. Les objets connectés collectent de nombreuses données personnelles telles que la géolocalisation qui sont des informations qui peuvent s’avérer intrusive pour l’utilisateur voir dangereuse tant la vie entière de l’utilisateur peut être collecté.

La société HP avait dès 2014, énoncé qu’environ 70 % des appareils connectés ont des failles de sécurité importantes pouvant permettre aux pirates informatiques de les exploiter facilement.

Également, il est prévu qu’en 2025 il y aura près de 38 milliards d’objets connectés dans le monde.

Selon un sondage réalisé par Havas Media France en 2014, les internautes estimaient que les objets connectés étaient source de progrès (75 %) et facilitent la vie (71 %).

Le développement de ces appareils connectés doit amener à un encadrement plus important.

B) Un traitement des données personnelles

Les objets connectés tels que les montres ou les podomètres collectent de nombreuses données de santé. Celles-ci sont des données personnelles dites sensibles. Par conséquent, la protection apportée à ces données doit être importante.

Ces données peuvent être communiquées à des tiers, notamment des assureurs. Mais les données de santé ne sont pas les seules concernées, les données liées à la géolocalisation doivent également faire l’objet d’une protection importante.

Nombreux sont les objets connectés qui enregistrent notre position géographique, cela a pu s’avérer utile notamment pour les autorités. Dans le cadre des enquêtes ces données peuvent s’avérer très précieuses. En 2019, un meurtrier a pu être retrouvé grâce à un objet connecté qui avait pu fournir aux enquêteurs la géolocalisation du meurtrier. Les enquêteurs en vertu de la loi du 28 mars 2014 sur la géolocalisation peuvent dans le cadre d’une enquête et sous l’autorité du juge avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».

Néanmoins, bien que cela puisse s’avérer utile, les données peuvent également se retrouver entre les mauvaises mains. Les cybercriminels ou simplement des personnes malveillantes peuvent utiliser ses données. Ainsi, l’utilisation des objets connectés peut rapidement être détournée.

Par conséquent, dès la conception du produit, les industriels sont soumis à une obligation de sécurité. L’article 226-17 du Code pénal précise que le non-respect de cette obligation porté à tout traitement de données à caractère personnel sera sanctionné. Il est prévu 5 ans d’emprisonnement et 300 000 euros d’amende. Pour une personne morale, l’amende peut être portée à 1,5 million d’euros.

II- La protection juridique relative à l’utilisation de ces objets connectés

La CNIL, autorité indépendante compétence en la matière exerce un contrôle (A) mais expose également des recommandations (B).

A) Le contrôle de la CNIL

Rapidement, la CNIL a pris en considération ce sujet. En 2009, elle a publié un article sur l’internet des objets. Dans cet article, la CNIL a rappelé les enjeux du développement de ce secteur, mais a surtout mis en avant la nécessité de toujours protéger la vie privée des utilisateurs en protégeant leurs données personnelles.

Les données personnelles sont soumises à la loi informatique et liberté modifiée en 2018 pour prendre en compte le règlement général de la protection des données européen.

Une donnée personnelle se définit comme « « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.

Certaines données dites sensibles telles que les données de santé sont soumises à une protection renforcée.

Néanmoins, dès lors que l’utilisateur consent, cela  permet d’autoriser les traitements de nombreuses données personnelles. Le traitement sera alors licite ayant reçu le consentement de la personne concernée. Parfois, le traitement sera licite en raison de la bonne exécution du contrat, et ce, sans le consentement express de la personne. C’est le cas pour les réseaux sociaux, en s’inscrivant vous consentez implicitement à fournir vos données personnelles pour pouvoir créer votre compte. Si vous ne voulez pas que vos données soient récoltées, vous devrez vous abstenir de vous inscrire.

Toutefois, le responsable de traitement doit s’assurer que les principes du RGPD sont respectés (licéité du traitement, base légale de traitement, durée, finalité, proportionnalité, pertinence).

La CNIL a rappelé dans un guide pratique publié en novembre 2020 que les assistants vocaux utilisés dans le cadre professionnel doivent respecter tous les principes imposés par le RGPD pour tout traitement de données personnelles.

B) Les recommandations de la CNIL

La CNIL informe régulièrement les utilisateurs sur les dangers auxquels ils peuvent être exposés sur internet et sur la protection de leurs données personnelles.

Elle a donc publié un guide en 2017 pour fournir des recommandations quant à l’utilisation des objets connectés.

Elle a notamment recommandé de manière générale à :

Vérifier les différentes connexions liées à vos objets connectés pour s’assurer que personne d’autre n’est connecté ; Changer régulièrement les mots de passe ou les codes PIN de vos appareils et ne jamais garder ceux fournis par défaut ; Vérifier que vos téléphones ainsi que vos tablettes demandent un mot de passe pour les déverrouiller et s’assurer que le réseau WIFI est correctement protégé ; Désactiver les partages automatiques de données entre vos objets connectées et vos réseaux sociaux s’ils sont liés ; Faire attention à vos données de santé ; Vérifier que vous avez toujours un accès à vos données et que celles-ci puissent faire l’objet d’une suppression ; Enfin, éteindre les objets connectés que vous n’utilisez pas.

La CNIL fournit d’autres recommandations pour les objets connectés qui nécessitent pour fonctionner d’ouvrir un compte en ligne :

Utiliser si possible des pseudonymes et ne pas fournir de manière générale votre véritable identité ; Donnez le moins information que possible ; Utiliser des adresses mail différentes pour vos différents objets connectés ; Toujours sécuriser les accès à ces comptes avec des mots de passe différents pour chaque objet connecté.

Pour lire  une version plus complète de cet article sur les objets connectés, cliquez

Sources :

Intrusion dans un système informatique

Le piratage informatique est aujourd’hui un problème quotidien qui affecte notamment de nombreuses entreprises. Pour lutter contre ce fléau, le législateur est intervenu.  Avec la loi Godfrain du 5 janvier 1988 qui est venue créer des infractions nouvelles comme l’accès et le maintien frauduleux dans un système de traitement automatisé de données. Cependant, des problèmes nouveaux en lien avec le numérique apparaissent constamment.

NOUVEAU : Utilisez nos services pour vous défendre en cas de piratage informatique en passant par le formulaire !

A titre d’exemple, l’aspiration d’un site web est aujourd’hui une technique répandue. Elle consiste à récupérer entièrement ou en partie, le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur. Ainsi, l’internaute peut y avoir accès même lorsqu’il se trouve  hors connexion.

On remarque de nombreuses similitudes entre la technique d’intrusion dans un système informatique et celle de l’aspiration de site. Notamment en ce qui concerne le mode d’exécution. Pour les deux techniques, des programmes ou logiciels spécifiques sont utilisés, que ce soit pour accéder dans un système de traitement automatisé de données ou pour ” aspirer ” un site web. Néanmoins, les deux techniques ne font pas l’objet des mêmes poursuites.


Besoin de l’aide d’un avocat pour un problème de piratage informatique?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Concernant le cas de l’accès et maintien frauduleux dans un système informatique, on parle bien ici d’une infraction pénale. Elle se caractérise par le fait d’entrer dans un système informatique en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

Dans le cas de l’aspiration de site, il n’existe pas de disposition légale spécifique. Cependant, copier une partie ou intégralement un site web qui ne nous appartient pas dans l’objectif de visualiser le contenu sans être connecté, peut porter atteinte aux droits d’auteur du créateur dudit site.

I. L’intrusion dans un système informatique.

Le hacker dans le monde informatique, ne cherche pas nécessairement à entrer dans un système pour y voler des données ou les supprimer. Il existe différents types de hacker, certains ont juste pour objectif de démontrer l’existence d’une faille de sécurité. Dans tous les cas, le fait de s’introduire dans un système informatique est susceptible de poursuite pénale.

Afin de s’introduire dans un système, le hacker peut utiliser un programme cachant lui-même un programme « net »  (par exemple reçu dans la boite aux lettres ou téléchargé). Il sera par exemple possible de tenter d’accéder au Back office pour pouvoir administrer l’ordinateur à distance. Également, l’objectif du hacker peut porter sur le fait d’obtenir par le biais d’un programme le mot de passe du système informatique, il pourra également utiliser des programmes de déchiffrage.

Une fois que le pirate a accès au système il pourra : modifier les données, supprimer des données, copier les données ou encore installer des programmes malveillants tels que des virus.

A) La responsabilité pénale

Dès 1988 le législateur s’est emparé de la question de l’intrusion dans un système avec la loi Godfrain du 8 janvier 1988.

Aujourd’hui les dispositions de cette loi ont été reprises et améliorées. On retrouve dans le code pénal un chapitre intitulé ” Des atteintes aux systèmes de traitement automatisé de données “,

Ainsi, les intrusions non autorisées seront sanctionnées. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

Il est prévu à l’article L.323-1 du Code pénal que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende” “.

1) Accès frauduleux

Dans un arrêt rendu le 5 avril 1994, la Cour d’appel a considéré que ” l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication “.

Mais alors, quand est-il si le système en question n’est pas protégé ? Dans un arrêt rendu le 30 octobre 2002, la Cour d’appel de Paris a énoncé que le fait de pouvoir accéder à des données qui sont stockées sur un site en utilisant un simple navigateur, dès lors que des failles de sécurité existent, n’était pas répréhensible.

Le Tribunal de grande instance de Paris avait quant à lui estimé que l’existence de faille de sécurité ne constituait ” en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale “.

Il est à noter que l’article 226-17 du Code pénal réprime « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures » de sécurité et toute les précautions utiles pour préserver la sécurité de ces informations.

2) Le maintien frauduleux

Également, le simple fait de se maintenir dans un système de traitement automatisé de données est réprimandé. Sur l’élément intentionnel de l’infraction, la doctrine et la jurisprudence s’accordent sur le fait que même si une personne s’est retrouvée par erreur dans un système informatique, le simple fait de s’y être maintenue constitue un maintien « frauduleux ». En effet, dès lors le délinquant à conscience qu’il n’a pas le droit de se trouver ici car ni l’accès ni le maintien ne lui a été autorisé.

En ce sens la Cour d’appel de Paris dans un jugement rendu le 5 avril 1994 a énoncé que « le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement »

3) Les intrusions avec dommages

L’article 323-1 du Code pénal a prévu des sanctions plus importantes lorsque l’intrusion dans le système et le maintien frauduleux à des conséquences. L’alinéa 2  prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’entrave volontaire au système est définie à l’article 323-2 du Code pénal comme ” Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données “. Le peine encourue est de cinq ans d’emprisonnement et de 150 000 € d’amende.”

Est notamment visé par cette infraction : l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

Est sanctionné par l’article 323-3 nouveau du Code pénal : l’introduction, l’extraction, la détention, la reproduction, la transmission dans un système informatique.

Ainsi, l’article s’applique pour des faits très nombreux. Les infractions peuvent être par exemple l’introduction afin de réduire le prix d’une marchandise sur un site de e-commerce ou de supprimer intégralement le contenu d’une base de données d’une entreprise.

Les agissements du hacker constituent généralement une perte financière très importante pour l’entreprise ciblée.

B ) La responsabilité civile

1) La responsabilité civile délictuelle

La notion de faute est au fondement du droit commun de la responsabilité civile délictuelle. On l’a retrouve à l’article 1382 du Code civil.

Pour que la responsabilité civile délictueuse soit engagée, il faut : une faute, un dommage et un lien de causalité entre la faute et le dommage.

Dans cette infraction, la faute correspond au fait de s’introduire dans un système informatique sans y avoir été autorisé préalablement. En ce qui concerne le dommage, celui-ci pourra par exemple être caractérisé par une perte financière, une altération des données ou encore par la communication d’informations privées à des tiers. Il faudra ensuite établir de manière claire le lien de causalité.

Que se passe-t-il si le hacker n’est pas de nationalité française ou si ce dernier commet l’infraction de l’étranger ? Qui dispose de la compétence juridique et quelle loi est applicable ?

En droit français, par principe le tribunal compétent est celui du domicile du défendeur. , à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement “, puis, en 2012, le règlement ” concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale “.

S’il s’agit d’un délit ou d’un quasi délit, au regard des articles 5§3 et 7§2 de la Convention de Bruxelles et du règlement n° 1215/2012 de la Convention de Bruxelles et du règlement 44/2001 précité, il existe une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Si le dommage qui a été causé par l’intrusion est survenu au sein système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. Dans un arrêt rendu par La Cour de Cassation en sa première chambre civile le 14 janvier 1997, il a été jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier.

2) La responsabilité civile contractuelle.

La responsabilité civile contractuelle de l’hébergeur du site peut être engagée. Tout dépendra des clauses prévues dans le contrat d’hébergement, notamment en ce qui concerne les clauses de sécurité du site et de la mise en place de systèmes informatiques de protection contre toute forme d’intrusion.

Si une telle clause existe, il convient de qualifier l’obligation de l’hébergeur. Est-ce une obligation de résultat ou seulement de moyen. Généralement, il s’agira d’obligation de moyen, ainsi le prestataire devra être en mesure d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée. S’il rapporte une telle preuve, alors sa responsabilité ne sera pas retenue.

Il convient de parler de la blockchain. Il s’agit d’un outil numérique permettant de sécuriser un réseau informatique. Différentes opérations peuvent être enregistrées par le biais de cette plateforme numérique. Initialement elle était utilisée pour enregistrer toutes les opérations financières effectuées en bitcoin. Dès lors qu’une vente était réalisée à partir du Bitcoin, la transaction apparaissait automatiquement sur un registre blockchain.

Pour imager la blockchain, il suffit de penser un gigantesque livre numérique ou un tableau Excel qui liste chacune des actions entreprises dans l’ordre chronologique dans lesquelles elles ont eu lieu. Une blockchain est donc comparable à un historique de compte d’une banque sur lequel toutes les opérations financières sont recensées.

Toute la sécurité de la blockchain repose notamment sur le fait qu’elle soit décentralisée, il est donc beaucoup plus difficile de la pirater. Car pour ce faire, il faudrait déjouer le système de sécurité de tous les utilisateurs du registre en même temps. Par conséquent, à l’inverse des moyens classiques de stockage (USB, disque dur, cloud etc) qui sont gérés par un membre en particulier ou une entité (entreprise, état, banque etc), ici, la gestion de la blockchain sera partagée entre tous ses membres sans tiers intermédiaire.

Un nouveau bloc se crée à chaque nouvel utilisateur intégré à la blockchain. Ce block s’ajoutera au précédent. Ils contiennent chacun les informations partagées avec chaque utilisateur. Ces blocs sont scellés les uns aux autres ce qui forme donc une chaîne de blocs. Ainsi, dès lors qu’ un acte malveillant est détecté les autres participants appelés aussi nœuds du réseau sont immédiatement informés et peuvent empêcher cette intrusion.

Des mineurs sont nommés parmi les nœuds pour participer à la sécurisation du système. Ces derniers devront résolver des énigmes cryptographiques ce qui permet la validation des opérations.

La véracité de l’information est automatiquement garantie dès lors qu’elle est enregistrée sur un registre de la blockchain. Elle ne pourra donc plus être supprimée ou modifiée. La seule et unique possibilité sur cette base de données est donc d’ajouter des éléments.

Pour protéger des données sensibles, la blockchain s’avère particulièrement utile. C’est notamment le cas avec les données de santé. Ici, les informations pourront être protégées car elles seront décentralisées ce qui empêchera le risque lié aux données dès lors que la base de données d’un hôpital est attaquée. En effet, aujourd’hui les hôpitaux sont souvent la cible d’attaque. Actuellement, les dossiers médicaux de chaque patient, les laboratoires les résultats d’analyse, les généralistes et les pharmaciens ont aussi leurs propres données comme le dossier pharmaceutique.

Ainsi, une confiance maximale pourrait être instaurée entre le médecin et son patient avec l’utilisation de la blockchain. . Le patient peut ainsi nouer en toute quiétude un contact avec différents professionnels de santé qui représentent chacun un bloc du réseau de la blockchain. Ces derniers peuvent alors apporter des informations supplémentaires au registre du patient avec son consentement. Le consentement du patient permet d’accéder au registre, de consulter les informations qui s’y trouvent ou d’ajouter de nouveaux blocs.

En effet si la blockchain fonctionne sans intermédiaire, les données appartiennent quand même à un « propriétaire » qui doit plus être considéré comme un gestionnaire des données, en l’occurrence dans cette hypothèse c’est le patient. Pour sécuriser son dossier blockchain, le patient dispose de deux clés de sécurité, une clé publique et une clé privée.

Une clé privée permet de déchiffrer une clé publique, elles fonctionnent ensemble, mais l’inverse n’est pas possible. Cela permet une sécurité très importante du moment que la clé privée reste avec son propriétaire. La clé publique est une adresse de réception. Elle est comparable à une adresse postale permettant de recevoir du courrier dans sa boîte aux lettres. La clé privée est dans cet exemple le seul moyen d’ouvrir cette boîte.

La blockchain a d’abord été utilisée pour le bitcoin. Mais cette technologie peut servir dans bien d’autres cas. Elle possède de nombreuses qualités : Immutabilité, sécurité, traçabilité, intégrité.

Son intérêt pour les professionnels, les clients ou encore les patients n’est plus à prouver. Aujourd’hui la sécurité est essentielle et il est difficile de cacher des informations confidentielles sur internet, cet outil pourrait bien s’avérer être la meilleure solution pour lutter efficacement contre les fraudes, les cyberattaques ou le piratage de données.

D’autant que d’un côté l’utilisation d’internet et des appareils connectés s’accroît d’année en année, mais de l’autre la méfiance qu’ils suscitent aussi. Les bases de données centralisées contiennent énormément d’informations concernant leurs utilisateurs et le seul moyen de les protéger est de faire confiance au site, à l’entité qui détient toutes ces données.

Les utilisateurs leur sont donc complètement dépendants et n’ont d’autre choix que de se fier à la protection offerte par ces tiers. Si celle-ci est insuffisante, défaillante ou inexistante alors l’utilisateur ne pourra rien faire pour protéger ses données. La blockchain apparaît donc comme l’outil idoine pour remédier à toutes ces carences.

II. Les mesures préventives

Bien qu’il soit possible d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Toute la difficulté de l’action réside dans la preuve de l’intrusion. Surtout si celle-ci a été effectuée à partir d’un réseau ouvert de type Internet.

Bien que l’on puisse détecter l’origine de cette intrusion, identifier la personne à l’origine de celle-ci peut s’avérer particulièrement compliqué.

Il est à rappeler l’importance des dommages qu’une intrusion dans un système informatique peut causer, tant sur la crédibilité de l’entreprise que sur ses finances. Ainsi, avant tout, il convient de mettre en place des mesures de sécurité.

Il est donc nécessaire d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique. Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Une entreprise pourrait souscrire une assurance contre le risque d’attaque informatique, ici, le dédommagement dépendra alors du type d’assurance souscrite.

III. L’aspiration de site

Comme expliqué précédemment, l’aspiration d’un site correspond à copier en partie ou entièrement un site web sur le disque dur de son ordinateur pour y avoir accès même hors connexion. Une fois le site « aspiré » l’utilisateur pourra l’ouvrir sans aucun problème, il n’aura plus de risque de coupure de connexion.

Certains logiciels tels que Mémoweb permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Cette technique d’aspiration de site pose de nombreux problèmes, notamment au regard du droit d’auteur. On verra que les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à laquelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

En France, l’auteur d’un œuvre bénéficie d’une protection importante. La protection est prévue dans le code de la propriété intellectuelle. Également, au niveau européen, la directive CE 2001/29 du 22 mai 2001 porte sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

Le tribunal de commerce de Paris a énoncé dans un arrêt rendu le 9 février 1998 que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que ” Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants cause est illicite ” et elle est donc punie à titre de contrefaçon.

Il est à souligner que l’interdiction de reproduction intégrale ou partielle de l’œuvre réaliser dans le consentement de son auteur ne s’applique pas pour ” les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ” selon l’article 122-5 2° du CPI

Ainsi, il est tout à fait possible de considérer que l’aspiration d’un site puisse être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

L’article L.341 du Code de propriété intellectuel énonce que « Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant de celles du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs “.

L’article L.342-1 du CPI prévoit quant à lui que « Le producteur de bases de données a le droit d’interdire : 1. L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ; 2.  La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme. Ces droits peuvent être transmis ou cédés ou faire l’objet d’une licence. Le prêt public n’est pas un acte d’extraction ou de réutilisation. »

Enfin, l’article 122-4 du CPI exclu quant à lui le droit de copie privée pour les ” copies et reproductions d’une base de données électronique “.

Mais qu’entend-on par base de donnée ? L’article L. 112-3 du CPI dispose qu’ ” on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen “.

Cependant, bien que certains sites web puissent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas.

Cela s’explique car ils ne répondent pas à la définition de ” recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique “.

De ce fait, un site de compilation de données tel qu’un annuaire en ligne par exemple constitue bien une base de données, un site classique de type e-commerce ne semble quant à lui pas pouvoir être assimilé à une base de données. En effet, dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Mais alors, qu’en est-il des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Il faudra considérer qu’ici l’objet de la protection ne porte pas sur le site entier, mais uniquement sur la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et de maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

L’article 323-1 du Code pénal prévoit que pour sanctionner il faut une intrusion dans un système informatique. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

La cour d’appel de Paris a démontré qu’il ne suffisait pas que la personne n’ait pas le droit d’accès au système, il fallait pouvoir démontrer qu’elle en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sûr avec des logiciels spéciaux. En plus, dans la plupart de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé !

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

Finalement, l’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.

UN BOUTON « JE PAYE » EST-IL OBLIGATOIRE ?

Par un arrêt du 7 avril 2022, la CJUE affirme que lorsqu’un contrat à distance est conclu par voie électronique au moyen d’un processus de commande et s’accompagne d’une obligation de paiement pour le consommateur, ce dernier doit pouvoir comprendre sans ambiguïté qu’il sera obligé de payer dès qu’il cliquera sur le bouton de commande.

Et, pour déterminer, dans le cadre de ce processus, si une formule inscrite sur le bouton de commande telle que « finaliser la réservation » est « analogue » à la mention « commande avec obligation de paiement », il convient de se fonder sur la seule mention figurant sur ce bouton.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

En l’espèce, un renvoi préjudiciel a été formé par une l’Amtsgericht Bottrop (tribunal de district de Bottrop, Allemagne) dans le cadre d’un contentieux opposant un hôtelier allemand et un consommateur ayant réservé par l’intermédiaire du site www.booking.com, des chambres sans s’être présenté.

L’hôtelier affirme qu’en pressant le bouton « finaliser la commande » le consommateur a conscience de se soumettre à une obligation de paiement juridiquement contraignante. Or, la juridiction de renvoi estime que le terme « réservation » figurant dans la mention « finaliser la réservation » n’est, dans le langage courant, pas nécessairement associé à l’obligation de payer une contrepartie financière, mais est également souvent utilisé comme synonyme de « retenir ou conserver gratuitement à l’avance ».


Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La juridiction nationale demande donc à la Cour si l’article 8, § 2, second alinéa, de la directive 2011/83 relative aux droits des consommateurs doit être interprété en ce que, pour déterminer si un bouton dont l’activation fait partie d’un processus de commande dans le cadre d’un contrat à distance conclu par voie électronique qui ne porte pas la mention “commande avec obligation de paiement”, porte une formule analogue, dénuée d’ambiguïté indiquant que passer la commande oblige à payer le professionnel, il convient de se fonder exclusivement sur la mention inscrite sur le bouton ?

La CJUE répond par l’affirmative.

Elle rappelle tout d’abord que, dans l’hypothèse d’un tel contrat, le professionnel doit :

– fournir au consommateur, directement avant la passation de la commande, les informations essentielles relatives au contrat et,

– informer explicitement ledit consommateur que, en passant la commande, ce dernier est tenu par une obligation de paiement.

S’agissant de cette dernière obligation, le bouton de commande ou la fonction similaire doit porter une mention facilement lisible et dénuée d’ambiguïté indiquant que le fait de passer la commande oblige le consommateur à payer le professionnel. Et le consommateur n’a pas à inférer des circonstances de ce processus qu’il s’engage à payer de manière contraignante alors que la mention figurant sur ce bouton ou cette fonction ne lui permet pas d’identifier de telles conséquences avec une certitude absolue.

Ainsi, il appartient à la juridiction de renvoi de vérifier si, dans l’affaire au principal, la formule « finaliser la réservation » peut être considérée, en langue allemande, au regard des seuls termes utilisés par cette formule et indépendamment des circonstances entourant le processus de réservation, comme analogue à la mention « commande avec obligation de paiement » visée à l’article 8, paragraphe 2, second alinéa, de la directive 2011/83.

La Cour, guidant la juridiction de renvoi dans sa décision, indique que celle-ci devra notamment vérifier si le terme « réservation » est, en langue allemande, tant dans le langage courant que dans l’esprit du consommateur moyen, normalement informé et raisonnablement attentif et avisé, nécessairement et systématiquement associé à la naissance d’une obligation de paiement. Dans la négative, force serait de constater le caractère ambigu de l’expression « finaliser la réservation », de sorte que cette expression ne pourrait pas être considérée comme étant une formule analogue à la mention « commande avec obligation de paiement ».

I. La nécessité d’informer de façon claire et explicite le consommateur

A. Le professionnel doit, d’une part, fournir à ce consommateur, directement avant la passation de la commande, les informations essentielles relatives au contrat

L’appréciation du point de savoir si, dans un cas concret, la technique de communication impose des contraintes d’espace ou de temps pour la présentation des informations, conformément à l’article 8, § 4, de la directive UE no 2011/83 du Parlement européen et du Conseil, du 25 octobre 2011, relative aux droits des consommateurs doit être effectuée en tenant compte de l’ensemble des caractéristiques techniques de la communication commerciale du professionnel.

À cet égard, il appartient à la juridiction nationale de vérifier si, compte tenu de l’espace et du temps occupé par la communication et de la taille minimale du caractère typographique qui serait appropriée pour un consommateur moyen destinataire de cette communication, toutes les informations visées à l’article 6, § 1, de cette directive pourraient objectivement être présentées dans le cadre de ladite communication.

L’article 6, § 1, sous h), et l’article 8, § 4, de la directive UE no 2011/83 précitée doivent être interprétés en ce sens que, dans le cas où le contrat est conclu selon une technique de communication à distance qui impose des contraintes d’espace ou de temps pour la présentation des informations et lorsque le droit de rétractation existe, le professionnel est tenu de fournir au consommateur, sur la technique en question et avant la conclusion du contrat, l’information portant sur les conditions, le délai et les modalités d’exercice de ce droit.

Dans un tel cas, ce professionnel doit fournir au consommateur le modèle de formulaire de rétractation figurant à l’annexe I, partie B, de cette directive, par une autre source, dans un langage clair et compréhensible.

L’article 6, § 1, sous c), de la directive UE no 2011/83/UE du Parlement européen et du Conseil, du 25 octobre 2011, relative aux droits des consommateurs, doit être interprété en ce sens, d’une part, qu’il s’oppose à une réglementation nationale qui impose au professionnel, avant de conclure avec un consommateur un contrat à distance ou hors établissement, visé à l’article 2, points 7 et 8, de cette directive, de fournir, en toutes circonstances, son numéro de téléphone.

D’autre part, cette disposition n’implique pas une obligation pour le professionnel de mettre en place une ligne téléphonique, ou de télécopieur, ou de créer une nouvelle adresse électronique pour permettre aux consommateurs de le contacter et n’impose de communiquer ce numéro ou celui du télécopieur ou son adresse électronique que dans les cas où ce professionnel dispose déjà de ces moyens de communication avec les consommateurs.

L’article 6, § 1, sous c), de la directive UE no 2011/83 précitée doit être interprété en ce sens que, si cette disposition impose au professionnel de mettre à la disposition du consommateur un moyen de communication de nature à satisfaire aux critères d’une communication directe et efficace, elle ne s’oppose pas à ce que ledit professionnel fournisse d’autres moyens de communication que ceux énumérés dans ladite disposition aux fins de satisfaire à ces critères.

B. Informer explicitement ledit consommateur que, en passant la commande, ce dernier est tenu par une obligation de paiement

S’agissant de cette dernière obligation, le bouton de commande ou la fonction similaire doit porter une mention facilement lisible et dénuée d’ambiguïté indiquant que le fait de passer la commande oblige le consommateur à payer le professionnel. Et le consommateur n’a pas à inférer des circonstances de ce processus qu’il s’engage à payer de manière contraignante alors que la mention figurant sur ce bouton ou cette fonction ne lui permet pas d’identifier de telles conséquences avec une certitude absolue.

Ainsi, il appartient à la juridiction de renvoi de vérifier si, dans l’affaire au principal, la formule « finaliser la réservation » peut être considérée, en langue allemande, au regard des seuls termes utilisés par cette formule et indépendamment des circonstances entourant le processus de réservation, comme analogue à la mention « commande avec obligation de paiement » visée à l’article 8, paragraphe 2, second alinéa, de la directive 2011/83.

La Cour, guidant la juridiction de renvoi dans sa décision, indique que celle-ci devra notamment vérifier si le terme « réservation » est, en langue allemande, tant dans le langage courant que dans l’esprit du consommateur moyen, normalement informé et raisonnablement attentif et avisé, nécessairement et systématiquement associé à la naissance d’une obligation de paiement.

Dans la négative, force serait de constater le caractère ambigu de l’expression « finaliser la réservation », de sorte que cette expression ne pourrait pas être considérée comme étant une formule analogue à la mention « commande avec obligation de paiement ».

II. Le professionnel veille à ce que le consommateur, lors de sa commande, reconnaisse explicitement son obligation de paiement

A. Le bouton de commande ou la fonction similaire doit porter une mention facilement lisible et dénuée d’ambiguïté indiquant que le fait de passer la commande oblige le consommateur à payer le professionnel

Selon l’article L.221-14 du Code de la consommation, pour les contrats conclus par voie électronique, le professionnel rappelle au consommateur, avant qu’il ne passe sa commande, de manière lisible et compréhensible, les informations relatives aux caractéristiques essentielles des biens ou des services qui font l’objet de la commande, à leur prix, à la durée du contrat et, s’il y a lieu, à la durée minimale des obligations de ce dernier au titre du contrat, telles que prévues à l’article L. 221-5.

Le professionnel veille à ce que le consommateur, lors de sa commande, reconnaisse explicitement son obligation de paiement. A cette fin, la fonction utilisée par le consommateur pour valider sa commande comporte la mention claire et lisible : commande avec obligation de paiement ou une formule analogue, dénuée de toute ambiguïté, indiquant que la passation d’une commande oblige à son paiement.

Les sites de commerce en ligne indiquent clairement et lisiblement, au plus tard au début du processus de commande, les moyens de paiement acceptés par le professionnel et les éventuelles restrictions de livraison.

Le Code de la consommation prévoit également des dispositions spéciales pour les contrats conclus par voie électronique : le professionnel est tenu de rappeler au consommateur, avant qu’il ne passe sa commande, de manière lisible et compréhensible, les informations relatives aux caractéristiques essentielles des biens ou des services qui font l’objet de la commande, à leur prix, à la durée du contrat et, s’il y a lieu, à la durée minimale des obligations de ce dernier au titre du contrat, telles que prévues à l’article L. 221-5. Il doit veiller à ce que le consommateur, lors de sa commande, reconnaisse explicitement son obligation de paiement.

À cette fin, la fonction utilisée par le consommateur pour valider sa commande comporte la mention claire et lisible : commande avec obligation de paiement ou une formule analogue, dénuée de toute ambiguïté, indiquant que la passation d’une commande oblige à son paiement.

Enfin, les sites de commerce en ligne indiquent clairement et lisiblement, au plus tard au début du processus de commande, les moyens de paiement acceptés par le professionnel et les éventuelles restrictions de livraison. La charge de la preuve du respect des obligations d’information prévues par l’article L. 221-5 pèse sur le professionnel (C. consom., art. L. 221-7).

La violation des dispositions de l’article L. 221-5 est punie d’une amende administrative dont le montant ne peut excéder 3 000 euros pour une personne physique et 15 000 euros pour une personne morale (C. consom., art. L. 242-10).

B. Fixation d’un délai d’expiration pour finaliser la commande

On pourrait se poser la question de savoir si les plateformes de vente en ligne ne pourraient pas mettre en place une sorte de « délai d’expiration » de la commande lorsque les articles sont réservés et mis dans les paniers de commande. Par exemple, sur le site de vente en ligne « VEEPEE », il arrive souvent que les réservations soient conditionnées par un certain délai au risque de voir la réservation expirer.

Cette situation pourrait en effet permettre d’éviter toutes sortes de conflits entre consommateurs et vendeurs en ligne ou les plateformes.

La mise en place de ce délai d’expiration des réservations ou commandes mises dans les paniers à cet effet permettra pour notre part de faciliter l’achat ou la réservation d’un autre consommateur. C’est le cas lorsque les produits et services proposés sont vendus en quantité limitée. Évidemment que cela reste une question !

Pour  lire une version plus complète de cet article sur le paiement en ligne, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=216039&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=5109418
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000024831453
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006069565/LEGISCTA000032221321?init=true&page=1&query=L.+221-1+du+Code+de+la+consommation+&searchField=ALL&tab_selection=all&anchor=LEGIARTI000044142644# LEGIARTI000044142644
https://www.droit-technologie.org/actualites/un-bouton-je-paye-est-il-obligatoire-sur-les-sites-de-commerce-electronique/
https://curia.europa.eu/juris/document/document.jsf?text=&docid=210175&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=5109010

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33