données personelles

Fin des appels intempestifs : la révolution du consentement téléphonique

C’est une scène que chacun connaît trop bien. En plein repas, entre deux réunions ou au milieu d’un moment de détente, le téléphone sonne. Un numéro inconnu s’affiche, souvent local, parfois masqué.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Au bout du fil, une voix enjouée, souvent scriptée, vous propose de changer d’opérateur, d’isoler vos combles, ou de profiter d’une offre « exceptionnelle » sur vos factures d’énergie.

D’abord agacé, on répond poliment, puis on raccroche sèchement, ou on laisse sonner dans le vide. Mais rien n’y fait : les appels reviennent, encore et encore. Ce fléau, familier à des millions de Français, ne relève pas de la simple nuisance passagère. Il est devenu, au fil des ans, un véritable problème de société.

D’après des chiffres récents relayés par l’UFC-Que Choisir, pas moins de 97 % des Français ont déjà été confrontés au démarchage téléphonique. Une moyenne de six appels par semaine, tous secteurs confondus, est désormais la norme. Ces sollicitations sont particulièrement intrusives, et lorsqu’elles visent des publics vulnérables – personnes âgées, isolées, mal informées – elles peuvent avoir des conséquences graves, allant de la signature de contrats non désirés jusqu’à des escroqueries aux sommes parfois considérables.

Face à l’inefficacité des mécanismes existants – au premier rang desquels Bloctel, censé limiter les appels commerciaux mais dont le fonctionnement s’est révélé largement défaillant – le législateur a fini par trancher. Le 21 mai 2025, le Parlement français a adopté définitivement une nouvelle loi qui interdit le démarchage téléphonique sans consentement préalable. Ce changement de paradigme marque une véritable révolution juridique et philosophique : désormais, les entreprises ne pourront contacter un particulier que si ce dernier a expressément donné son accord. Fini le modèle du opt-out, où l’usager devait se signaler pour ne pas être dérangé ; place au opt-in, où le silence ne vaut plus acceptation.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Cette loi, intégrée à une proposition de loi plus large visant à lutter contre les fraudes aux aides publiques, cible prioritairement certains secteurs particulièrement exposés aux dérives, comme la rénovation énergétique. Ce domaine a concentré de nombreux abus ces dernières années, entre entreprises fantômes, démarchage agressif et contrats signés dans la confusion, avec parfois des conséquences financières et juridiques dramatiques pour les consommateurs.

Mais cette avancée législative, dont l’entrée en vigueur est prévue pour août 2026, ne fait pas disparaître tous les obstacles.

Le texte laisse aux professionnels du secteur un temps d’adaptation, mais il ouvre aussi la voie à de nouveaux défis : comment s’assurer du respect de cette obligation de consentement ? Quid des numéros étrangers, des centres d’appels délocalisés, ou des escrocs qui évoluent en marge de toute légalité ? La loi suffira-t-elle à elle seule à garantir la fin des appels indésirables, ou faudra-t-il également miser sur des outils technologiques, une coopération renforcée entre autorités, et une vigilance collective accrue ?

L’intelligence artificielle, l’analyse comportementale des appels, le partage de données entre opérateurs et plateformes de régulation figurent parmi les solutions techniques envisagées. Mais derrière cette mutation, c’est aussi une nouvelle conception de la relation commerciale qui se dessine : une communication respectueuse, fondée sur le libre choix du consommateur, et non sur l’intrusion ou la pression.

Le démarchage téléphonique, longtemps toléré, parfois encadré mais rarement maîtrisé, arrive-t-il enfin à son crépuscule ? Cette réforme ambitieuse, fruit de nombreuses années de débat, pourrait bien constituer un tournant décisif. Reste à savoir si elle parviendra à réconcilier les citoyens avec leur téléphone.

Dans les lignes qui suivent, nous analyserons les racines profondes de ce fléau, le contenu et les ambitions de la nouvelle loi, ainsi que les défis – techniques, juridiques et sociaux – que pose sa mise en œuvre.

I. Le démarchage téléphonique : un fléau à l’origine d’un renforcement législatif sans précédent

A. L’échec des dispositifs historiques

Le démarchage intrusif n’est pas un phénomène nouveau. Dès 2014, la loi Hamon instaurait le principe du *opt-out* via la plateforme Bloctel, permettant aux consommateurs de s’inscrire sur une liste d’opposition. Pourtant, avec seulement 5,6 millions d’inscrits (sur 67 millions de numéros en France), son impact fut limité.

Les fraudeurs contournaient facilement le système en utilisant des fichiers illégaux ou en multipliant les sociétés écrans. La loi Naeglen (2020) tenta de durcir le cadre en interdisant le démarchage dans des secteurs sensibles (rénovation énergétique, formation) et en encadrant les horaires (10h-13h et 14h-20h en semaine). Malgré cela, les appels indésirables persistaient, alimentés par l’explosion des fraudes aux aides publiques, notamment via les certificats d’économie d’énergie (CEE) .

B. La loi de 2025 : une révolution du consentement

La nouvelle législation, adoptée le 21 mai 2025, inverse radicalement la logique : le consentement préalable devient la règle. Les entreprises devront prouver que le consommateur a manifesté son accord de manière « libre, spécifique, éclairée, univoque et révocable » – par exemple via une case à cocher active (non pré-remplie) .

Seule exception : « l’exception client », autorisant les appels liés à un contrat en cours (ex. : un opérateur proposant une mise à jour de forfait) .

Le texte renforce aussi la répression :

– Sanctions pénales : Jusqu’à 5 ans de prison et 500 000 € d’amende pour abus de faiblesse.

– Amendes administratives : Jusqu’à 20 % du chiffre d’affaires pour les entreprises récidivistes.

– Interdiction sectorielle : La prospection électronique (SMS, réseaux sociaux) est prohibée dans la rénovation énergétique, un secteur miné par les arnaques.

C. Les limites persistantes

Malgré ces avancées, des failles subsistent. Comme le souligne Hélène Lebon, avocate spécialisée : * »Les fraudeurs se fichent des textes.

La clé est dans l’application des lois existantes »* .

La traçabilité des fichiers reste problématique : les entreprises achètent souvent des listes de numéros « en bonne foi », sans vérifier leur légalité .

Par ailleurs, l’impact économique inquiète : 29 000 à 40 000 emplois dans les centres d’appels pourraient être menacés . Enfin, les escrocs innovent déjà via des numéros en 06/07 ou des messageries cryptées (WhatsApp), échappant ainsi aux contrôles .

II. Technologie et régulation : une alliance vitale pour l’efficacité de la loi

A. L’IA en première ligne

Pour contrer les appels frauduleux, les opérateurs déploient des solutions d’intelligence artificielle :

– Filtres antispam : Dès août 2026, les SMS commerciaux non désirés pourront être bloqués via des algorithmes, comme c’est déjà le cas pour les emails.

– Analyse vocale : L’IA détecte les fraudes en temps réel en analysant l’ondulation de la voix, le débit ou les mots-clés (ex. : « Caisse d’Assurance-maladie » pour les arnaques type « faux remboursements ») .

– Authentification des appels : La loi Naeglen a imposé un dispositif d’authentification (STIR/SHAKEN), obligeant les opérateurs à interrompre les appels non certifiés .

B. Le rôle clé des régulateurs

La loi de 2025 facilite le partage d’informations entre la DGCCRF, la CNIL et l’Arcep.

Cette synergie permet :

– Une identification rapide des fraudeurs via la mutualisation des données.

– Des campagnes préventives sur les fuites de données (ex. : alerte si un numéro est vendu sur le dark web).

– La suspension des aides publiques en cas de soupçon de fraude (ex. : dans la rénovation énergétique) .

C. Adaptation ou disparition ?

Face à ces contraintes, les entreprises légitimes se réinventent :

– Reconversion vers le *inbound marketing* (répondre aux demandes clients) ou les chatbots.

– Responsabilisation des intermédiaires : vérification systématique des fichiers achetés. – Innovation consentie : Prospection ciblée via des questionnaires en ligne, où le consommateur choisit ses préférences de contact .

La loi de 2025 marque un tournant historique, mais son succès dépendra de trois piliers : l’application rigoureuse des sanctions (dès 2026), l’efficacité technologique (IA et coordination des régulateurs) et l’évolution des pratiques commerciales. Si les consommateurs peuvent espérer une réduction des appels indésirables, la vigilance reste de mise face à des fraudeurs toujours ingénieux. Comme le résume Pierre-Jean Verzelen, sénateur à l’origine du texte : * »Il faudra taper fort et vite.

En Allemagne, une loi similaire n’a été efficace qu’après deux ans de sanctions effectives »* . La tranquillité téléphonique est à ce prix.

Chiffres clés à retenir :

  • 97 % des Français agacés par le démarchage.
  • 6 appels non désirés reçus en moyenne par semaine.
  • Août 2026 : entrée en vigueur de l’interdiction.
  • 500 000 € : amende maximale pour abus de faiblesse.

Pour lire une version plus complète de cet article sur le démarchage téléphonique, cliquez

Sources :

  1. La proposition de loi interdisant le démarchage téléphonique non consenti adoptée par le Parlement – ici
  2. L’interdiction du démarchage téléphonique non consenti adoptée par le Parlement – Le Club des Juristes
  3. Une nouvelle loi interdit le démarchage téléphonique non consenti – Next
  4. « Les Français ne pourront plus être dérangés » : le démarchage téléphonique subi, c’est bientôt fini – Le Parisien
  5. Démarchage téléphonique : le Parlement a définitivement voté le texte interdisant le démarchage à partir d’août 2026 | LCP – Assemblée nationale
  6. Loi contre le démarchage téléphonique : qu’est ce qui va changer au bout du fil ?

Par Consommation, Vie quotidienne • Tags: , ,

Exploitation des profils LinkedIn sans exigence de consentement

L’avènement du XXIe siècle, marqué par une transformation numérique sans précédent, a indubitablement redéfini les dynamiques des interactions professionnelles. Les plateformes en ligne, à l’instar de LinkedIn, se sont érigées en véritables vitrines numériques, permettant aux individus de présenter leurs compétences et expériences à un vaste public mondial.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Cette révolution technologique a, par conséquent, engendré une redéfinition des notions de visibilité et de réputation professionnelle, tout en suscitant une réflexion critique sur la gestion des données personnelles. Autrefois considérées comme des éléments intimes, les données personnelles se retrouvent désormais souvent exposées à un usage commercial, provoquant des préoccupations grandissantes en matière de protection de la vie privée.

Dans ce contexte mouvant, le jugement rendu par le tribunal de commerce de Paris le 30 septembre 2024 constitue une étape marquante dans l’exploration des enjeux liés à l’exploitation des données personnelles sur les réseaux sociaux professionnels. En établissant que l’utilisation des informations publiées sur des profils publics de LinkedIn ne nécessite pas le consentement explicite des utilisateurs, conformément aux dispositions de l’article 5 du Règlement général sur la Protection des Données (RGPD), ce jugement soulève des interrogations d’une portée capitale.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La question de la nature du consentement dans un environnement où les utilisateurs, en optant pour la divulgation de leurs profils, semblent accepter tacitement l’exploitation potentielle de leurs informations par des tiers s’inscrit dans un débat plus large sur la responsabilité des utilisateurs et la protection de leurs droits.

En effet, le tribunal a mis en lumière une dynamique paradoxale : d’une part, les utilisateurs, en publiant des informations sur un réseau social à accès public, aspirent à accroître leur visibilité et à attirer l’attention d’employeurs potentiels. D’autre part, ils s’exposent inéluctablement aux risques d’une exploitation incontrôlée de leurs données personnelles.

Ce phénomène soulève des questions fondamentales sur la nature même de la volonté des utilisateurs à partager leurs informations dans le but d’optimiser leur employabilité, tout en prenant conscience des implications que cela peut avoir sur leur vie privée et leur sécurité.

Dans cette perspective, il convient également d’examiner le rôle des plateformes de recrutement, qui naviguent entre la nécessité de fournir des services efficaces et l’obligation de respecter les droits des utilisateurs. Le jugement en question a mis en exergue la réalité selon laquelle, bien qu’il n’y ait pas eu de preuves tangibles de non-respect du RGPD, la plateforme poursuivie avait contrevenu à ses propres conditions générales d’utilisation en recourant à des profils LinkedIn pour offrir des services à ses clients.

Cette situation souligne non seulement l’importance pour les plateformes de se conformer aux règles qu’elles instaurent, mais également leur rôle prépondérant dans la préservation d’un environnement de concurrence juste et éthique. La protection des droits des utilisateurs ne saurait être laissée au hasard ; elle doit être inscrite au cœur des pratiques commerciales des plateformes.

Par ailleurs, l’absence de plaintes émanant des utilisateurs auprès de la Commission nationale de l’informatique et des libertés (Cnil) met en exergue une lacune significative dans la sensibilisation des utilisateurs quant aux droits qui leur sont conférés par le RGPD. Ce constat interroge non seulement la responsabilité des utilisateurs dans la gestion de leurs informations personnelles, mais également celle des plateformes dans l’éducation et l’information des utilisateurs sur leurs droits et obligations.

Il est impératif que les utilisateurs prennent conscience de l’importance de protéger leurs données personnelles et qu’ils soient instruits sur les mécanismes à leur disposition pour faire valoir leurs droits. L’analyse des enjeux juridiques, éthiques et pratiques liés à l’utilisation des données personnelles sur LinkedIn doit donc être approfondie. Elle appelle à une réflexion sur les implications de la numérisation des interactions professionnelles, sur la redéfinition du consentement à l’ère numérique, ainsi que sur la responsabilité partagée entre les utilisateurs et les plateformes.

À la croisée de ces questions se dessine un paysage complexe, où le droit et l’éthique se rejoignent pour tracer les contours d’un avenir où la protection des données personnelles sera non seulement un impératif juridique, mais aussi un enjeu fondamental de la confiance entre les acteurs du marché et les utilisateurs. Dans ce cadre, il est essentiel de promouvoir une culture de la protection des données qui transcende la simple conformité légale et qui embrasse une vision éthique de l’interaction numérique, permettant ainsi de garantir que la transformation numérique ne se fasse pas au détriment des droits fondamentaux des individus.

I. Le cadre juridique de l’utilisation des données personnelles sur LinkedIn

A. Les dispositions du RGPD et leur application aux profils publics

Le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, représente une avancée significative dans la protection des données personnelles au sein de l’Union Européenne.

L’article 5 du RGPD établit des principes directeurs qui régissent la collecte et le traitement des données personnelles. Parmi ces principes, on trouve la licéité, la loyauté et la transparence, la limitation des finalités, la minimisation des données, l’exactitude, la limitation de la conservation, et l’intégrité et la confidentialité. Dans le contexte des profils publics sur LinkedIn, la question de la licéité du traitement des données personnelles est primordiale. En effet, les utilisateurs de LinkedIn, en choisissant de rendre leurs profils accessibles au public, consentent implicitement à ce que leurs informations soient utilisées par des tiers, notamment par des recruteurs ou des entreprises.

Selon l’article 6 du RGPD, le traitement des données peut être considéré comme licite lorsque la personne concernée a donné son consentement, lorsque le traitement est nécessaire à l’exécution d’un contrat, ou lorsque le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou un tiers, sauf si prévalent les intérêts ou les droits et libertés fondamentaux de la personne concernée.

Il est également important de noter que l’article 7 du RGPD impose des exigences strictes quant à la manière dont le consentement doit être donné. Ce consentement doit être libre, spécifique, éclairé et univoque. Cependant, dans le cadre des profils publics sur LinkedIn, la question du consentement explicite devient plus complexe.

L’utilisateur, en créant un profil public, pourrait être considéré comme ayant donné son consentement implicite à l’utilisation de ses données. Cela soulève des interrogations sur la portée de ce consentement implicite et sur la responsabilité des plateformes dans l’information des utilisateurs concernant l’utilisation de leurs données.

Un exemple pertinent est celui de la décision de la Cour de Justice de l’Union Européenne (CJUE) dans l’affaire Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos, Mario Costeja González (C-131/12).  La Cour a jugé que les moteurs de recherche, en tant que responsables du traitement, sont tenus de garantir le droit à l’effacement des données personnelles (droit à l’oubli) lorsque les informations sont inexactes, incomplètes ou non pertinentes. Cette décision illustre l’importance de la transparence et de la responsabilité dans le traitement des données personnelles, des principes qui sont également applicables dans le contexte des réseaux sociaux comme LinkedIn.

B. La notion de consentement implicite et ses implications

La notion de consentement implicite est un sujet de débat majeur dans le domaine de la protection des données personnelles, surtout lorsqu’il s’agit de plateformes en ligne où les utilisateurs partagent volontairement des informations. Dans le cadre des profils publics sur LinkedIn, le consentement implicite peut être interprété comme une acceptation tacite des utilisateurs à ce que leurs données soient utilisées par des tiers, en raison de la nature même de la plateforme, qui vise à faciliter les interactions professionnelles. Cependant, cette interprétation du consentement implicite soulève des questions éthiques et juridiques. Par exemple, il est essentiel de déterminer si les utilisateurs sont réellement conscients des implications de rendre leurs informations accessibles publiquement.

La Cour de cassation française a, dans son arrêt du 26 juin 2019, rappelé que le consentement doit être éclairé et que l’absence d’information claire sur l’utilisation des données peut constituer une violation des droits des personnes concernées.

En outre, la directive européenne 2016/680 relative à la protection des données à caractère personnel traitées dans le cadre des activités policières et judiciaires souligne la nécessité d’un consentement explicite lorsque les données sensibles sont en jeu, comme les informations relatives à la santé ou à l’origine ethnique.

Bien que ces dispositions s’appliquent principalement à d’autres contextes, elles illustrent l’importance d’un consentement clair et éclairé dans le traitement des données personnelles, y compris sur des plateformes professionnelles. Un exemple pratique est celui des utilisateurs qui, en raison de l’interface de LinkedIn, peuvent ne pas réaliser que la sélection de certaines options de visibilité entraîne une exposition de leurs données. La responsabilité incombe donc à la plateforme de veiller à ce que ses utilisateurs soient pleinement informés des conséquences de leurs choix en matière de visibilité. À cet égard, le Règlement impose aux responsables du traitement de fournir des informations claires et compréhensibles sur l’utilisation des données personnelles.

Cela inclut des détails sur la finalité du traitement, la durée de conservation des données et les droits des utilisateurs.

En somme, si le consentement implicite peut être perçu comme suffisant dans certains cas, son application sur des plateformes comme LinkedIn reste délicate. Les utilisateurs doivent être pleinement conscients de l’impact de leurs décisions et de la manière dont leurs données peuvent être utilisées par des tiers.

La transparence et la responsabilité des plateformes sont donc essentielles pour garantir que les droits des utilisateurs soient respectés et que leur consentement soit véritablement éclairé. Il est donc impératif que LinkedIn et d’autres réseaux sociaux clarifient leur politique de protection des données et s’assurent que les utilisateurs comprennent les implications de leur choix de rendre leurs profils publics.

II. La concurrence déloyale et le respect des conditions d’utilisation

A. Les pratiques de web scraping et leurs conséquences juridiques

Le web scraping, ou extraction automatisée de données à partir de sites web, est une pratique qui soulève de nombreux enjeux juridiques, notamment en ce qui concerne le respect des conditions d’utilisation des plateformes. Dans le contexte des réseaux sociaux et des plateformes de recrutement comme LinkedIn, cette pratique peut être perçue comme une violation des droits d’auteur, une atteinte à la protection des données personnelles, et une infraction aux dispositions relatives à la concurrence déloyale.

Sur le plan du les bases de données sont protégées par le Code de la propriété intellectuelle. En France, l’article L. 112-3 dispose que les bases de données sont considérées comme des œuvres de l’esprit, et leur extraction non autorisée peut constituer une atteinte aux droits moraux et patrimoniaux de l’auteur.

L’affaire « LinkedIn c. hiQ Labs » est emblématique de cette problématique. Dans cette affaire, LinkedIn a tenté d’interdire à hiQ Labs, une entreprise de web scraping, d’extraire des données de ses utilisateurs. La Cour d’appel de San Francisco a statué en faveur de hiQ, affirmant que l’accès aux données publiques ne constituait pas en soi une violation des conditions d’utilisation de LinkedIn. Cependant, cette décision a été critiquée pour son manque de clarté quant aux droits des plateformes de contrôler l’accès à leurs données.

En outre, le web scraping peut également être considéré comme une concurrence déloyale, notamment lorsqu’il porte atteinte aux intérêts commerciaux légitimes des plateformes.

L’article 1240 du Code civil dispose que Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer. Dans ce cadre, les entreprises victimes de web scraping peuvent engager des poursuites pour obtenir des réparations.

Par exemple, si une entreprise utilise les données collectées via le scraping pour proposer des services similaires à ceux d’une plateforme, cela peut être interprété comme une exploitation déloyale des efforts d’investissement et de développement de cette dernière.

Les conséquences de telles pratiques ne se limitent pas uniquement aux aspects juridiques ; elles peuvent également avoir un impact significatif sur la concurrence dans le secteur des plateformes de recrutement. L’utilisation abusive des données peut créer un déséquilibre sur le marché, favorisant les acteurs qui recourent à ces pratiques au détriment de ceux qui respectent les conditions d’utilisation. Cela soulève des questions sur l’équité et l’intégrité de la concurrence, en particulier dans un domaine où la confiance des utilisateurs est primordiale.

B. Les enjeux éthiques et la protection des données personnelles

Les enjeux éthiques liés à l’utilisation des données personnelles dans un cadre commercial sont d’une importance capitale, surtout dans un contexte où les utilisateurs partagent de plus en plus d’informations en ligne. Le droit à la vie privée, protégé par le RGPD, impose des obligations strictes aux entreprises concernant la collecte, le traitement et la conservation des données personnelles. Toutefois, l’exploitation des données à des fins commerciales, notamment par le biais du web scraping, pose des défis éthiques majeurs. Il est crucial de trouver un équilibre entre l’accès à l’information et la protection des droits individuels.

D’un côté, les entreprises ont un intérêt légitime à utiliser les données pour améliorer leurs services et répondre aux besoins des utilisateurs.

De l’autre, les utilisateurs ont le droit d’attendre que leurs données soient traitées de manière responsable et dans le respect de leur vie privée. Les récents scandales liés à la fuite de données personnelles, tels que l’affaire Cambridge Analytica, ont mis en lumière les dangers d’une exploitation non éthique des données, entraînant une perte de confiance des utilisateurs envers les plateformes. Dans ce contexte, il est essentiel d’instaurer des recommandations pour une meilleure régulation des pratiques liées à l’exploitation des données personnelles. Cela pourrait inclure des mesures telles que :

  1. Renforcement de la transparence : Les plateformes doivent être tenues de fournir des informations claires et accessibles sur la manière dont les données des utilisateurs sont collectées, utilisées et partagées. Cela inclut la mise à jour régulière des politiques de confidentialité et des conditions d’utilisation.
  2. Consentement explicite : Les entreprises doivent obtenir un consentement explicite de la part des utilisateurs avant de procéder à la collecte de leurs données. Ce consentement doit être libre, éclairé et spécifique, conformément aux exigences du RGPD.
  3. Responsabilité des plateformes : Les entreprises qui exploitent des données personnelles doivent être responsables de leur utilisation, en veillant à respecter les droits des utilisateurs et à protéger leurs données contre toute utilisation abusive. Cela pourrait inclure l’instauration de mécanismes de contrôle et de vérification pour s’assurer que les données collectées ne sont pas utilisées à des fins contraires à l’éthique ou à la loi.
  4. Sanctions dissuasives : Il est impératif que des sanctions adéquates soient mises en place pour décourager les pratiques de web scraping non éthiques. Cela pourrait impliquer à la fois des amendes financières substantielles et des mesures d’interdiction d’accès aux plateformes pour les entreprises qui enfreignent les conditions d’utilisation.
  5. Sensibilisation des utilisateurs : Les utilisateurs doivent être mieux informés de leurs droits en matière de protection des données. Cela inclut la compréhension des implications de la publication de leurs informations sur les réseaux sociaux et des mesures qu’ils peuvent prendre pour protéger leur vie privée.
  6. Encadrement juridique des pratiques de scraping : Il serait bénéfique d’établir un cadre juridique clair concernant le web scraping, notamment en définissant les situations où cette pratique peut être considérée comme légitime, tout en protégeant les droits des détenteurs de données. Cela pourrait inclure des exemptions pour des usages spécifiques tels que la recherche académique ou l’analyse de données, à condition que cela soit réalisé dans le respect des droits des utilisateurs.

Pour lire une version plus complète de cet article sur linkedin et le consentement, cliquez

Sources :

  1. Legalis | L’actualité du droit des nouvelles technologies | Pas de consentement nécessaire pour utiliser des profils sur LinkedIn
  2. CURIA – Documents
  3. Cour de cassation, civile, Chambre civile 1, 26 juin 2019, 18-15.830, Publié au bulletin – Légifrance
  4. Directive – 2016/680 – EN – règlement bruxelles ii ter – EUR-Lex
  5. Web Scraping : Tout ce qu’il faut savoir
  6. LinkedIn remporte la dernière bataille judiciaire contre le grattage des données et l’utilisation abusive des informations des utilisateurs – Coeur sur Paris

Par internet-et-droit • Tags: , ,

Droit et geolocalisation

La géolocalisation permet de localiser géographiquement un objet ou une personne. Ce procédé offre des possibilités d’actions marketing ciblées très avantageuses pour les entreprises et les utilisateurs. Il permet de cerner la personnalité et les habitudes de chaque individu. Néanmoins, l’exploitation de cette fonctionnalité entraîne, fatalement, une surveillance des déplacements dans le temps et l’espace qui peut nuire à la vie privée des individus.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en droit du travailen passant par le formulaire !

La géolocalisation est une technologie permettant de déterminer, plus ou moins précisément, la localisation d’un objet ou d’une personne par l’intermédiaire d’un système GPS ou d’un téléphone mobile. Ce service est accompli par un réseau de télécommunication.

Avec le développement des nouvelles technologies, la majorité des applications installées sur nos smartphones offre des fonctions de partage de localisation. La géolocalisation est un outil utile lorsqu’elle est utilisée de manière bienveillante. On la retrouve en particulier dans le transport (par exemple de suivre un chauffeur VTC, trouver une trottinette électrique), dans la livraison (suivre la progression d’une livraison en cours), pour assurer la sécurité des biens (pour retrouver sa voiture ou son smartphone par exemple) ou encore dans le sport (certaines applications sportives proposent de retracer l’itinéraire de l’utilisateur lors d’un footing ou d’une randonnée). Bien que ces technologies soient utiles, elles récupèrent des données à caractère personnel qui peuvent comprendre des risques pour notre vie privée.

Selon l’article 4 du Règlement européen sur la protection des données, une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.

La personne est identifiée directement lorsque son nom apparaît dans un fichier et, indirectement lorsque le fichier comporte des informations l’identifiant (adresse IP, numéro de téléphone…).

Lorsqu’elles sont utilisées et permettent la mise en place de service, il s’agit d’un traitement qui est strictement encadré par la loi.

Selon le même article,  » Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction « .

I/ Le droit et  la géolocalisation

Besoin de l’aide d’un avocat pour un problème de droit  du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le RGPD énonce en son chapitre II un certain nombre de principes qui régissent la mise en place d’un traitement de données. Certaines de ces obligations incombent aux sociétés exploitantes ou utilisant un service de géolocalisation dans la mesure où cela entraîne un traitement de données personnelles et une possible atteinte à la vie privée des utilisateurs.

 » Le traitement doit avoir un objectif précis et les données récoltées doivent être en concordance avec cet objectif. Cette finalité ne doit pas être détournée, les données doivent toujours être exploitées dans le même but.

 » L’utilisateur doit donner son autorisation avant toute collecte de donnée de localisation.
La localisation peut être ponctuelle ou continue. Lorsqu’elle est ponctuelle, la collecte d’information est limitée dans le temps et l’espace (météo ou trafic routier). Ainsi, la simple demande, par l’utilisateur, d’accéder à un tel service est considérée comme une manifestation de son consentement.
Lorsque la localisation est continue, l’utilisateur doit avoir la possibilité de l’utiliser, ou non, à chaque fois qu’il le souhaite, par l’intermédiaire d’une inscription (bouton, case à cocher).

 » Une information précise de la nature du traitement des données doit être apportée aux utilisateurs (type de donnée, durée de conservation, finalité et droits relatifs à ces données).

 » Les données personnelles doivent être soumises à des mesures de sécurité adaptées aux risques amenés par le traitement. Dès lors, les responsables du traitement mettre en place une sécurité à la fois physique et logique.

 » Les données collectées doivent, nécessairement, jouir d’une date de péremption. Les responsables ont l’obligation de fixer une durée raisonnable de conservation. Le caractère raisonnable s’apprécie en fonction de l’objectif du service et à la durée nécessaire à sa fourniture. Une fois le service fourni, une conservation est possible lorsque les données sont indispensables à la facturation et au paiement des frais d’interconnexion. Si ces données donnent lieux à la conservation d’un historique, elles doivent être rendues anonymes.

En outre, la géolocalisation peut également toucher la vie privée des salariés. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) a exempté l’employeur de l’obligation de déclaration à la CNIL des systèmes de géolocalisation de véhicules professionnels. Toutefois, l’employeur reste tenu d’une obligation d’information de ses salariés de l’existence du dispositif en question et des droits qui peuvent en découler. Il doit, éventuellement, informer et consulter le Comité social et économique au préalable à la mise en place de ce dispositif

L’article L1121-1 du Code du travail dispose que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » (1)

Le Conseil d’État avait énoncé, dans un arrêt rendu le 15 décembre 2017, qu’« il résulte de [l’article L. 1121-1 du Code du travail] que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. » (2)

À cet effet, la Cour de cassation s’est alignée sur cette jurisprudence du Conseil d’État. En effet, dans un arrêt de la chambre sociale du 19 décembre 2018, la Cour de cassation a également illustré le contrôle mis en place en vertu de l’article L1121-1 du Code de travail.

En l’espèce, la question se posait autour de la licéité d’un dispositif de géolocalisation mis en place par une société spécialisée dans la distribution de publicités ciblées afin de localiser les salariés chargés de la distribution et de contrôler ainsi leur durée de travail.

La Cour de cassation s’est prononcée en considérant que ce système de géolocalisation est disproportionné quant au but recherché, et ce, sur le fondement de l’article L1121-1 du Code de travail. Les juges de cassation se fondent sur deux raisons principales à savoir que, ce système n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen fût-il moins efficace que la géolocalisation » et que l’usage de ce dernier « n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail ». (3)

Une autre fonction rendue possible par la géolocalisation a fait l’objet d’un avis de la CNIL. Il s’agit du marketing ciblé qui transforme le terminal mobile de l’utilisateur en un support de message publicitaire.
Selon la CNIL  » le marketing ciblé basé sur de la géolocalisation n’est pas interdit « , néanmoins les usagers doivent souscrire à des services de géolocalisation et être informés de la possibilité de s’y opposer.

II/ Le rôle particulier de la CNIL et ses pouvoirs

La CNIL est une autorité indépendante créée par la loi du 06 Janvier 1978 « Informatique et libertés ». Elle à ce titre chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.

Le développement généralisé de la géolocalisation amène la commission à être vigilante et à multiplier les opérations de sensibilisation à l’attention de l’ensemble des citoyens et sociétés.
Elle émets de nombreux avis sur de nouveaux dispositifs de géolocalisation, jugés trop intrusifs (Google Latitude, Facebook Lieux).

À travers ses contrôles, la CNIL peut infliger des sanctions en cas de non-respect des obligations légales.
Les contrôles ont été renforcés ces dernières années au sein des entreprises proposant des services de géolocalisation. La CNIL peut effectuer ses contrôles directement dans les locaux des entreprises et demander la communication de tout document permettant l’accès aux programmes informatiques et aux données afin de vérifier la licéité et la conformité des traitements effectués.

Lorsqu’une entrave à la loi est constatée, la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à un montant maximum de 150 000€ et 300 000 en cas de récidive. De surcroît, des injonctions de cesser le traitement illicite peuvent être déclarées.
Les manquements à la loi  » Informatique et Libertés  » sont punis de 5 ans d’emprisonnement et de 300 000€ d’amende.

En 2011, la commission s’est attaquée à Google et à ses services Street View et Latitute. L’entreprise a été condamnée à 100 00€ d’amende. Les voitures de Street View et Latitude collectaient, en plus des photos, les réseaux Wifi ouverts et de ce fait une grande quantité de données privées.

Depuis le 25 mai 2018, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard d’organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l’Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

S’agissant de la mise en œuvre d’un dispositif de géolocalisation des salariés, la CNIL apporte sur des éclaircissements quant à la licéité de cette pratique. En effet, cette dernière liste les utilisations permises et les utilisations proscrites.

Ainsi, il est permis à titre d’exemple de recourir à ce dispositif afin d’assurer le suivi d’une prestation, d’assurer la sécurité ou la sûreté du salarié et/ou des marchandises, de veiller à une allocation optimale des moyens mis à disposition pour l’exécution de la prestation et de veiller au respect des règles d’utilisation du véhicule.

Toutefois, le dispositif de géolocalisation ne peut avoir pour finalité de contrôler le respect des limitations de vitesse, de contrôler l’employé en permanence, de surveiller les déplacements du salarié en dehors de son temps de travail ou encore de contrôler les déplacements des représentants du personnel. (4)

Le rôle de la CNIL s’avère de plus en plus fondamental face à la multiplication et la banalisation de ces technologies. Un simple défaut de paramétrage, où en cas de piratage d’un téléphone, une surveillance constante des utilisateurs peut s’instaurer.

III. Illustration récente

En 2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.

Dans une délibération rendue le 16 mars 2023 par la formation restreinte de la CNIL, une sanction de 125 000 euros a été prononcée à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente. Cette décision a été prise en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société propose aussi ces services dans ces pays.

Depuis 2016, la société propose un service de location de scooters électriques en libre-service accessible à partir de son application mobile. Les scooters ne sont pas stationnés dans des espaces précis et peuvent être laissés, après utilisation, dans la zone de location identifiée dans l’application. Les véhicules sont équipés d’un dispositif de localisation embarqué qui permet à CITYSCOOT et aux utilisateurs, via leur application mobile, de connaître la position des scooters. La location d’un scooter électrique auprès de la société suppose la création d’un compte à partir de l’application mobile. Il s’agit d’un service sans engagement qui est facturé à la minute.

Un contrôle en ligne a été effectué sur le site web  » cityscoot.eu  » et l’application mobile  » CITYSCOOT « , le 13 mai 2020.  La délégation de la CNIL s’est notamment attachée à vérifier les données collectées et les finalités de la collecte. Ce contrôle avait également pour but de vérifier l’encadrement de la sous-traitance et la sécurité des données.

A l’occasion de ce contrôle, la CNIL s’est aperçue qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes lorsque le CITYSCOOT est actif et que son tableau de bord est allumé, qu’il soit en déplacement ou prêt à rouler. Lorsque le CITYSCOOT est inactif, le boîtier collecte des données de position toutes les 15 minutes. En outre, la société conservait l’historique de ces trajets durant douze mois en base active, puis douze mois en archivage intermédiaire avant d’être anonymisées.

La société justifie la collecte des données de position des scooters au regard de diverses finalités telles que le traitement des infractions au code de la route, le traitement des réclamations clients, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur), ou encore la gestion des sinistres et des vols. Or selon la CNIL, aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter.
Elle relève un premier manquement à l’article 5 du RGPD qui instaure l’obligation de veiller à la minimisation des données.

Elle a également pu constater que la société fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, elle considère que les contrats avec les sociétés ne contiennent pas toutes les mentions prévues par le RGPD. D’une part, certains d’entre eux ne mentionnent pas les dispositions relatives aux procédures de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. D’autre part, certains ne mentionnent ni l’objet du traitement, ni sa durée.

Elle constate donc un second manquement à l’obligation d’encadrer les traitements faits par un sous-traitant par contrat (article 28 du RGPD).

Pour finir, elle souligne également un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la LIL).

Comme le rappelle la CNIL « Le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés mais également des mesures prises par la société pour y remédier lors de la procédure. »

Pour lire une version plus complète de cet article sur la géolocalisation, cliquez

Sources :

Par Commerce electronique, internet-et-droit • Tags: , , , , ,

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

Par internet-et-droit • Tags: , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes