Résultats de recherche pour: contrat informatique

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

  1. Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

  1. Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

  1. Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

  1. Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

  1. Les modalités de réponse et les garanties assorties

  1. Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

  1. Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

  1. Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

  1. Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

  1. Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

  1. Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

  1. Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

  1. Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

  1. Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

  1. Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Par internet-et-droit • Tags: ,

Droit et geolocalisation

La géolocalisation permet de localiser géographiquement un objet ou une personne. Ce procédé offre des possibilités d’actions marketing ciblées très avantageuses pour les entreprises et les utilisateurs. Il permet de cerner la personnalité et les habitudes de chaque individu. Néanmoins, l’exploitation de cette fonctionnalité entraîne, fatalement, une surveillance des déplacements dans le temps et l’espace qui peut nuire à la vie privée des individus.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en droit du travailen passant par le formulaire !

La géolocalisation est une technologie permettant de déterminer, plus ou moins précisément, la localisation d’un objet ou d’une personne par l’intermédiaire d’un système GPS ou d’un téléphone mobile. Ce service est accompli par un réseau de télécommunication.

Avec le développement des nouvelles technologies, la majorité des applications installées sur nos smartphones offre des fonctions de partage de localisation. La géolocalisation est un outil utile lorsqu’elle est utilisée de manière bienveillante. On la retrouve en particulier dans le transport (par exemple de suivre un chauffeur VTC, trouver une trottinette électrique), dans la livraison (suivre la progression d’une livraison en cours), pour assurer la sécurité des biens (pour retrouver sa voiture ou son smartphone par exemple) ou encore dans le sport (certaines applications sportives proposent de retracer l’itinéraire de l’utilisateur lors d’un footing ou d’une randonnée). Bien que ces technologies soient utiles, elles récupèrent des données à caractère personnel qui peuvent comprendre des risques pour notre vie privée.

Selon l’article 4 du Règlement européen sur la protection des données, une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.

La personne est identifiée directement lorsque son nom apparaît dans un fichier et, indirectement lorsque le fichier comporte des informations l’identifiant (adresse IP, numéro de téléphone…).

Lorsqu’elles sont utilisées et permettent la mise en place de service, il s’agit d’un traitement qui est strictement encadré par la loi.

Selon le même article,  » Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction « .

I/ Le droit et  la géolocalisation

Besoin de l’aide d’un avocat pour un problème de droit  du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le RGPD énonce en son chapitre II un certain nombre de principes qui régissent la mise en place d’un traitement de données. Certaines de ces obligations incombent aux sociétés exploitantes ou utilisant un service de géolocalisation dans la mesure où cela entraîne un traitement de données personnelles et une possible atteinte à la vie privée des utilisateurs.

 » Le traitement doit avoir un objectif précis et les données récoltées doivent être en concordance avec cet objectif. Cette finalité ne doit pas être détournée, les données doivent toujours être exploitées dans le même but.

 » L’utilisateur doit donner son autorisation avant toute collecte de donnée de localisation.
La localisation peut être ponctuelle ou continue. Lorsqu’elle est ponctuelle, la collecte d’information est limitée dans le temps et l’espace (météo ou trafic routier). Ainsi, la simple demande, par l’utilisateur, d’accéder à un tel service est considérée comme une manifestation de son consentement.
Lorsque la localisation est continue, l’utilisateur doit avoir la possibilité de l’utiliser, ou non, à chaque fois qu’il le souhaite, par l’intermédiaire d’une inscription (bouton, case à cocher).

 » Une information précise de la nature du traitement des données doit être apportée aux utilisateurs (type de donnée, durée de conservation, finalité et droits relatifs à ces données).

 » Les données personnelles doivent être soumises à des mesures de sécurité adaptées aux risques amenés par le traitement. Dès lors, les responsables du traitement mettre en place une sécurité à la fois physique et logique.

 » Les données collectées doivent, nécessairement, jouir d’une date de péremption. Les responsables ont l’obligation de fixer une durée raisonnable de conservation. Le caractère raisonnable s’apprécie en fonction de l’objectif du service et à la durée nécessaire à sa fourniture. Une fois le service fourni, une conservation est possible lorsque les données sont indispensables à la facturation et au paiement des frais d’interconnexion. Si ces données donnent lieux à la conservation d’un historique, elles doivent être rendues anonymes.

En outre, la géolocalisation peut également toucher la vie privée des salariés. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) a exempté l’employeur de l’obligation de déclaration à la CNIL des systèmes de géolocalisation de véhicules professionnels. Toutefois, l’employeur reste tenu d’une obligation d’information de ses salariés de l’existence du dispositif en question et des droits qui peuvent en découler. Il doit, éventuellement, informer et consulter le Comité social et économique au préalable à la mise en place de ce dispositif

L’article L1121-1 du Code du travail dispose que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » (1)

Le Conseil d’État avait énoncé, dans un arrêt rendu le 15 décembre 2017, qu’« il résulte de [l’article L. 1121-1 du Code du travail] que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. » (2)

À cet effet, la Cour de cassation s’est alignée sur cette jurisprudence du Conseil d’État. En effet, dans un arrêt de la chambre sociale du 19 décembre 2018, la Cour de cassation a également illustré le contrôle mis en place en vertu de l’article L1121-1 du Code de travail.

En l’espèce, la question se posait autour de la licéité d’un dispositif de géolocalisation mis en place par une société spécialisée dans la distribution de publicités ciblées afin de localiser les salariés chargés de la distribution et de contrôler ainsi leur durée de travail.

La Cour de cassation s’est prononcée en considérant que ce système de géolocalisation est disproportionné quant au but recherché, et ce, sur le fondement de l’article L1121-1 du Code de travail. Les juges de cassation se fondent sur deux raisons principales à savoir que, ce système n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen fût-il moins efficace que la géolocalisation » et que l’usage de ce dernier « n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail ». (3)

Une autre fonction rendue possible par la géolocalisation a fait l’objet d’un avis de la CNIL. Il s’agit du marketing ciblé qui transforme le terminal mobile de l’utilisateur en un support de message publicitaire.
Selon la CNIL  » le marketing ciblé basé sur de la géolocalisation n’est pas interdit « , néanmoins les usagers doivent souscrire à des services de géolocalisation et être informés de la possibilité de s’y opposer.

II/ Le rôle particulier de la CNIL et ses pouvoirs

La CNIL est une autorité indépendante créée par la loi du 06 Janvier 1978 « Informatique et libertés ». Elle à ce titre chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.

Le développement généralisé de la géolocalisation amène la commission à être vigilante et à multiplier les opérations de sensibilisation à l’attention de l’ensemble des citoyens et sociétés.
Elle émets de nombreux avis sur de nouveaux dispositifs de géolocalisation, jugés trop intrusifs (Google Latitude, Facebook Lieux).

À travers ses contrôles, la CNIL peut infliger des sanctions en cas de non-respect des obligations légales.
Les contrôles ont été renforcés ces dernières années au sein des entreprises proposant des services de géolocalisation. La CNIL peut effectuer ses contrôles directement dans les locaux des entreprises et demander la communication de tout document permettant l’accès aux programmes informatiques et aux données afin de vérifier la licéité et la conformité des traitements effectués.

Lorsqu’une entrave à la loi est constatée, la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à un montant maximum de 150 000€ et 300 000 en cas de récidive. De surcroît, des injonctions de cesser le traitement illicite peuvent être déclarées.
Les manquements à la loi  » Informatique et Libertés  » sont punis de 5 ans d’emprisonnement et de 300 000€ d’amende.

En 2011, la commission s’est attaquée à Google et à ses services Street View et Latitute. L’entreprise a été condamnée à 100 00€ d’amende. Les voitures de Street View et Latitude collectaient, en plus des photos, les réseaux Wifi ouverts et de ce fait une grande quantité de données privées.

Depuis le 25 mai 2018, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard d’organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l’Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

S’agissant de la mise en œuvre d’un dispositif de géolocalisation des salariés, la CNIL apporte sur des éclaircissements quant à la licéité de cette pratique. En effet, cette dernière liste les utilisations permises et les utilisations proscrites.

Ainsi, il est permis à titre d’exemple de recourir à ce dispositif afin d’assurer le suivi d’une prestation, d’assurer la sécurité ou la sûreté du salarié et/ou des marchandises, de veiller à une allocation optimale des moyens mis à disposition pour l’exécution de la prestation et de veiller au respect des règles d’utilisation du véhicule.

Toutefois, le dispositif de géolocalisation ne peut avoir pour finalité de contrôler le respect des limitations de vitesse, de contrôler l’employé en permanence, de surveiller les déplacements du salarié en dehors de son temps de travail ou encore de contrôler les déplacements des représentants du personnel. (4)

Le rôle de la CNIL s’avère de plus en plus fondamental face à la multiplication et la banalisation de ces technologies. Un simple défaut de paramétrage, où en cas de piratage d’un téléphone, une surveillance constante des utilisateurs peut s’instaurer.

III. Illustration récente

En 2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.

Dans une délibération rendue le 16 mars 2023 par la formation restreinte de la CNIL, une sanction de 125 000 euros a été prononcée à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente. Cette décision a été prise en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société propose aussi ces services dans ces pays.

Depuis 2016, la société propose un service de location de scooters électriques en libre-service accessible à partir de son application mobile. Les scooters ne sont pas stationnés dans des espaces précis et peuvent être laissés, après utilisation, dans la zone de location identifiée dans l’application. Les véhicules sont équipés d’un dispositif de localisation embarqué qui permet à CITYSCOOT et aux utilisateurs, via leur application mobile, de connaître la position des scooters. La location d’un scooter électrique auprès de la société suppose la création d’un compte à partir de l’application mobile. Il s’agit d’un service sans engagement qui est facturé à la minute.

Un contrôle en ligne a été effectué sur le site web  » cityscoot.eu  » et l’application mobile  » CITYSCOOT « , le 13 mai 2020.  La délégation de la CNIL s’est notamment attachée à vérifier les données collectées et les finalités de la collecte. Ce contrôle avait également pour but de vérifier l’encadrement de la sous-traitance et la sécurité des données.

A l’occasion de ce contrôle, la CNIL s’est aperçue qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes lorsque le CITYSCOOT est actif et que son tableau de bord est allumé, qu’il soit en déplacement ou prêt à rouler. Lorsque le CITYSCOOT est inactif, le boîtier collecte des données de position toutes les 15 minutes. En outre, la société conservait l’historique de ces trajets durant douze mois en base active, puis douze mois en archivage intermédiaire avant d’être anonymisées.

La société justifie la collecte des données de position des scooters au regard de diverses finalités telles que le traitement des infractions au code de la route, le traitement des réclamations clients, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur), ou encore la gestion des sinistres et des vols. Or selon la CNIL, aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter.
Elle relève un premier manquement à l’article 5 du RGPD qui instaure l’obligation de veiller à la minimisation des données.

Elle a également pu constater que la société fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, elle considère que les contrats avec les sociétés ne contiennent pas toutes les mentions prévues par le RGPD. D’une part, certains d’entre eux ne mentionnent pas les dispositions relatives aux procédures de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. D’autre part, certains ne mentionnent ni l’objet du traitement, ni sa durée.

Elle constate donc un second manquement à l’obligation d’encadrer les traitements faits par un sous-traitant par contrat (article 28 du RGPD).

Pour finir, elle souligne également un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la LIL).

Comme le rappelle la CNIL « Le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés mais également des mesures prises par la société pour y remédier lors de la procédure. »

Pour lire une version plus complète de cet article sur la géolocalisation, cliquez

Sources :

Par Commerce electronique, internet-et-droit • Tags: , , , , ,

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

Piratage de site internet

Avec la création d’internet, et plus particulièrement des sites internet, une nouvelle criminalité a émergé, en effet il est maintenant possible de s’introduire dans un site, d’y introduire des virus,… il a alors fallu adopter la législation face à ce nouveau type de criminalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?

La plupart des infractions informatiques sont sanctionnées au niveau pénal. La loi Godfrain du 5 janvier 1988 relative à la fraude informatique est la première loi française qui réprime les actes de criminalité informatique et de piratage. Elle a par la suite été complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004 puis par la loi LOPPSI II du 14 mars 2011. Ces différentes lois permettent de sanctionner les atteintes aux systèmes de traitement automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.

Parmi elles on retrouve l’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, puni de deux ans de prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération, soit des données contenues (suppression ou modification), soit du fonctionnement même du système, les peines prévues sont de trois ans de prison et de 100 000 € (article 323-1 du Code pénal).

Besoin de l’aide d’un avocat pour un problème de cybercriminalité?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il est également possible de citer le maintien frauduleux dans un système informatique. Les causes d’aggravation retenues (altération des données) sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris 11° chambre, section. A du 14 janv. 1997.

Par ailleurs, les juges prennent en compte le degré de négligence dans la sécurisation du système. En effet, afin de caractériser un accès ou un maintien frauduleux il semble nécessaire d’établir l’existence d’une faute. L’intrusion consiste en l’utilisation sans droit et contre la volonté du propriétaire du système informatique. Pour ce faire, « le propriétaire doit avoir manifesté son intention de restreindre l’accès aux données aux seules personnes autorisées ». (CA de Paris, 1994)

Est également sanctionnée toute atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, autrement dit le fait de le fausser ou l’entraver est puni de cinq ans de prison et de 150 000 € d’amende (Article 323-2 du Code pénal).

Ainsi une attaque par déni de service peut constituer une entrave au fonctionnement d’un STAD (T. Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système par saturation. Les entraves au système sont également retenues lorsqu’est déposé un virus ou une bombe logique.

Dans une autre affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement d’un STAD, le fait pour un associé de faire cesser le développement du site internet de la société. Pour ce faire, les juges relèvent que « B, qui était le responsable du bureau mauricien où était développé le contenu du site Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto cesser le développement du site, et remisait le matériel de la société Uptoten. » (TGI de Paris, 13e chambre correctionnelle, 15 décembre 2015, Uptoten et autres c.J.B).

Est aussi incriminé par l’article 323-3 du Code pénal, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T. Correctionnel de Paris, 25 février 2000).

De plus le droit civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et intérêts pour le préjudice subi par la victime (perte de clients, de commandes, de notoriété, etc.)

II. Sont-elles suffisantes ?

Le système est assez complet, il serait éventuellement possible d’ajouter des infractions pénales plus spécifiques. De plus les cybercriminels innovent constamment ce qui demande un effort constant de la part du législateur.  Mais les différentes actions contre les sites Internet peuvent être sanctionnées par les articles du Code pénal cités.

Les peines semblent assez dissuasives. En effet, les peines vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende. Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le sont également lorsqu’elles sont commises en bande organisée.

En outre, comme le précise l’article 323-7 du Code pénal, la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

De plus, des peines complémentaires accompagnent régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel, ou d’une privation de droits civique et familiaux pour une durée de 5 ans ou plus, etc. (Article 323-5 du Code pénal).

Enfin, la récente adoption de la loi LOPMI prévoit d’aggraver les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.

Cela dit, il semble que les entreprises hésitent à engager des poursuites pénales contre les pirates.

III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.

Des organismes chargés de la recherche et la sanction des infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment, mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de renseignement national) s’occupe des affaires de piratages importantes.

Ils sont compétents techniquement pour effectuer la recherche des infractions et des responsables des différents délits informatiques.

On peut éventuellement noter un manque de moyens matériels et financiers pour contrer des pirates qui ont souvent des moyens puissants. Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur 24 à agir, les différents organismes chargés de la répression sont limités par leur nombre et leurs horaires.

C’est pourquoi les stratégies en la matière tentent de s’axer sur la prévention et la sensibilisation des utilisateurs et des entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides.

Depuis mars 2017, le gouvernement a également mis en place la plateforme « cybermalveillance.gouv.fr ». Cette plateforme est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.

Des points de contact et la création de certifications (SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de répondre aux besoins des entreprises. Il est possible de trouver la liste des prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.

IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ?Est-ce que cette démarche ne l’expose pas plus encore ?

La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d’un avocat.

Je conseillerais dans un premier temps de saisir directement les services de police compétents.

C’est une démarche qui ne devrait pas exposer plus l’entreprise, sauf bien sur si le pirate retrouvé fait partie d’un groupe et donne des consignes d’attaques postérieures…..

Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour défacement de site Internet. Bien sûr dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….

V. Quels autres dispositifs ou mesures sont à la disposition des entreprises victimes de cyberattaques ?

En outre, l’outil « cybermalveillance.gouv.fr » a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte.

La récente loi LOPMI du 24 janvier 2023 a donné naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux particuliers, aux entreprises, mais aussi aux administrations victimes de cyberattaques.

De plus, au regard des obligations imposées par les articles 33 et 34 du RGPD, dès lors que les violations de données représentent un risque pour les personnes concernées, celles-ci faire l’objet d’une notification auprès l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72 heures. Lorsque cette violation présente un risque élevé pour les personnes concernées, il sera nécessaire d’alerter les personnes concernées par cette dernière.
Enfin, il vous sera également demandé d’indiquer cette violation dans votre registre de violation des données.

VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger, quelle loi s’applique-t-elle. Existe-t-il d¹ailleurs un dispositif légal au niveau international ?

Les tribunaux répressifs français sont compétents pour connaître de toute infraction commise sur le territoire français, quelle que soit la nationalité de son auteur ou de sa victime. Cette compétence territoriale se justifie aisément : juridiquement, elle découle du pouvoir souverain de la France de protéger l’ordre public sur son territoire contre les infractions qui y sont commises.

En revanche, beaucoup de cyberattaquants se jouent des frontières et des accords d’extradition conclus entre les différents pays, ce qui peut rendre leur arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ». Le principe de la territorialité de la loi pénale fait parfois obstacle aux poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».

Malgré tout, on trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des notices rouges) ou des conventions telles que la Convention internationale de cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte contre la cybercriminalité à une échelle internationale et d’émettre des définitions juridiques communes.

Au niveau européen on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre les services répressifs et judiciaires nationaux. On peut également évoquer l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute l’Europe.

Cette coopération a encore été étendue à l’échelle européenne. En effet, la révision de la directive « sécurité des réseaux et des systèmes d’information » initiée en juillet 2020, a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers. Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière.

En France, l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500 cyberpatrouilleurs.

VII. En cas de piratage d’un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?

Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction

Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s’ il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.

VIII. Si le prix d’un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?

La jurisprudence considère que le client peut exiger de régler le prix affiché, l’erreur d’étiquetage n’entraînant pas la nullité de la vente.

Cependant, il existe une exception à cette règle lorsque le prix présenté est erroné et dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est sous-estimé, on considère que le consommateur normalement avisé ne peut pas avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de la vente ou le paiement des sommes non perçues.

Ce cas d’erreur de prix sur Internet s’est produit il y a quelques années. Des internautes ont profité d’un bug du prix sur le site Micromania pour acheter des consoles à 40 euros alors que le prix réel des consoles était compris entre 300 et 400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer la différence de prix entre le prix affiché et le prix payé.

IX. En matière d’infraction, l’employeur peut-il rechercher une responsabilité auprès d¹un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l¹intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d’information sur sa vulnérabilité ) ?

La société pourra agir en responsabilité civile contre tous ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice. Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En revanche, l’entreprise devra s’être assurée que ce dernier présentait des garanties suffisantes (article 34 de la loi informatique et liberté).

Elle pourra également intenter un procès contre toute personne qui en dehors d’un contrat a commis une faute, par exemple, un membre de la société ou un tiers qui aurait fourni des informations confidentielles permettant d’accéder au système.

Le comportement fautif du salarié entraîne également des répercussions sur son contrat de travail. C’est ce que rappelle la Cour de cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de passe d’un autre salarié, sur le poste informatique du directeur de la société était un comportement qui violait la charte informatique de l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et justifiait son licenciement pour faute grave.

Dans une affaire en date de 2015, le Tribunal correctionnel de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copié, à partir des serveurs informatiques de la société dont il était salarié, des mails et des documents qui laissaient entendre que la société exerçait des pressions sur une inspectrice du travail et les avait adressés à cette dernière. (T. Correctionnel de Nancy, 4 décembre 2015).

Pour ce faire elle retient qu’« il a consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu dans une autre intention que celle d’exécuter son travail habituel de développement du wifi. »

X. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu’une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve qui corroborent l’existence d’un préjudice du fait de cette attaque.

Quel type de dédommagement peut-il espérer une entreprise lorsque qu’elle est victime d¹un sinistre de cette nature ?

En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis.

Cependant, l’indemnisation est limitée par la solvabilité du responsable, or un bon nombre des pirates sont des particuliers.

Les préjudices pour une société commerciale d’une telle action peuvent être très importants et risquent par conséquent de ne pas être indemnisés totalement.

Il est dans ce cas intéressant pour l’entreprise de souscrire une assurance à cet effet. Le niveau des dédommagements est fonction du type d’assurance souscrite.

A ce propos, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.

Pour lire une version plus complète de cet article sur le défacement et le piratage de site internet, cliquez

SOURCES :

https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de l’assurance cyber risque : https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque : https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
https://www.un.org/fr/chronicle/article/combattre-lindustrialisation-de-la-cybercriminalite

Par internet-et-droit • Tags: , , , ,

«< 4 5 6 7 8 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes