données personnelles

Droit et geolocalisation

La géolocalisation permet de localiser géographiquement un objet ou une personne. Ce procédé offre des possibilités d’actions marketing ciblées très avantageuses pour les entreprises et les utilisateurs. Il permet de cerner la personnalité et les habitudes de chaque individu. Néanmoins, l’exploitation de cette fonctionnalité entraîne, fatalement, une surveillance des déplacements dans le temps et l’espace qui peut nuire à la vie privée des individus.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en droit du travailen passant par le formulaire !

La géolocalisation est une technologie permettant de déterminer, plus ou moins précisément, la localisation d’un objet ou d’une personne par l’intermédiaire d’un système GPS ou d’un téléphone mobile. Ce service est accompli par un réseau de télécommunication.

Avec le développement des nouvelles technologies, la majorité des applications installées sur nos smartphones offre des fonctions de partage de localisation. La géolocalisation est un outil utile lorsqu’elle est utilisée de manière bienveillante. On la retrouve en particulier dans le transport (par exemple de suivre un chauffeur VTC, trouver une trottinette électrique), dans la livraison (suivre la progression d’une livraison en cours), pour assurer la sécurité des biens (pour retrouver sa voiture ou son smartphone par exemple) ou encore dans le sport (certaines applications sportives proposent de retracer l’itinéraire de l’utilisateur lors d’un footing ou d’une randonnée). Bien que ces technologies soient utiles, elles récupèrent des données à caractère personnel qui peuvent comprendre des risques pour notre vie privée.

Selon l’article 4 du Règlement européen sur la protection des données, une donnée est personnelle dès lors qu’elle permet d’identifier directement ou indirectement un individu personne physique.

La personne est identifiée directement lorsque son nom apparaît dans un fichier et, indirectement lorsque le fichier comporte des informations l’identifiant (adresse IP, numéro de téléphone…).

Lorsqu’elles sont utilisées et permettent la mise en place de service, il s’agit d’un traitement qui est strictement encadré par la loi.

Selon le même article,  » Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction « .

I/ Le droit et  la géolocalisation

Besoin de l’aide d’un avocat pour un problème de droit  du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le RGPD énonce en son chapitre II un certain nombre de principes qui régissent la mise en place d’un traitement de données. Certaines de ces obligations incombent aux sociétés exploitantes ou utilisant un service de géolocalisation dans la mesure où cela entraîne un traitement de données personnelles et une possible atteinte à la vie privée des utilisateurs.

 » Le traitement doit avoir un objectif précis et les données récoltées doivent être en concordance avec cet objectif. Cette finalité ne doit pas être détournée, les données doivent toujours être exploitées dans le même but.

 » L’utilisateur doit donner son autorisation avant toute collecte de donnée de localisation.
La localisation peut être ponctuelle ou continue. Lorsqu’elle est ponctuelle, la collecte d’information est limitée dans le temps et l’espace (météo ou trafic routier). Ainsi, la simple demande, par l’utilisateur, d’accéder à un tel service est considérée comme une manifestation de son consentement.
Lorsque la localisation est continue, l’utilisateur doit avoir la possibilité de l’utiliser, ou non, à chaque fois qu’il le souhaite, par l’intermédiaire d’une inscription (bouton, case à cocher).

 » Une information précise de la nature du traitement des données doit être apportée aux utilisateurs (type de donnée, durée de conservation, finalité et droits relatifs à ces données).

 » Les données personnelles doivent être soumises à des mesures de sécurité adaptées aux risques amenés par le traitement. Dès lors, les responsables du traitement mettre en place une sécurité à la fois physique et logique.

 » Les données collectées doivent, nécessairement, jouir d’une date de péremption. Les responsables ont l’obligation de fixer une durée raisonnable de conservation. Le caractère raisonnable s’apprécie en fonction de l’objectif du service et à la durée nécessaire à sa fourniture. Une fois le service fourni, une conservation est possible lorsque les données sont indispensables à la facturation et au paiement des frais d’interconnexion. Si ces données donnent lieux à la conservation d’un historique, elles doivent être rendues anonymes.

En outre, la géolocalisation peut également toucher la vie privée des salariés. L’entrée en vigueur du Règlement général sur la protection des données (RGPD) a exempté l’employeur de l’obligation de déclaration à la CNIL des systèmes de géolocalisation de véhicules professionnels. Toutefois, l’employeur reste tenu d’une obligation d’information de ses salariés de l’existence du dispositif en question et des droits qui peuvent en découler. Il doit, éventuellement, informer et consulter le Comité social et économique au préalable à la mise en place de ce dispositif

L’article L1121-1 du Code du travail dispose que : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. » (1)

Le Conseil d’État avait énoncé, dans un arrêt rendu le 15 décembre 2017, qu’« il résulte de [l’article L. 1121-1 du Code du travail] que l’utilisation par un employeur d’un système de géolocalisation pour assurer le contrôle de la durée du travail de ses salariés n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace que la géolocalisation. En dehors de cette hypothèse, la collecte et le traitement de telles données à des fins de contrôle du temps de travail doivent être regardés comme excessifs au sens du 3° de l’article 6 de la loi du 6 janvier 1978 précité. » (2)

À cet effet, la Cour de cassation s’est alignée sur cette jurisprudence du Conseil d’État. En effet, dans un arrêt de la chambre sociale du 19 décembre 2018, la Cour de cassation a également illustré le contrôle mis en place en vertu de l’article L1121-1 du Code de travail.

En l’espèce, la question se posait autour de la licéité d’un dispositif de géolocalisation mis en place par une société spécialisée dans la distribution de publicités ciblées afin de localiser les salariés chargés de la distribution et de contrôler ainsi leur durée de travail.

La Cour de cassation s’est prononcée en considérant que ce système de géolocalisation est disproportionné quant au but recherché, et ce, sur le fondement de l’article L1121-1 du Code de travail. Les juges de cassation se fondent sur deux raisons principales à savoir que, ce système n’est licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen fût-il moins efficace que la géolocalisation » et que l’usage de ce dernier « n’est pas justifié lorsque le salarié dispose d’une liberté dans l’organisation de son travail ». (3)

Une autre fonction rendue possible par la géolocalisation a fait l’objet d’un avis de la CNIL. Il s’agit du marketing ciblé qui transforme le terminal mobile de l’utilisateur en un support de message publicitaire.
Selon la CNIL  » le marketing ciblé basé sur de la géolocalisation n’est pas interdit « , néanmoins les usagers doivent souscrire à des services de géolocalisation et être informés de la possibilité de s’y opposer.

II/ Le rôle particulier de la CNIL et ses pouvoirs

La CNIL est une autorité indépendante créée par la loi du 06 Janvier 1978 « Informatique et libertés ». Elle à ce titre chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce ses missions conformément à la loi no 78-17 du 6 janvier 1978 modifiée notamment en 2004 et en 2019.

Le développement généralisé de la géolocalisation amène la commission à être vigilante et à multiplier les opérations de sensibilisation à l’attention de l’ensemble des citoyens et sociétés.
Elle émets de nombreux avis sur de nouveaux dispositifs de géolocalisation, jugés trop intrusifs (Google Latitude, Facebook Lieux).

À travers ses contrôles, la CNIL peut infliger des sanctions en cas de non-respect des obligations légales.
Les contrôles ont été renforcés ces dernières années au sein des entreprises proposant des services de géolocalisation. La CNIL peut effectuer ses contrôles directement dans les locaux des entreprises et demander la communication de tout document permettant l’accès aux programmes informatiques et aux données afin de vérifier la licéité et la conformité des traitements effectués.

Lorsqu’une entrave à la loi est constatée, la CNIL peut prononcer des sanctions pécuniaires pouvant s’élever jusqu’à un montant maximum de 150 000€ et 300 000 en cas de récidive. De surcroît, des injonctions de cesser le traitement illicite peuvent être déclarées.
Les manquements à la loi  » Informatique et Libertés  » sont punis de 5 ans d’emprisonnement et de 300 000€ d’amende.

En 2011, la commission s’est attaquée à Google et à ses services Street View et Latitute. L’entreprise a été condamnée à 100 00€ d’amende. Les voitures de Street View et Latitude collectaient, en plus des photos, les réseaux Wifi ouverts et de ce fait une grande quantité de données privées.

Depuis le 25 mai 2018, la formation restreinte de la CNIL peut prononcer des sanctions à l’égard d’organismes qui ne respectent pas le règlement général sur la protection des données (RGPD) de l’Union européenne jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial.

S’agissant de la mise en œuvre d’un dispositif de géolocalisation des salariés, la CNIL apporte sur des éclaircissements quant à la licéité de cette pratique. En effet, cette dernière liste les utilisations permises et les utilisations proscrites.

Ainsi, il est permis à titre d’exemple de recourir à ce dispositif afin d’assurer le suivi d’une prestation, d’assurer la sécurité ou la sûreté du salarié et/ou des marchandises, de veiller à une allocation optimale des moyens mis à disposition pour l’exécution de la prestation et de veiller au respect des règles d’utilisation du véhicule.

Toutefois, le dispositif de géolocalisation ne peut avoir pour finalité de contrôler le respect des limitations de vitesse, de contrôler l’employé en permanence, de surveiller les déplacements du salarié en dehors de son temps de travail ou encore de contrôler les déplacements des représentants du personnel. (4)

Le rôle de la CNIL s’avère de plus en plus fondamental face à la multiplication et la banalisation de ces technologies. Un simple défaut de paramétrage, où en cas de piratage d’un téléphone, une surveillance constante des utilisateurs peut s’instaurer.

III. Illustration récente

En 2020, la CNIL a pour partie axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.

Dans une délibération rendue le 16 mars 2023 par la formation restreinte de la CNIL, une sanction de 125 000 euros a été prononcée à l’encontre de la société CITYSCOOT pour avoir notamment porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente. Cette décision a été prise en coopération avec les autorités de protection des données espagnole et italienne dans la mesure où la société propose aussi ces services dans ces pays.

Depuis 2016, la société propose un service de location de scooters électriques en libre-service accessible à partir de son application mobile. Les scooters ne sont pas stationnés dans des espaces précis et peuvent être laissés, après utilisation, dans la zone de location identifiée dans l’application. Les véhicules sont équipés d’un dispositif de localisation embarqué qui permet à CITYSCOOT et aux utilisateurs, via leur application mobile, de connaître la position des scooters. La location d’un scooter électrique auprès de la société suppose la création d’un compte à partir de l’application mobile. Il s’agit d’un service sans engagement qui est facturé à la minute.

Un contrôle en ligne a été effectué sur le site web  » cityscoot.eu  » et l’application mobile  » CITYSCOOT « , le 13 mai 2020.  La délégation de la CNIL s’est notamment attachée à vérifier les données collectées et les finalités de la collecte. Ce contrôle avait également pour but de vérifier l’encadrement de la sous-traitance et la sécurité des données.

A l’occasion de ce contrôle, la CNIL s’est aperçue qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les 30 secondes lorsque le CITYSCOOT est actif et que son tableau de bord est allumé, qu’il soit en déplacement ou prêt à rouler. Lorsque le CITYSCOOT est inactif, le boîtier collecte des données de position toutes les 15 minutes. En outre, la société conservait l’historique de ces trajets durant douze mois en base active, puis douze mois en archivage intermédiaire avant d’être anonymisées.

La société justifie la collecte des données de position des scooters au regard de diverses finalités telles que le traitement des infractions au code de la route, le traitement des réclamations clients, le support aux utilisateurs (afin d’appeler les secours en cas de chute d’un utilisateur), ou encore la gestion des sinistres et des vols. Or selon la CNIL, aucune des finalités avancées par la société ne justifie une collecte quasi permanente des données de géolocalisation au cours de la location d’un scooter.
Elle relève un premier manquement à l’article 5 du RGPD qui instaure l’obligation de veiller à la minimisation des données.

Elle a également pu constater que la société fait appel à quinze sous-traitants ayant un accès ou hébergeant des données à caractère personnel. Sur ces quinze contrats, elle considère que les contrats avec les sociétés ne contiennent pas toutes les mentions prévues par le RGPD. D’une part, certains d’entre eux ne mentionnent pas les dispositions relatives aux procédures de suppression ou de renvoi des données à caractère personnel du sous-traitant au responsable de traitement à échéance du contrat. D’autre part, certains ne mentionnent ni l’objet du traitement, ni sa durée.

Elle constate donc un second manquement à l’obligation d’encadrer les traitements faits par un sous-traitant par contrat (article 28 du RGPD).

Pour finir, elle souligne également un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel (article 82 de la LIL).

Comme le rappelle la CNIL « Le montant de la sanction tient compte du chiffre d’affaires de la société, de la gravité des manquements constatés mais également des mesures prises par la société pour y remédier lors de la procédure. »

Pour lire une version plus complète de cet article sur la géolocalisation, cliquez

Sources :

Par Commerce electronique, internet-et-droit • Tags: , , , , ,

Identité et mort numérique

Malgré une réelle volonté d’accompagner la société dans sa transition numérique et des lois protectrices de la vie privée, il y a encore des progrès à faire pour mieux encadrer les données personnelles. Il faudrait en particulier préciser l’identité numérique et la mort numérique. L’identité numérique permet l’identification de l’individu grâce à l’ensemble des informations recueillies en ligne. En découle la « mort numérique », c’est-à-dire du sort de l’identité numérique après la mort de l’individu. 

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

L’identité numérique est le plus souvent composée d’un compte personnel, d’un mot de passe et d’une adresse email, mais elle ne saurait se définir qu’à travers ces composantes. En effet, d’autres facteurs doivent être pris en considération tels que les traces laissées par un individu lors de ses différentes connexions (adresse IP, publications, cookies).

L’identité numérique se distingue de l’identité physique. Elle est facilement falsifiable, et survit après la mort de l’individu. Sa gestion, et plus précisément sa gestion post-mortem est donc particulièrement délicate et sujette à interrogations.

Comme l’indique la CNIL dans un article du 31 octobre 2014, le concept de mort numérique semble :« potentiellement porteur d’interrogations juridiques, mais également sociétales ». Finalement, les données personnelles ont fait l’objet d’une réglementation en 2018, avec le Règlement général pour les données personnelles (RGPD).

Besoin de l’aide d’un avocat pour un problème d’identité numérique ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Quelles sont les interrogations soulevées par les concepts d’identité et de mort numériques ?

I – La qualification des concepts d’identité et de mort numérique

A – La notion d’identité numérique

L’identité numérique ne recouvre pas les mêmes caractéristiques que l’identité physique, il est donc important de faire la différence entre les deux.

L’identité physique d’un individu se définit à travers son état civil, son nom et son domicile. Elle est alors le fondement de l’existence de sa personnalité juridique. Chaque individu possède alors une et une seule identité physique.

L’identité numérique n’est pas liée directement au principe de personnalité juridique et n’est donc pas dépendant de la naissance ou de la mort d’un individu. Un individu peut se façonner artificiellement plusieurs identités numériques.

La commission des affaires économiques de l’Assemblée nationale définit l’identité numérique dans un rapport d’information sur le «développement de l’économie numérique française» du 14 mai 2014 comme « Regroupant l’ensemble des traces laissées par un individu (adresses IP, cookies), ses coordonnées d’identification, les contenus qu’il publie ou partage en ligne (blogs, avis, discussions, contributions à des sites collaboratifs, jeux), ses habitudes de consommation sur internet ou son e-réputation. »

La Cour de Cassation a elle reconnue, le 16 novembre 2016, que l’usurpation d’identité numérique constitue une atteinte à l’honneur et à la consécration de la personne. De plus, l’article 226-4-1 du Code pénal sur l’usurpation d’identité dispose que « Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne. ».

Pourtant à l’heure où les contentieux de la reconnaissance du droit à l’oubli et le droit du droit au déréférencement par la Cour de justice de l’Union européenne, dans l’arrêt Google inc. c./ Costeja du 13 mai 2014, cette notion semble importante à préciser.

Finalement consacrée à l’article 17 du RGPD sur le droit à l’effacement, a ainsi été précisé « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais »

Pourtant à l’heure où les contentieux de la reconnaissance du droit à l’oubli et le droit du droit au déréférencement par la Cour de justice de l’Union européenne, dans l’arrêt Google inc. c./ Costeja du 13 mai 2014. Cette notion a finalement été consacrée à l’article 17 du RGPD qui créé un droit à l’effacement, ainsi « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais »

B – la notion de mort numérique

Le principal enjeu de ce concept est celui du traitement des données à la mort du défunt. En l’absence de cadre juridique précis sur la question de la mort numérique, les pouvoirs publics traitent le sujet sous l’angle du droit au respect de la vie privée des héritiers en raison du caractère personnel attaché au droit à l’image. Dans cette perspective, la loi informatique et liberté prévoit dans son article 2 que seule : « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l’objet du traitement ».

La loi pour une République numérique revient alors sur ce concept en proposant une modification de l’ancien article 40, aujourd’hui l’article 85 de la Loi informatique et liberté, qui pourrait permettre de résoudre le problème de la transmission des données post-mortem.

Toute personne pourrait ainsi :« définir des directives relatives à la conservation et à la communication de ses données à caractère personnel après son décès. », directives modifiables et révocables à tout moment qui devront définir :«La manière dont la personne entend que soient exercés après son décès les droits qu’elle détient en application de la présente loi. ».

Ce texte apporte alors des réponses au traitement de la mort numérique, qui jusqu’à présent restait en suspens.

Dans son article publié le 28 octobre 2020 sur la mort numérique, la CNIL réaffirme cette position « Actuellement, en l’absence d’une demande de la part des héritiers ou des proches, le profil de la personne décédée continue d’exister. Ce sont aux réseaux sociaux d’organiser le devenir de ces profils. »

Ainsi, c’est aux réseaux sociaux de prévoir la suppression de ces profils. Cependant, dans les faits, il n’est pas toujours aisé de déterminer les profils actifs et ceux inactifs dont le titulaire est décédé. En effet, il se peut tout à fait que le titulaire du compte soit simplement inactif. Le responsable de traitement ne peut donc pas s’occuper de la suppression de comptes en se basant sur l’inactivité de ces derniers.

Il convient donc d’étudier plus en détail comment se passe la gestion post-mortem de l’identité numérique.

II – La gestion post-mortem de l’identité numérique

A – La question de la suppression post-mortem des comptes sur les réseaux sociaux

La CNIL, dans une fiche pratique indique que « Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances. À ce titre, le droit d’accès n’est pas transmissible aux héritiers. C’est la raison pour laquelle il n’est pas possible pour la famille d’avoir accès aux données du défunt ».

En effet, il a clairement été tranché par le conseil d’État dans une décision en date du 7 juin 2017 que les héritiers ne peuvent se substituer au défunt dans l’exercice de ses droits personnels. Les héritiers ne peuvent être considérés comme des personnes concernées. En effet, « leur seule qualité d’ayants droit de la personne à laquelle se rapportent les données » ne leur confère pas ce statut.  Ces derniers ne peuvent agir en justice que pour voir réparer un préjudice personnel qui résulterait d’une atteinte à la mémoire du défunt.

Dans une décision du 7 juin 2017, le Conseil d’État rappelle que les héritiers ne sont par principe pas des personnes concernées, cependant il précise que si la victime d’un dommage décède alors le droit à la réparation du dommage dont elle bénéficie se transmet à ses héritiers.

Rapporté au thème de la mort numérique, cela implique donc une impossibilité pour ces derniers de demander à un responsable de site de supprimer des données au nom du défunt. En effet, l’article 85 de la loi de 1978 prévoit seulement que le responsable du traitement des données à caractère personnel prenne en considération le décès et procède aux mises à jour lorsque les héritiers d’une personne décédée en font la requête.

Si la famille d’un défunt n’a théoriquement pas le droit d’aller lire les messages privés échangés par exemple par cette personne sur Twitter, l’article 85 de la loi Informatique et libertés prévoient néanmoins que ses héritiers peuvent malgré tout exiger du responsable d’une plateforme ” qu’il prenne en considération le décès et procède aux mises à jour qui doivent en être la conséquence “ Les héritiers devront alors justifier de leurs identités. En clair, qu’il ferme ou désactive le compte en question.

La plupart des géants du Net (Facebook, Instagram, Linkedin) proposent ainsi depuis plusieurs années déjà des plateformes de signalement en cas de décès à destination des familles, même si ces procédures s’avèrent aujourd’hui assez fastidieuses dans la mesure où c’est aux proches du défunt de solliciter chaque réseau social et de fournir les justificatifs. Facebook propose notamment la possibilité de transformer le compte d’une personne décédé en « Mémorial », le compte perdure, mais sous une forme différente.

(A titre d’information, cette forme d’hommage présente un intérêt pour les plateformes qui profitent de l’activité produite par la page transformée en « mémorial ». Cette activité permet aux plateformes de collecter les données laissées par l’ensemble des proches du défunt afin d’en tirer profit.)

Dans sa fiche pratique en date du 28 octobre 2020, la CNIL propose une liste non exhaustive contenant des liens permettant d’entamer une procédure pour signaler un décès sur les réseaux sociaux. Ces liens vous dirigent directement vers les procédures à suivre pour de nombreux réseaux sociaux.

Le projet de loi Lemaire permet d’apporter en partie une réponse à la difficulté tenant au fait que bien souvent, les proches du défunt ne peuvent pas supprimer un compte ou un profil inactif. Désormais, les héritiers pourraient se subroger dans l’exercice des droits du défunt, de telle sorte qu’à défaut d’une quelconque désignation, dans l’application d’une directive, les héritiers de la personne décédée ont cette qualité pour voir prospérer les dernières volontés du défunt quant au sort de ses données. Le projet de loi précise alors que cela serait possible, « Sauf lorsque la personne concernée a exprimé une volonté contraire dans les directives ».

En outre, à l’heure de l’apparition des cimetières numériques, il est permis de s’interroger sur l’extrapolation du droit à l’oubli et du droit au déréférencement au-delà de la mort. La question est alors de savoir par l’intermédiaire de qui et comment ce droit pourra s’exercer. La question reste sans réponse.

B – La question de la transmission de l’identité numérique post-mortem

La question est de savoir s’il est possible d’intégrer dans un testament ses données informatiques et plus généralement son identité numérique, qui seraient dès lors transmises par un acte juridique aux ayants-droits. À cause des difficultés qui pourront être rencontrées par les ayants-droits, le plus simple reste encore d’organiser le devenir de ses données, de son vivant chez un notaire. D’autres alternatives existent.

Google s’est notamment saisi de la question de la transmission de la vie numérique de ses utilisateurs. L’idée est que son utilisateur pourra programmer un message transférant à un contact de confiance toutes ses données retenues sur ses différents comptes au bout d’une période d’inactivité de son choix. Des sociétés privées ont également mis en place des services de gestion des données post-mortem.
Également, la société Cupertino dispose d’un service nommé « Digital Legacy », ce dernier permet à l’utilisateur de désigner jusqu’à cinq personnes de confiance qui pourront avoir accès à tous les fichiers sauvegardés de l’utilisateur (photos, e-mails, contacts, sauvegardes, etc.) après le décès de celui-ci. Ce procédé a été mis en place par Apple dans la mise à jour IOS 15.2. Ainsi, avec ce dispositif, les données stockées dans le cloud de l’utilisateur ne sont plus perdues.

Pour lire l’article sur la mort et l’identité numérique dans sa version complète, cliquer sur ce lien

SOURCES :

http://www.nextinpact.com/news/93503-les-nouvelles-pistes-daxelle-lemaire-pour-projet-loi-numerique.htm
http://www.cnil.fr/linstitution/actualite/article/article/mort-numerique-peut-on-demander-leffacement-des-informations-dune-personne-decedee/
http://www.cnil.fr/en/linstitution/actualite/article/article/mort-numerique-ou-eternite-virtuelle-que-deviennent-vos-donnees-apres-la-mort/
http://www.assemblee-nationale.fr/14/rap-info/i1936.asp
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Crim., 16 novembre 2016, 16-80.207
https://www.legifrance.gouv.fr/juri/id/JURITEXT000033428149/
Conseil d’État, 10ème – 9ème chambres réunies, 08/06/2016, 386525, publié au recueil Lebon
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000032674283/
TGI de Paris, 17e ch. corr., jugement correctionnel du 18 avril 2019
https://www.legalis.net/jurisprudences/tgi-de-paris-17e-ch-corr-jugement-correctionnel-du-18-avril-2019/
https://www.cnil.fr/fr/mort-numerique-effacement-informations-personne-decedee
https://www.cnil.fr/fr/la-loi-informatique-et-libertes#article85
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000032674283/
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000034879209/
https://www.linkedin.com/pulse/droit-%C3%A0-la-mort-num%C3%A9rique-tiers-de-confiance-clause-bernard-desportes/?originalSubdomain=fr

Par Droits d'auteur, internet-et-droit • Tags: , ,

LES RISQUES JURIDIQUES DES LOGICIELS DE RECONNAISSANCE FACIALE

Aujourd’hui, les logiciels de reconnaissance faciale gagnent en performance et en fiabilité. Les plus avancés peuvent ainsi travailler avec des images de basse qualité telles que celles fournies par les caméras de vidéosurveillance. De plus en plus présente dans nos vies, cette technologie génère des inquiétudes et pose de véritables problèmes d’atteinte à la vie privée.

Dès leur avènement aux années 1990, les logiciels de biométrie sont devenus de plus en plus performants notamment en termes de rapidité de traitement et de fiabilité. Comment fonctionne ce procédé ? Le visage est capturé à l’aide de n’importe quel capteur, caméra ou appareil photo, et l’image est ensuite traitée par un logiciel qui repère en général la position des yeux pour procéder à un alignement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Grâce à mécanisme, le logiciel fait un relevé des différents points caractéristiques du visage (nez, sourcils, écartement des yeux, etc.). Ensuite, ces informations sont codées sous forme de fichier, le gabarit, dans lequel s’effectueront les recherches. Il est ensuite possible de repérer les similitudes entre les captures de visage et les gabarits présents en base de données.

Ce procédé était utilisé par la police grâce à la technique du bertillonnage, et ce, avant même de la naissance de la technologie. Il s’agit d’une technique criminalistique mise au point par Alphonse Bertillon en 1879 et reposant sur l’analyse biométrique accompagnée de photographies de face et de profil. Le principe était de réaliser des mesures sur les criminels, de noter entre autres l’écartement entre les yeux, la taille du visage, les oreilles… afin de réaliser un fichier d’identification permettant de les reconnaître plus facilement en cas de nouvelle arrestation.

Désormais, les technologies utilisent les mêmes techniques grâce à un algorithme qui permet de comparer un visage à une photo de sa base de données. Jugées peu fiables à l’époque, elles permettent dorénavant un taux de rejet de plus en plus faible. Les réseaux sociaux ont profondément contribué à cette évolution et tous les géants technologiques se sont approprié ce savoir-faire d’identification des visages. Le logiciel d’Apple « iphoto », l’application « Picassa » et le réseau social Facebook utilisent tous ce système de reconnaissance faciale.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le paradoxe de Facebook résulte dans le fait que ce sont les utilisateurs eux-mêmes qui abreuvent chaque jour le réseau de centaines de millions de photographies. Selon ce dernier, 100 millions de noms sont mis en légende sous des visages quotidiennement.

Ce processus permet, dès lors, au réseau de posséder de précieuses informations sur ses utilisateurs, notamment concernant ses données personnelles, sur lesquelles les « géants du net » basent leur système économique.

Il convient de préciser que ces utilisations par les entreprises privées de la reconnaissance faciale ne font pas figure de seuls exemples : récemment, certaines villes chinoises se dotaient de cette technologie à des fins de fluidité du trafic.

Ainsi, quand la ville de Shenzhen affiche aux coins des carrefours de grands panneaux analysant les visages des passants, la mégalopole de Shanghaï inflige des contraventions aux personnes qui traversent « au rouge », leur visage placardé sur les écrans des arrêts de bus du quartier grâce à une capture via reconnaissance faciale.

Ces pratiques, toutefois, induisent de possibles dérives bien évidentes, à la limite des romans de science-fiction et du Big Brother de George Orwell…

Le tribunal administratif de Marseille, dans une décision rendue le 27 février 2020, avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui consistait à lancer à titre expérimental un dispositif de reconnaissance faciale dans deux lycées.

En l’espèce, lors d’une réunion datant du 14 décembre 2018, ce conseil avait délibéré en vue de lancer cette expérimentation qui visait à assurer le contrôle de l’accès au lycée des lycéens que le système identifiera. En outre, ce dispositif de reconnaissance faciale devait permettre de suivre la trajectoire de non seulement les lycéens, mais également les visiteurs occasionnels que le système ne pourrait pas identifier.

Le tribunal administratif a donc considéré que cette expérimentation portait atteinte aux dispositions du Règlement général sur la protection des données (RGPD). En effet, le tribunal administratif de Marseille s’est aligné sur la position de la CNIL qui avait considéré que cette expérimentation particulière était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issues du RGPD ». (1)

Quid des craintes sur le respect de la vie privée, sur la possibilité que la police utilise ce système pour mener des enquêtes illégales ou pour que des gens malintentionnés s’en servent à mauvais escient ? Ces inquiétudes sont non seulement légitimes, mais laissent également penser à quel point cette technique nécessite un encadrement pour éviter les dérives.

Il convient, dès lors, de se pencher sur les risques d’atteinte à la vie privée liés aux logiciels biométriques (I), pour envisager un cadre efficace face aux éventuelles dérives (II).

I- Logiciels biométriques et risques d’atteinte à la vie privée

A) Le droit à l’image

Ces techniques permettent de transformer les visages en données électroniques qu’il est désormais possible de regrouper, d’analyser et de classer. Or, ces données sont sensibles et précieuses, car elles sont une caractéristique de notre corps et un élément de notre identité.

Il est incontestable que certaines utilisations de la reconnaissance faciale sont bénéfiques notamment en ce qui concerne l’authentification des employés autorisés à avoir accès à une centrale nucléaire ou la lutte contre la fraude visant les individus qui présentent des demandes de passeport sous différents noms.

Ceci étant, la reconnaissance faciale a également des répercussions sur le respect de notre vie privée et certains auteurs estiment que cette technologie signe la fin de l’anonymat. La base de données d’images de Facebook est certainement la plus importante au monde.

Sur ce réseau planétaire, l’utilisateur a notamment la possibilité de « taguer » une photographie pour y associer un nom et un profil. En 2011, Facebook lance un système de rconnaissance faciale qui permet, à partir d’un nom, de retrouver sur le réseau et le web, toutes les images représentant la personne.

En septembre 2012, ce système a été abandonné par Facebook pour l’Europe à la suite d’une série de plaintes déposées par un étudiant autrichien, Max Schrems, devant l’autorité irlandaise chargée de la protection des données privées.

Parmi les projets en développement, Facebook va frapper fort avec son programme de recherche DeepFace qui sera dévoilé en détail à la fin du mois de juin. La société qui possède 250 milliards de photos personnelles pourra bientôt identifier tout un chacun avec son système de reconnaissance faciale. Ce système ne devrait pas être destiné aux utilisateurs.

Récemment, le 2 novembre 2021, le vice-président de l’intelligence artificielle auprès de Meta (Facebook) avait annoncé l’abandon de la reconnaissance faciale pour ses applications et la suppression des données biométriques pour plus d’un milliard de personnes. En effet, Facebook prévoit de supprimer, d’ici décembre 2021, plus d’un milliard de modèles de reconnaissance faciale. Néanmoins, Meta n’éliminera pas son programme DeepFace. (3)

B) Utilisation des données personnelles et sécurisation des données

La question de la sécurisation des données en ligne se pose à ce stade. L’application Snapchat, prisée par les jeunes, car elle promet l’autodestruction des photos partagées en quelques secondes, a admis de graves failles. Accusée d’avoir récolté les carnets d’adresses des utilisateurs sans leur consentement et de les avoir trompés sur la disparition des fichiers échangés, l’application Snapchat qui n’avait pas sécurisé sa base d’utilisateurs a été victime de pirates qui ont pu récupérer noms et numéros.

Une application actuellement en deuxième période d’essai nommée NameTag fonctionne sur les Google Glass et permet de scanner n’importe quelle personne dans la rue puis de l’envoyer vers les serveurs de FacialNetwork afin de dresser une comparaison avec une base de données contenant pour le moment 2,5 millions de portraits.

C’est après une analyse par le logiciel, le nom de la personne est présenté avec la possibilité de consulter les informations rendues publiques sur divers réseaux sociaux communautaires tels que Facebook, Twitter, Linkedln ou Instagram. La société dispose également de 450 000 fiches issues de la base américaine des agresseurs sexuels et autres criminels. Pour ses lunettes, Google a strictement interdit les applications de reconnaissance faciale reconnaissant la violation de la vie privée.

En ce qui concerne de police judiciaire, les avancées permises par ces logiciels sont certaines. En 2012, le FBI avait investi un milliard de dollars dans ce qui devait être un « programme d’identification de nouveau générateur » permettant de constituer une base de données nationale photographique des criminels puis quelques informations concernant leurs données biométriques.

Auparavant, les défenseurs de la vie privée s’inquiétaient déjà que des personnes au casier vierge et non suspectes puissent figurer dans ce fichier et se retrouver surveillées. Cette crainte semble aujourd’hui se justifier d’après des documents récupérés par la Fondation Electronic Frontier, une ONG à but non lucratif, selon lesquels 4,3 millions de clichés ont été récupérés sans aucune implication criminelle ou enquête en cours.

Il est possible d’imaginer plusieurs situations : celle dans laquelle un innocent se retrouve au cœur d’une enquête criminelle, mais aussi celle où la technologie est utilisée à mauvais escient pour atteindre d’autres objectifs visés par les pouvoirs publics notamment pour réprimer la dissidence. La protection des données biométriques et leur vulnérabilité au piratage et aux utilisations malveillantes suscitent des inquiétudes.

La reconnaissance faciale est encadrée par la loi informatique et liberté du 6 janvier 1978. Mais en 2018 un nouveau règlement européen est entré en vigueur mettant en place de nouvelles règles dans ce domaine.

Ce texte européen n’est autre que le règlement général sur la protection des données adoptée par le parlement européen en avril 2016 et entrée en vigueur le 25 mai 2018. Selon ce nouveau texte, les données biométriques doivent être considérées comme des données sensibles. Or il s’avère que ce règlement interdit le traitement des données sensibles à l’article 9.1. En principe la reconnaissance faciale est donc interdite par ce texte.

Le droit français a été adapté à ce nouveau texte européen par le biais de la loi du 20 juin 2018 qui a substantiellement modifié la loi informatique et liberté tout en faisant usage des marges de manœuvre accordées aux États membres par le RGPD. Ensuite, l’ordonnance n° 2018-1125 du 12 décembre 2018 est intervenue afin de réécrire et de remettre en cohérence la loi du 6 janvier 1978 ainsi que d’autres lois françaises qui traitent de la protection des données.

Cette législation, cependant, comporte également beaucoup d’exceptions à ce principe. La reconnaissance faciale peut être autorisée sur les personnes qui consentent à son utilisation. L’État peut lui aussi recourir à un système de reconnaissance faciale lorsque l’intérêt public est en jeu. Mais il faut pour cela respecter une certaine procédure.

Cette procédure se résume au dépôt d’un décret devant le Conseil d’État ainsi que la sollicitation de l’avis de la CNIL (Commission nationale de l’informatique et des libertés). Le procédé est également autorisé s’il utilise des données à caractère personnelles, mais qui sont rendues publiques par la personne concernée. Si la technologie de reconnaissance faciale est intégrée dans un système comme un téléphone ou un ordinateur alors son utilisation peut aussi être autorisée.

II- La nécessité d’un encadrement afin d’éviter les dérives

A) Le contrôle de la CNIL en France

Conformément à une étude effectuée à la demande de la CNIL par TNS Sofres, les technologies de reconnaissance faciale qui permettent d’associer automatiquement un nom suscitent des inquiétudes pour 41 % des participants, malgré une faible utilisation pour le moment (12 % des internautes). La CNIL est chargée d’encadrer les pratiques liées à la biométrie faciale.

Un cadre légal s’impose face à cette technologie. À moins d’avoir nommé un correspondant Informatique et Liberté (CIL), une déclaration auprès de la CNIL est nécessaire en cas d’usage de vidéosurveillance.

S’agissant des usages privés, la CNIL a surtout un rôle d’information générale et d’éducation des internautes quant à leur utilisation des réseaux sociaux. Elle a émis plusieurs recommandations dans certains articles de son site afin de sensibiliser les citoyens sur ces pratiques et d’éviter les dérives.

En France, la reconnaissance faciale appliquée à la sécurisation des accès dans les entreprises ou dans les lieux publics est soumise à l’autorisation de la CNIL. Si l’application est mise en œuvre pour le compte de l’État, il faut un décret en Conseil d’État après un avis préalable de la commission. Au contraire, si l’application biométrique est limitée à un usage exclusivement personnel, elle ne sera pas soumise à la loi informatique et liberté (exemple : reconnaissance faciale qui sécurise l’accès aux ordinateurs domestiques, à un Smartphone).

Alors qu’en France, la surveillance globale est un concept toujours lointain, il existe à New York des caméras installées dans la ville qui permettent d’observer les citoyens et de pouvoir effectuer une analyse biométrique de leur visage afin de le comparer à une base de données dans un but de protection contre le terrorisme.

L’idée consiste à ce que les autorités puissent identifier toute personne marchant dans la rue est inquiétante et attentatoire à la vie privée. La législation devra sûrement s’adapter avec l’arrivée de ces nouvelles technologies telles que les lunettes connectées ou encore les drones .

La CNIL n’est donc pas opposée par principe à l’utilisation de la reconnaissance faciale, mais elle réclame que son utilisation s’accompagne d’une prise de conscience sur les dangers potentiels que pourrait représenter cette technologie.

A cet égard, en septembre 2018 elle avait appelé à la tenue d’un débat démocratique sur le sujet. Ce débat devait déboucher sur l’instauration de gardes fous pour préserver la sécurité des citoyens et empêcher que cet outil ne soit utilisé à mauvais escient. Elle demandait ainsi de trouver « un juste équilibre entre les impératifs de sécurisation notamment des espaces publics et la préservation des droits et libertés de chacun ».

Dans ce but, la CNIL a apporté, le 7 novembre 2019, une première contribution de méthode à ce débat et qui poursuit les quatre objectifs suivants :

  • La présentation technique de ce qu’est la reconnaissance faciale et à quoi elle sert.
  • La mise en lumière des risques technologiques, éthiques, sociétaux, liés à cette technologie.
  • Le rappel du cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations.
  • La précision du rôle de la CNIL dans l’éventuel déploiement de nouveaux dispositifs de reconnaissance faciale à titre expérimental. (2)

La CNIL a imposé, dans ce contexte, certaines exigences en matière de reconnaissance faciale pour concrétiser cet objectif. Elle tient donc à ce que les risques technologiques, éthiques et sociétaux que cette technologie comporte soient mis en lumière.

Elle demande en particulier aux acteurs ayant une activité dans le domaine de faire en sorte que son utilisation se fasse en toute transparence. Toutefois les risques liés à cette technologie sont si importants que la CNIL distingue entre ceux qui ne sont pas acceptables, car ils auraient des conséquences beaucoup trop importantes dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.

Elle exige de ce fait une étude d’impact avant toute utilisation de la reconnaissance faciale pour évaluer les dommages qu’elle pourrait causer. S’ils sont trop importants ou s’il n’existe aucun moyen pour s’assurer que les principes démocratiques seront préservés alors l’emploi de ce dispositif ne sera pas autorisé. Elle préconise donc une étude au cas par cas.

Selon la commission le respect des personnes doit être placé au cœur des systèmes utilisant la reconnaissance faciale. La CNIL réclame donc que les entreprises mettant cette technologie à disposition du public respectent les règles édictées par le RGPD notamment le recueil du consentement et la garantie du contrôle des données.

Récemment, la Présidente de la CNIL a adressé, le 18 février 2021, un avertissement à un club sportif en matière de reconnaissance faciale. Le club sportif en question envisageait de recourir à un système de reconnaissance faciale dans le but d’identifier automatiquement les personnes qui font l’objet d’une interdiction commerciale de stade.

En effet, en l’absence d’une disposition législative ou réglementaire spéciale, la mise en œuvre de ce dispositif de reconnaissance faciale par ce club sportif à des fins de « lutte antiterroriste » est considérée comme illicite. Ainsi, ce projet a été considéré par la CNIL comme non conforme au RGPD et à la loi informatique et liberté.

B) Rebondissements à l’échelle internationale

Dans de nombreux pays, des réflexions sur le sujet ont été menées. En mars 2012, le Groupe de travail « Article 29 sur la protection des données de l’Union européenne » a exprimé son opinion concernant la reconnaissance faciale dans les services en ligne et mobiles en vue d’une réflexion sur le cadre juridique approprié et de la formulation de recommandations. Ce groupe de travail mentionne l’absence de consentement, les mesures de sécurité insuffisantes et le fait que ces technologies pourraient sonner le glas de l’anonymat.

Il convient de rappeler qu’en avril 2012, le groupe de travail a rendu publique une opinion qui indique qu’il faut obtenir le consentement de l’intéressé pour stocker et utiliser des données biométriques. De ce fait, Facebook a été contraint de désactiver son système de reconnaissance faciale qui contrevenait aux lois sur la protection des données de l’UE et à supprimer les photos qu’il avait recueillies en Allemagne.

En outre, un avis commun sur la proposition de règlement de la Commission européenne sur l’intelligence artificielle a été rendu le 21 juin 2021. Dans cet avis, la CNIL européenne (European Data Protection Board) et l’European Data Protection Supervisor (EDPS) affirment leur volonté de vouloir interdire les outils de reconnaissance faciale dans l’espace public.

Andrea Jelinek, la présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD ont déclaré que : « le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés ». (5)

Également intéressée par ces questions, La Federal Trade Commission a rendu publiques des pratiques exemplaires (autorisation des clients) à l’intention des entreprises ayant recours aux technologies de détection des visages. D’ailleurs aux États-Unis, la reconnaissance faciale gagne de plus en plus de terrain. L’organisme d’audit du Congrès des États-Unis (Government Accountability Office (GAO)) a publié, le 24 août, un rapport selon parmi 24 agences interrogées, dix envisagent d’intensifier leur utilisation de la reconnaissance faciale d’ici 2023. (4)

En conclusion, il est incontestable que la reconnaissance faciale confère une nouvelle dimension à la surveillance du fait qu’elle permet d’identifier les individus beaucoup plus rapidement et aisément. Elle constitue l’un des enjeux majeurs de ces prochaines années face au développement de ces nouvelles technologies et d’autant plus avec l’arrivée de la géolocalisation.

Pour lire une version plus complète de cet article sur la reconnaissance faciale, cliquez

Sources :

Par internet-et-droit • Tags: , , ,

Loi sur le renseignement

Face aux menaces terroristes qui se multiplient et s’intensifient, le Gouvernement a renforcé l’arsenal juridique de la lutte contre le terrorisme avec une loi sur le renseignement qui a été votée le 24 juillet 2015  modernise les moyens des services de renseignement face au numérique. Les nouveaux pouvoirs offerts aux renseignements inquiètent et continuent de faire débat. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

 La loi sur le renseignement est le fruit de la volonté d’adapter les moyens d’actions des services de renseignement face à des menaces de plus en plus sophistiquées.

Il s’agit d’une loi sur le renseignement complexe qui doit répondre aux exigences de protection des libertés fondamentales tout en  offrant une sécurité effective aux Français.

Face à de tels enjeux, le conseil constitutionnel a fait l’objet de trois saisines dont une émanant directement du Président de la République. Leur rôle est de garantir un cadre juridique démocratique des activités des services de renseignement.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

L’objectif principal du Gouvernement a été de faciliter le travail des renseignements en légalisant certaines pratiques.

Dès lors, plusieurs outils sont mis en place, limités ou non à la lutte contre le terrorisme.

Quels sont les apports de cette loi sur le renseignement et les nouvelles prérogatives d’un agent des services de renseignement?

  •  Réaffirmation du principe du respect de la vie privée

Le respect de la vie privée a été réaffirmé, il est garanti par la loi et il ne peut y être porté atteinte que dans « les seuls cas de nécessité d’intérêt public prévus par la loi, dans les limites fixées par celle-ci et dans le respect du principe de proportionnalité ».

Les composantes de la vie privée ne sont pas énumérées limitativement afin de ne pas restreindre la protection. Toutefois, le secret des correspondances, l’inviolabilité du domicile et la protection des données personnelles ont été expressément intégrés dans cet article.

  • Définition du renseignement

Aucune définition n’avait été donnée jusqu’à présent pour désigner les services de renseignement. Le Gouvernement a voulu préciser la nature de leurs actions et de leur statut juridique.

« La politique publique de renseignement concourt à la stratégie de sécurité nationale et à la défense et à la promotion des intérêts fondamentaux de la Nation. Elle relève de la compétence exclusive de l’État. »

 Les services spécialisés de renseignements ont pour mission « la recherche, la collecte, l’exploitation et la mise à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter le vie de la Nation.».

  •  Justification de la mise en place des mesures intrusives

La loi dresse les différentes situations justifiant la surveillance et l’intervention des renseignements. Le Gouvernement en prévoit 7 (contre 5 avant la loi) :

  • L’indépendance nationale, l’intégrité du territoire et la défense nationale ;
  • Les intérêts majeurs de la politique étrangère et la prévention de toute forme d’ingérence étrangère ;
  • Les intérêts économiques, industriels et scientifiques majeurs de la France ;
  • La prévention du terrorisme ;
  • La prévention des atteintes à la forme républicaine des institutions, des violences collectives de nature à porter atteinte à la sécurité nationale ou de la reconstitution ou d’actions tendant au maintien de groupements dissous en application de l’article L. 212-1 ;
  • La prévention de la criminalité et de la délinquance organisées ;
  • La prévention de la prolifération des armes de destruction massive.

Dès lors que les services considèrent qu’une de ces situations est avérée, ils pourront déployer toutes les prérogatives prévues par la loi. Néanmoins, tout sera suspendu à l’autorisation préalable du Premier ministre.

Ce dernier devra consulter la CNCTR (commission nationale de contrôle des techniques de renseignements, nouvelle commission administrative) pour simple avis.

En cas de menace est imminente cette consultation n’est pas nécessaire.

Ainsi tout pouvoir judiciaire est écarté, l’aval préalable d’un juge n’est plus nécessaire.

La mise en œuvre des techniques de surveillance est limitée dans le temps, 4 mois renouvelables et 2 mois pour les techniques très intrusives.

  • Interception de communication

De nouveaux moyens techniques, jusque là autorisés aux seuls services de police dans le cadre d’une instruction judicaire, sont mis à la disposition des renseignements Français.

Dès lors que la sécurité nationale est en jeu, il leur sera possible d’écouter des conversations privées ainsi que de capter des images et données informatiques. Pour ce faire, des caméras, micros, balises et keyloggers (logiciel espion enregistrant les frappes effectuées sur les claviers) pourront être utilisés.

Les portables peuvent, également, être écoutés grâce à des valises « IMSI-catchers ». Ces fausses antennes permettent d’intercepter toutes les conversations téléphoniques dans un périmètre défini. Ainsi, les données des personnes entourant l’individu surveillé feront, elles aussi, l’objet d’une collecte.

L’utilisation d’un tel outil doit faire l’objet de l’intervention du juge.

  • Collaboration avec les opérateurs et acteurs majeurs d’Internet

L’algorithme devient une nouvelle source de renseignement. En effet, les opérateurs sont dans l’obligation de « détecter par un traitement automatique, une succession suspecte de données de connexion. » en fonction d’informations transmises par les enquêteurs. En d’autres termes, ils devront identifier des terroristes potentiels et les rassembler dans une boîte noire mise à la disposition du Gouvernement.

Cette boîte noire est « destinée à révéler, sur la seule base de traitements automatisés d’éléments anonymes, une menace terroriste. ».

Le terme de « menace terroriste » n’a pas été expressément défini.

Lorsqu’une enquête est en cours, les opérateurs devront fournir immédiatement les données suspectes. Les forces de l’ordre bénéficient, donc, d’un accès en temps réel aux informations laissées par les internautes.

Toutefois, cette loi a fait l’objet, le 25 juillet 2016, d’une saisine devant le Conseil Constitutionnel, afin de savoir si cette loi, rédigée à l’article L.811-5 du code de la sécurité intérieur était conforme aux droits et libertés protégés par la Constitution du 1958.

En effet l’article L.811-5 du code de la sécurité intérieure dans sa rédaction issue de la loi du 24 juillet 2015 dispose que « Les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions du présent livre, ni à celles de la sous-section 2 de la section 3 du chapitre Ier du titre III du livre Ier du code de procédure pénale ».

Le Conseil Constitutionnel considère que ce texte n’assure pas suffisamment de garanties afin d’assurer la protection de la vie privée des personnes concernées. Par conséquent, ce texte porte une atteinte manifestement disproportionnée au droit de la vie privée et au secret des correspondances. Le Conseil Constitutionnel en conclut qu’il y a une violation de l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789, et déclare donc le texte inconstitutionnel.

En 2020, une proposition d’amendement de cette loi sur le renseignement a été soulevée. Cette proposition est notamment liée à l’évolution des technologies, comme la 5G, mais également l’utilisation fréquente du cryptage, qui remet en cause l’utilisation des IMSI-catcher.

Cette proposition fait également suite à l’arrêt de la CJUE du 21 décembre 2016, où la Cour s’opposait « à une réglementation nationale telle que celle en cause au principal prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique. ». Solution qui a été réaffirmée dans deux solutions du 6 octobre 2020, concernant la collecte massive de données de connexion internet et téléphonique à des fins judiciaires ou de renseignement.

L’intérêt de la proposition serait de prolonger l’utilisation de la surveillance algorithmique, et en contrepartie renforcer l’accès à certains fichiers, et d’établir ‘l’interconnexion entre certains fichiers.

SOURCES
http://www.gouvernement.fr/antiterrorisme-les-democraties-se-battent-en-s-appuyant-toujours-sur-la-force-du-droit?55pushSuggestion=Teaser
http://www.assemblee-nationale.fr/14/ta/ta0511.asp
http://www.gouvernement.fr/pjlrenseignement-un-progres-important-pour-les-services-de-renseignement-comme-pour-la-democratie-2308?55pushSuggestion=Teaser
http://www.gouvernement.fr/antiterrorisme-manuel-valls-annonce-des-mesures-exceptionnelles
Décision n° 2016-590 QPC du 21 octobre 2016
https://www.conseil-constitutionnel.fr/decision/2016/2016590QPC.htm
CJUE 21 décembre 2016, C‑203/15 et C‑698/15
https://curia.europa.eu/juris/document/document.jsf?text=&docid=186492&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=8937679
CJUE, 6 octobre 2020, C 511/18, C 512/18, C 520/18
https://curia.europa.eu/juris/document/document.jsf?docid=232084&

Par internet-et-droit • Tags: , , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes