protection de la vie privée

Comment les AirTags peuvent être détournées

Depuis leur lancement en avril 2021, les AirTags d’Apple ont révolutionné la façon dont nous retrouvons nos objets perdus.

NOUVEAU : Utilisez nos services pour défendre vos droits en passant par le formulaire !

Les AirTags, les petits dispositifs de suivi Bluetooth développés par Apple, offrent une solution pratique pour localiser et retrouver des objets égarés. Cependant, comme tout dispositif technologique, il existe des risques potentiels de détournement et d’abus.

Il est donc crucial de prendre des mesures de sécurité appropriées pour protéger vos données et votre vie privée. Les AirTags peuvent être détournés de différentes manières. Par exemple, un individu mal intentionné pourrait essayer de placer un AirTag dans votre sac ou votre véhicule pour vous suivre à votre insu. Cela peut représenter une violation de votre vie privée et une menace potentielle pour votre sécurité. Il est donc important de prendre des mesures préventives pour éviter de tels scénarios.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Pour protéger votre confidentialité et minimiser les risques de détournement, voici quelques mesures de sécurité à prendre :

  1. Vérifiez régulièrement vos effets personnels : Faites attention aux objets qui vous entourent et vérifiez s’il y a des AirTags non autorisés attachés à vos affaires.
  2. Activez les notifications de détection d’AirTag : Si vous possédez un iPhone avec la dernière version d’iOS, vous pouvez activer les notifications qui vous avertissent lorsque des AirTags inconnus vous suivent. Cela vous permet d’être alerte et de prendre les mesures nécessaires.
  3. Utilisez des étuis de protection : Il existe des étuis spécialement conçus pour les AirTags qui empêchent leur détection ou les rendent plus difficiles à attacher discrètement à vos affaires.
  4. Supprimez les AirTags non autorisés : Si vous découvrez un AirTag qui ne vous appartient pas, vous pouvez le désactiver et le supprimer de votre compte Apple.
  5. Soyez conscient de votre environnement : Restez vigilant lorsque vous êtes dans des lieux publics ou inconnus. Si vous remarquez un comportement suspect ou des signes de suivi, signalez-le aux autorités compétentes. Il est important de noter que si ces mesures peuvent aider à réduire les risques de détournement, aucune solution n’est totalement infaillible. La sécurité est un processus continu, et il est essentiel de rester informé des dernières mises à jour et recommandations de sécurité émises par Apple ou d’autres sources fiables.

En conclusion, les AirTags offrent une fonctionnalité pratique pour retrouver des objets perdus, mais il est crucial de prendre des mesures de sécurité pour éviter leur détournement et protéger votre vie privée. En suivant les recommandations de sécurité appropriées et en restant vigilant, vous pouvez minimiser les risques potentiels liés à l’utilisation des AirTags.

I. Qu’est-ce qu’un AirTag ?

Les AirTags sont de petits dispositifs ronds, de la taille d’une pièce de monnaie, qui se connectent à votre iPhone ou iPad via la technologie Bluetooth. Ils fonctionnent en tandem avec l’application « Localiser » d’Apple, qui permet de les localiser en temps réel sur une carte. Les AirTags sont conçus pour être attachés ou glissés dans vos objets du quotidien, et ils utilisent le réseau Find My d’Apple pour vous aider à les retrouver rapidement.

Les AirTags utilisent la connectivité Bluetooth pour se connecter à votre iPhone ou iPad. Lorsque vous configurez un AirTag, il est associé à votre identifiant Apple et apparaît dans l’application « Localiser« . Grâce à la technologie Bluetooth, votre appareil Apple peut détecter et communiquer avec les AirTags à proximité, vous permettant de les localiser facilement.

Les AirTags s’appuient sur le réseau Find My d’Apple pour aider à retrouver les objets perdus. Lorsqu’un AirTag est hors de portée Bluetooth de votre appareil, il peut utiliser le réseau Find My pour transmettre sa position à d’autres appareils Apple à proximité. Ces appareils agissent comme des relais, transmettant les informations de localisation de l’AirTag à votre appareil, vous permettant ainsi de le retrouver sur une carte.

Les modèles d’iPhone compatibles avec la technologie Ultra-Wideband (UWB) offrent une fonctionnalité appelée « Precision Finding ». Lorsque vous utilisez cette fonction, l’iPhone utilise des signaux UWB pour interagir avec l’AirTag et obtenir des indications plus précises sur la localisation de l’objet. Vous pouvez ainsi suivre les indications visuelles et sonores de votre iPhone pour vous guider jusqu’à l’AirTag. Lorsque vous utilisez l’application « Localiser » pour retrouver un AirTag, vous pouvez émettre un son sur l’AirTag pour vous aider à le localiser.

L’AirTag émet un son distinctif qui peut être facilement identifiable, même dans un environnement bruyant. De plus, si vous utilisez la fonction Precision Finding avec un iPhone compatible UWB, des indications visuelles précises, telles que des flèches et des distances, sont affichées sur votre écran pour vous guider vers l’AirTag.

Les AirTags sont alimentés par une pile bouton remplaçable. Selon Apple, la durée de vie de la pile peut varier, mais elle est généralement d’environ un an. Lorsque la pile est faible, l’application « Localiser » vous avertit de la nécessité de remplacer la pile.

Les AirTags d’Apple utilisent la connectivité Bluetooth, le réseau Find My, la technologie Ultra-Wideband et des indications sonores et visuelles pour vous aider à retrouver vos objets perdus. Grâce à ces fonctionnalités, les AirTags offrent une expérience de suivi précise et pratique.

Les AirTags fonctionnent avec les appareils Apple équipés d’iOS 14.5 ou d’une version ultérieure. Cela inclut les iPhone, les iPad et les iPod touch. La configuration des AirTags est simple et se fait en quelques étapes à l’aide de l’application Localiser. Une fois configurés, les AirTags sont automatiquement associés à votre identifiant Apple et apparaissent dans l’onglet « Objets » de l’application.

Que vous ayez tendance à perdre fréquemment vos clés ou que vous souhaitiez simplement avoir l’esprit tranquille, les AirTags sont une solution efficace pour retrouver vos objets perdus.

 II. Vie privée et sécurité

 A. Protection de la vie privée

  1. Anonymat des données : Apple met un point d’honneur à respecter l’anonymat des données des utilisateurs. Lorsque vous configurez un AirTag, il est associé à votre identifiant Apple, mais aucune information personnelle n’est stockée sur l’AirTag lui-même. Cela signifie que si quelqu’un trouve un AirTag perdu, il ne pourra pas accéder à vos informations personnelles.
  2. Notification d’objets inconnus : Apple a mis en place une fonctionnalité de notification d’objets inconnus pour éviter tout suivi non autorisé. Si un AirTag inconnu est détecté à proximité de vous pendant une période prolongée, votre appareil Apple vous avertira de sa présence. Cela vous permet de prendre les mesures appropriées pour vous assurer que vous n’êtes pas suivi à votre insu.
  3. Détection des AirTags inactifs : Apple a également mis en place des mesures pour détecter les AirTags qui sont utilisés de manière abusive ou détournés. Si un AirTag est trouvé à proximité de vous et qu’il n’est pas associé à votre identifiant Apple, votre appareil Apple vous avertira également de sa présence. Cela vous permet de signaler tout comportement suspect aux autorités compétentes.
  4. Protection des données réseau : Lorsque vous utilisez le réseau Find My pour localiser un AirTag perdu, Apple chiffre les données pour garantir la confidentialité de vos informations. Les données de localisation sont également anonymisées et ne peuvent pas être utilisées pour vous identifier personnellement.
  5. Contrôles de confidentialité supplémentaires : En plus des mesures de sécurité intégrées, Apple offre également des contrôles de confidentialité supplémentaires pour les AirTags. Vous pouvez désactiver la fonction « Détection d’objets inconnus » si vous le souhaitez dans les paramètres de votre appareil Apple. De plus, si vous trouvez un AirTag inconnu, vous pouvez le désactiver en retirant la pile.

Apple met en place des mesures de sécurité et de confidentialité robustes pour protéger votre vie privée lors de l’utilisation des AirTags. L’anonymat des données, les notifications d’objets inconnus, la détection des AirTags inactifs et les contrôles de confidentialité supplémentaires sont autant de mesures prises pour préserver vos informations personnelles. Tout en offrant une solution pratique pour retrouver vos objets perdus, Apple s’engage à garantir la protection de votre vie privée.

B. Comment ils peuvent être détournés et les mesures de sécurité à prendre

  1. Suivi non autorisé : L’un des principaux problèmes potentiels liés aux AirTags est le suivi non autorisé. Étant donné que les AirTags sont conçus pour être attachés à des objets, ils peuvent également être utilisés pour suivre les déplacements d’une personne sans son consentement. Cela peut poser des problèmes de vie privée et de sécurité. Apple a cependant mis en place des mesures pour limiter ce risque, notamment en émettant des avertissements sonores et des notifications sur les appareils Apple à proximité d’un AirTag inconnu.
  2. Détournement intentionnel : Une autre situation possible est le détournement intentionnel des AirTags. Par exemple, une personne malveillante pourrait attacher un AirTag à un objet appartenant à quelqu’un d’autre sans son consentement, dans le but de le suivre à son insu. Apple a pris des mesures pour détecter ces situations et a mis en place des avertissements sur les appareils Apple lorsqu’un AirTag inconnu est détecté à proximité pendant une période prolongée.
  3. Prévention des détournements : Pour prévenir les détournements potentiels des AirTags, voici quelques mesures que vous pouvez prendre :
  4. Vérifiez régulièrement vos objets : Faites une vérification périodique de vos affaires pour vous assurer qu’aucun AirTag inconnu n’a été attaché à vos objets personnels.
  5. Activez la fonction « Détection d’objets inconnus » : Cette fonctionnalité d’Apple vous avertira si un AirTag inconnu est détecté à proximité de vous pendant une période prolongée. Si vous recevez une telle notification, prenez les mesures appropriées pour vous assurer que vous n’êtes pas suivi à votre insu.
  6. Signalez tout AirTag suspect : Si vous trouvez un AirTag qui semble être utilisé de manière abusive ou si vous êtes préoccupé par un suivi non autorisé, signalez-le aux autorités compétentes.

Les AirTags d’Apple offrent une solution pratique pour retrouver les objets perdus, mais ils peuvent également être détournés et utilisés de manière abusive. Il est essentiel de prendre des mesures de sécurité pour protéger votre vie privée. Apple a mis en place des fonctionnalités pour détecter les AirTags inconnus et émettre des avertissements, mais il est également important de faire preuve de vigilance et de signaler tout comportement suspect. En suivant ces conseils, vous pouvez profiter de la commodité des AirTags tout en protégeant votre vie privée et votre sécurité.

Pour lire une version plus complète de cet article sur les airtags et leur détournement possible, cliquez

Sources :

  1. Apple AirTags : tout savoir sur ce curieux accessoire qui vous permet de localiser vos objets perdus – Numerama
  2. AirTag : tout ce qu’il faut savoir sur les balises Bluetooth d’Apple (01net.com)
  3. AirTag – Apple (FR)
  4. AirTags : ce qu’il faut savoir sur les nouvelles balises d’Apple (lefigaro.fr)
  5. AirTag RGPD : L’AirTag d’Apple : un outil pratique ou une menace (dpo-partage.fr)

Mails et divorce

Fouiller dans le téléphone de son partenaire ou conjoint à son insu est-il constitutif d’une atteinte à ses données personnelles ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Selon l’article 4.1 du RGPD « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

L’article 4.2 du RGPD dispose qu’est dit « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.


Besoin de l’aide d’un avocat pour un problème de divorce ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


L’information des personnes concernées par un traitement de données constitue un préalable indispensable dont chaque responsable de traitements doit s’acquitter en respectant non seulement les exigences de contenu, mais également d’accessibilité et d’intelligibilité.

Les personnes concernées par un traitement de données à caractère personnel bénéficient, sans exception, du droit d’avoir aisément accès à une information transparente, claire et concise concernant l’utilisation faite de leurs données ainsi que les droits qui leur sont dévolus dans le cadre de ce traitement.

Cette information a pour but non seulement d’informer les intéressés de l’existence et de la nature du traitement, mais également de leur permettre d’exercer les différents droits d’accès et de maîtrise attachés à leurs données.

Le corollaire de ce droit est l’obligation, pour tout responsable de traitement, de fournir aux intéressés ces informations.

Les faits soumis à la chambre contentieuse de l’autorité belge de protection de données relèvent de ce cas typique :

Madame donne à ses enfants un smartphone sur lequel elle a installé une application utilisée ensuite par les enfants pour chatter et appeler leur papa qui vit à l’étranger. Elle accède ainsi à l’historique des conversations et utilise des informations extraites de ces conversations dans la procédure en divorce. Monsieur dépose plainte devant l’autorité de protection des données qui estime que le traitement est strictement personnel ou domestique et ne relève donc pas du RGPD.

Le plaignant explique que son ex-épouse aurait obligé leurs enfants communs (mineurs), lors des vacances de ceux-ci à son domicile en Allemagne, à installer une application sur un smartphone qu’elle détient, permettant ainsi à l’ex-épouse d’accéder à l’historique des conversations entre les enfants et le plaignant ;

Le plaignant souligne que dans ces conversations entre lui-même et les enfants figureraient des éléments utilisés dans le cadre de sa procédure de divorce avec la défenderesse ;

Le 16 mars 2022, le plaignant dépose donc une plainte auprès de l’Autorité de protection des données.

Dans sa décision du 20 mars 2023, la chambre contentieuse décide de classer sans suite au motif que « le dossier ne contient pas ou pas suffisamment d’élément susceptibles d’aboutir à une sanction ou [il] comporte un obstacle technique l’empêchant de rendre une décision. »

En l’occurrence, c’est le champ d’application du RGPD qui est au centre des débats, et en particulier l’article 2.c), selon lequel le règlement ne s’applique pas aux traitements de données à caractère personnel effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».

En l’occurrence, la Chambre contentieuse décide de procéder à un classement sans suite de la plainte pour doubles motifs technique et d’opportunité.

I. Non-application du RGPD dans le cadre d’une activité strictement personnelle ou domestique

La Chambre contentieuse procède en premier lieu à un classement sans suite technique, dans la mesure où les traitements soulevés dans la plainte ne tombent pas dans le champ d’application matériel du RGPD ou autres lois de protection des données personnelles. En effet, le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.

A ce sujet, l’article 2.2.c) du RGPD dispose que le règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle. Le considérant 18 du RGPD précise que les traitements rentrant dans ce cadre n’ont pas de liens avec une activité professionnelle ou commerciale, et que les activités personnelles et domestiques pourraient inclure l’échange de correspondance. Cette exemption dans le cadre d’une activité domestique doit être évaluée de façon globale avec la situation en cause. La CJUE estime que cette exemption doit « être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers »

En outre, il convient de prendre en compte si les données en question sont ou non rendues accessibles à un grand nombre de personnes manifestement étrangères à la sphère privée des personnes concernées. En l’occurrence, les conversations s’insèrent ici dans un cadre strictement privé et limité. La Chambre contentieuse estime donc que les traitements en cause ont lieu dans le cadre d’activités strictement personnelles ou domestiques, et que le RGPD ne s’applique par conséquent pas.

La jurisprudence et en particulier l’arrêt Bodil Lindqvist de la CJUE adopte également cette approche plutôt restrictive : cette exception qui figurait déjà dans la directive de 1995 « vise uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers. » En l’occurrence, il s’agissait d’un professeur de catéchisme qui s’était blessé lors d’une activité privée et qui se retrouvait, de ce coup, empêché de donner un cours : la Cour a estimé que cette information publiée sur le site de la paroisse ne relevait pas de l’activité strictement personnelle ou domestique.

Appliquant ceci au cas d’espèce, la chambre contentieuse estime que « le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. »

II. Le prononcé du classement sans suite de la plainte

En dernier lieu, et sans préjudice de ce qui précède, la Chambre contentieuse procède à un classement sans suite pour motif d’opportunité. En effet, le plaignant indique être en procédure de divorce avec la défenderesse, et spécifie utiliser certaines données personnelles présentes dans ses conversations chats avec les enfants dans le cadre de cette procédure, conversations qu’il allègue être traité par la défenderesse. Or, la Chambre contentieuse n’a pas pour priorité d’intervenir dans les procédures judiciaires ou administratives en cours.

Elle peut par ailleurs estimer que la plainte est accessoire à un litige plus large qui nécessite d’être débattu devant les cours et tribunaux judiciaires et administratifs ou une autre autorité compétente. En l’espèce, la Chambre contentieuse estime que la plainte est accessoire à la procédure de divorce devant les juridictions de l’ordre judiciaire. La Chambre contentieuse considère pour ces raisons qu’il est inopportun de poursuivre le suivi du dossier, et décide en conséquence de ne pas procéder, entre autres, à un examen de l’affaire quant au fond.

Pour rappel :

Selon l’article 2.1 du RGPD, le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Selon l’article 2.2 du RGPD, Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

  1. a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;
  3. c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Pour lire une version plus approfondie de cet article sur les mails et le divorce, cliquez

Sources :

https://www.droit-technologie.org/actualites/divorce-et-rgpd-le-reglement-ne-sapplique-pas-toujours/
https://www.gdpr-expert.eu/article.html?id=2#caselaw
https://www.gdpr-expert.eu/article.html?id=2#textesofficiels

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

LA RESPONSABILITÉ DE L’EMPLOYEUR DU FAIT DE L’USAGE DES MAILS PAR SES SALARIES

Aujourd’hui, l’utilisation d’internet par les salariés est essentielle pour de nombreuses entreprises. Néanmoins, l’usage que peut faire le salarié de la connexion internet de l’entreprise pourrait amener à engager la responsabilité de l’employeur. Mais alors, quelle est la responsabilité de l’employeur du fait de l’usage des mails par ses salariés ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Classiquement, la responsabilité de l’employeur vis-à-vis des faits de son salarié correspond à la responsabilité délictuelle prévue dans le Code civil.

Cependant, bien que l’employeur puisse être tenu responsable des actes de ses salariés, la responsabilité de ces derniers n’est pas totalement exclue.

Nous verrons dans le cadre de la responsabilité de l’employeur du fait de l’usage des mails par ses salariés que pour certains, la sévérité vis-à-vis de l’employeur est justifiée par la nécessité de protéger les victimes. Mais dans certains cas, d’autres estiment que cela est particulièrement difficile pour l’employeur.

De nos jours, l’utilisation des mails est quotidienne dans l’entreprise, par conséquent, la responsabilité de l’employeur devrait peut-être se voir limitée.

I. La responsabilité civile des commettants du fait de leurs préposés

L’article 1242 alinéa premier du Code civil dispose que  “on est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que lon a sous sa garde”.

Également, l’article 1242 alinéa 5 du Code civil énonce que “les maîtres et les commettants …sont responsables… du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés.


Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Par conséquent, l’employeur est responsable des activités de ses salariés. Il s’agit d’une responsabilité de plein droit. Aucune faute de l’employeur n’est nécessaire pour que sa responsabilité puisse être engagée.

Dans un arrêt rendu le 19 mai 1988 en assemblée plénière, la Cour de cassation a eu l’occasion de définir les contours et les limites de cette responsabilité. La Cour a dégagé trois conditions pour exonérer l’employeur de sa responsabilité, ces dernières doivent toutes être remplies. Tout d’abord, il faut que le salarié ait agi hors de ses fonctions, ensuite qu’il ait agi dans l’autorisation de l’employeur et enfin que le salarié ait agis à des fins étrangères à ses attributions. Si toutes ses conditions sont remplies, alors, l’employeur se verra exonéré de sa responsabilité et le salarié sera seul responsable de ses actes.

La jurisprudence n’admet cependant que rarement l’exonération de la responsabilité de l’employeur.

Dès lors que l’infraction est commise sur le lieu de travail du salarié et pendant son temps de travail, la jurisprudence estime que le salarié n’a pas agi à des fins étrangères à ses attributions.

Dans un arrêt rendu par la Cour de cassation le 17 mars 2011, la cour n’a justement pas retenu l’exonération de la responsabilité de l’employeur alors qu’au vu des faits, on aurait pu s’attendre à une décision contraire. En effet, plusieurs élèves avaient été victimes d’agressions sexuelles par leur professeur de musique. Ce dernier avait agi pendant son temps de travail et sur son lieu de travail. Cet arrêt illustre la difficulté pour l’employeur de réunir les conditions d’exonération de responsabilité.

II. La responsabilité de l’employeur du fait de l’activité de ses salariés sur internet

L’émergence d’internet dans le monde du travail a amené au développement de la responsabilité de l’employeur du fait des activités de ses salariés. En effet, internet a étendu le champ ces activités.

Dans un arrêt rendu par la cour d’appel d’AIX le 13 mars 2006 a eu l’occasion de se prononcer sur la question de la responsabilité de l’employeur du fait de l’activité de ses salariés sur internet. En l’espèce, un employé d’une entreprise de nouvelles technologies avait sur son lieu de travail confectionné un site internet ayant pour objectif de critiquer de manière agressive une grande société d’autoroutes. Pour réaliser ce site internet, il avait en grande partie utilisé les ressources de son entreprise. La société d’autoroute a alors porté plainte contre l’employeur du salarié.

Le salarié a été condamné sur différents fondements au regard de son activité délictuelle et dommageable (contrefaçon …).

De manière plus étonnante, La Cour de cassation a également retenu la responsabilité de l’employeur en vertu de l’article 1242 alinéa premier du Code civil. Il s’agit du premier cas où un employeur voit sa responsabilité retenue du fait de l’activité de l’un de ses salariés sur internet. Il convient de comprendre pourquoi les juges n’ont pas retenu, les critères d’exonération de la responsabilité de l’employeur dégagé par la jurisprudence, en l’espèce.

Concernant le premier critère, à savoir si l’employé a agi ou non dans le cadre de ses fonctions, la cour considère que le salarié avait bien agi dans le cadre de ses fonctions. Ce dernier était un technicien et utilisait par conséquent un ordinaire et disposait d’une connexion à internet quotidienne pour remplir ses fonctions.

Sur le second critère, la cour estime que le salarié n’a pas agi sans autorisation. En effet, son employeur lui avait même laissé une note indiquant qu’il pouvait utiliser d’autre site internet si ces derniers présentaient un intérêt direct avec son activité.

Néanmoins, il est courant dans les entreprises que les salariés puissent consulter des sites qui ne seraient même pas en relation avec leur activité sans pour autant qu’une note les y autorisent. Par conséquent, dans des cas d’espèce similaires d’autres salariés n’ayant pas cette autorisation express auraient donc agi sans l’autorisation de l’employeur.

Le dernier critère, portant sur le fait que l’employé est agi à des fins étrangères à ses attributions, pour les juges, ce n’est pas le cas. Ils ont estimé que le salarié ayant été autorisé à utiliser l’accès à internet, et ce, même en dehors de ses heures de travail n’avait donc pas agi à des fins étrangères à ses fonctions. Ici aussi, de nombreux salariés auraient pu se retrouver dans cette situation.

Ainsi, la solution retenue en l’espèce est particulièrement sévère pour l’employeur, cette situation pouvant arriver fréquemment avec l’omniprésence d’internet dans les entreprises.

Tous les salariés peuvent publier facilement sur des forums, réseaux sociaux ou encore des blogs. On pourrait donc facilement y retrouver de la diffamation ou de la contrefaçon.

Il apparaît donc important que les employeurs puissent agir contre l’engagement de leur responsabilité du fait des activités de leur salarié sur internet. Cela pourrait amener à un refus d’utilisation d’internet (inscrit au règlement intérieur) pour des utilisations autres que celles en rapport direct avec l’activité du salarié.

Cependant, il est nécessaire de rappeler que cette responsabilité a pour objectif d’assurer à la victime une protection bien supérieure, en effet, l’employeur étant généralement plus solvable que le salarié. Également, empêcher ses salariés d’avoir accès à internet apparaît aujourd’hui comme bien trop radicale, voire impossible selon le métier.

III. Le pouvoir de surveillance et de contrôle de l’employeur

Les employeurs peuvent contrôler et limiter l’utilisation d’Internet pour empêcher une utilisation abusive des outils informatiques dans leurs entreprises. Pour ce faire, l’employeur dispose d’un pouvoir de surveillance et de contrôle. Ces pouvoirs peuvent donc révéler des manquements éventuels de la part de ses salariés, assurer la sécurité du réseau de l’entreprise et limiter les utilisations à des fins personnelles d’internet par les salariés.

L’employeur pourra à ce titre avoir accès aux fichiers créés sur le temps de travail, aux courriels issus de la boîte mail professionnelle ainsi qu’aux sites internet visités par le salarié.

Cependant, les pouvoirs de l’employeur ne doivent pas être exercés de manière excessive. Le salarié bénéficie du droit au respect de sa vie privée, principe découlant de l’article 9 du Code civil. Le salarié doit avoir connaissance de la possible surveillance de l’employeur. Également, si un fichier est identifié comme strictement personnel par le salarié avec la mention “PERSONNEL” ou “STRICTEMENT PERSONNEL” alors l’employeur ne pourra avoir accès à ces fichiers qu’en présence du salarié. Concernant les courriels, le principe est similaire, si le salarié les identifie comme strictement personnels alors l’employeur ne pourra y avoir accès.

Enfin, la Cour de cassation dans un arrêt rendu le 9 juillet 2008 a eu l’occasion de se prononcer sur les connexions internet réalisées via la connexion mise à disposition du salarié par l’entreprise. La cour juge que l’employeur doit pouvoir avoir accès aux sites consultés par son salarié. Également, il a été précisé que même si les sites ont été mis en favoris, cela ne leur confère pas un caractère privé.

Pour lire une version plus complète de cet article sur la responsabilité de l’employeur du fait de l’usage des mails par ses salariés, cliquez

Source :
https://www.legifrance.gouv.fr/juri/id/JURITEXT000023742368/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000019166094/
https://www.cnil.fr/fr/les-outils-informatiques-au-travail