protection de la vie privée

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

LA RESPONSABILITÉ DE L’EMPLOYEUR DU FAIT DE L’USAGE DES MAILS PAR SES SALARIES

Aujourd’hui, l’utilisation d’internet par les salariés est essentielle pour de nombreuses entreprises. Néanmoins, l’usage que peut faire le salarié de la connexion internet de l’entreprise pourrait amener à engager la responsabilité de l’employeur. Mais alors, quelle est la responsabilité de l’employeur du fait de l’usage des mails par ses salariés ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Classiquement, la responsabilité de l’employeur vis-à-vis des faits de son salarié correspond à la responsabilité délictuelle prévue dans le Code civil.

Cependant, bien que l’employeur puisse être tenu responsable des actes de ses salariés, la responsabilité de ces derniers n’est pas totalement exclue.

Nous verrons dans le cadre de la responsabilité de l’employeur du fait de l’usage des mails par ses salariés que pour certains, la sévérité vis-à-vis de l’employeur est justifiée par la nécessité de protéger les victimes. Mais dans certains cas, d’autres estiment que cela est particulièrement difficile pour l’employeur.

De nos jours, l’utilisation des mails est quotidienne dans l’entreprise, par conséquent, la responsabilité de l’employeur devrait peut-être se voir limitée.

I. La responsabilité civile des commettants du fait de leurs préposés

L’article 1242 alinéa premier du Code civil dispose que  “on est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que lon a sous sa garde”.

Également, l’article 1242 alinéa 5 du Code civil énonce que “les maîtres et les commettants …sont responsables… du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés.


Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Par conséquent, l’employeur est responsable des activités de ses salariés. Il s’agit d’une responsabilité de plein droit. Aucune faute de l’employeur n’est nécessaire pour que sa responsabilité puisse être engagée.

Dans un arrêt rendu le 19 mai 1988 en assemblée plénière, la Cour de cassation a eu l’occasion de définir les contours et les limites de cette responsabilité. La Cour a dégagé trois conditions pour exonérer l’employeur de sa responsabilité, ces dernières doivent toutes être remplies. Tout d’abord, il faut que le salarié ait agi hors de ses fonctions, ensuite qu’il ait agi dans l’autorisation de l’employeur et enfin que le salarié ait agis à des fins étrangères à ses attributions. Si toutes ses conditions sont remplies, alors, l’employeur se verra exonéré de sa responsabilité et le salarié sera seul responsable de ses actes.

La jurisprudence n’admet cependant que rarement l’exonération de la responsabilité de l’employeur.

Dès lors que l’infraction est commise sur le lieu de travail du salarié et pendant son temps de travail, la jurisprudence estime que le salarié n’a pas agi à des fins étrangères à ses attributions.

Dans un arrêt rendu par la Cour de cassation le 17 mars 2011, la cour n’a justement pas retenu l’exonération de la responsabilité de l’employeur alors qu’au vu des faits, on aurait pu s’attendre à une décision contraire. En effet, plusieurs élèves avaient été victimes d’agressions sexuelles par leur professeur de musique. Ce dernier avait agi pendant son temps de travail et sur son lieu de travail. Cet arrêt illustre la difficulté pour l’employeur de réunir les conditions d’exonération de responsabilité.

II. La responsabilité de l’employeur du fait de l’activité de ses salariés sur internet

L’émergence d’internet dans le monde du travail a amené au développement de la responsabilité de l’employeur du fait des activités de ses salariés. En effet, internet a étendu le champ ces activités.

Dans un arrêt rendu par la cour d’appel d’AIX le 13 mars 2006 a eu l’occasion de se prononcer sur la question de la responsabilité de l’employeur du fait de l’activité de ses salariés sur internet. En l’espèce, un employé d’une entreprise de nouvelles technologies avait sur son lieu de travail confectionné un site internet ayant pour objectif de critiquer de manière agressive une grande société d’autoroutes. Pour réaliser ce site internet, il avait en grande partie utilisé les ressources de son entreprise. La société d’autoroute a alors porté plainte contre l’employeur du salarié.

Le salarié a été condamné sur différents fondements au regard de son activité délictuelle et dommageable (contrefaçon …).

De manière plus étonnante, La Cour de cassation a également retenu la responsabilité de l’employeur en vertu de l’article 1242 alinéa premier du Code civil. Il s’agit du premier cas où un employeur voit sa responsabilité retenue du fait de l’activité de l’un de ses salariés sur internet. Il convient de comprendre pourquoi les juges n’ont pas retenu, les critères d’exonération de la responsabilité de l’employeur dégagé par la jurisprudence, en l’espèce.

Concernant le premier critère, à savoir si l’employé a agi ou non dans le cadre de ses fonctions, la cour considère que le salarié avait bien agi dans le cadre de ses fonctions. Ce dernier était un technicien et utilisait par conséquent un ordinaire et disposait d’une connexion à internet quotidienne pour remplir ses fonctions.

Sur le second critère, la cour estime que le salarié n’a pas agi sans autorisation. En effet, son employeur lui avait même laissé une note indiquant qu’il pouvait utiliser d’autre site internet si ces derniers présentaient un intérêt direct avec son activité.

Néanmoins, il est courant dans les entreprises que les salariés puissent consulter des sites qui ne seraient même pas en relation avec leur activité sans pour autant qu’une note les y autorisent. Par conséquent, dans des cas d’espèce similaires d’autres salariés n’ayant pas cette autorisation express auraient donc agi sans l’autorisation de l’employeur.

Le dernier critère, portant sur le fait que l’employé est agi à des fins étrangères à ses attributions, pour les juges, ce n’est pas le cas. Ils ont estimé que le salarié ayant été autorisé à utiliser l’accès à internet, et ce, même en dehors de ses heures de travail n’avait donc pas agi à des fins étrangères à ses fonctions. Ici aussi, de nombreux salariés auraient pu se retrouver dans cette situation.

Ainsi, la solution retenue en l’espèce est particulièrement sévère pour l’employeur, cette situation pouvant arriver fréquemment avec l’omniprésence d’internet dans les entreprises.

Tous les salariés peuvent publier facilement sur des forums, réseaux sociaux ou encore des blogs. On pourrait donc facilement y retrouver de la diffamation ou de la contrefaçon.

Il apparaît donc important que les employeurs puissent agir contre l’engagement de leur responsabilité du fait des activités de leur salarié sur internet. Cela pourrait amener à un refus d’utilisation d’internet (inscrit au règlement intérieur) pour des utilisations autres que celles en rapport direct avec l’activité du salarié.

Cependant, il est nécessaire de rappeler que cette responsabilité a pour objectif d’assurer à la victime une protection bien supérieure, en effet, l’employeur étant généralement plus solvable que le salarié. Également, empêcher ses salariés d’avoir accès à internet apparaît aujourd’hui comme bien trop radicale, voire impossible selon le métier.

III. Le pouvoir de surveillance et de contrôle de l’employeur

Les employeurs peuvent contrôler et limiter l’utilisation d’Internet pour empêcher une utilisation abusive des outils informatiques dans leurs entreprises. Pour ce faire, l’employeur dispose d’un pouvoir de surveillance et de contrôle. Ces pouvoirs peuvent donc révéler des manquements éventuels de la part de ses salariés, assurer la sécurité du réseau de l’entreprise et limiter les utilisations à des fins personnelles d’internet par les salariés.

L’employeur pourra à ce titre avoir accès aux fichiers créés sur le temps de travail, aux courriels issus de la boîte mail professionnelle ainsi qu’aux sites internet visités par le salarié.

Cependant, les pouvoirs de l’employeur ne doivent pas être exercés de manière excessive. Le salarié bénéficie du droit au respect de sa vie privée, principe découlant de l’article 9 du Code civil. Le salarié doit avoir connaissance de la possible surveillance de l’employeur. Également, si un fichier est identifié comme strictement personnel par le salarié avec la mention “PERSONNEL” ou “STRICTEMENT PERSONNEL” alors l’employeur ne pourra avoir accès à ces fichiers qu’en présence du salarié. Concernant les courriels, le principe est similaire, si le salarié les identifie comme strictement personnels alors l’employeur ne pourra y avoir accès.

Enfin, la Cour de cassation dans un arrêt rendu le 9 juillet 2008 a eu l’occasion de se prononcer sur les connexions internet réalisées via la connexion mise à disposition du salarié par l’entreprise. La cour juge que l’employeur doit pouvoir avoir accès aux sites consultés par son salarié. Également, il a été précisé que même si les sites ont été mis en favoris, cela ne leur confère pas un caractère privé.

Pour lire une version plus complète de cet article sur la responsabilité de l’employeur du fait de l’usage des mails par ses salariés, cliquez

Source :
https://www.legifrance.gouv.fr/juri/id/JURITEXT000023742368/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000019166094/
https://www.cnil.fr/fr/les-outils-informatiques-au-travail

L’INTERCEPTION DE DONNEES SUR LE RESEAU A L’ECOLE

Le sniff est une pratique consistant à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte à différentes législations destinées à protéger les données concernées. Ce phénomène d’interception de données sur un réseau se retrouve tant à l’école qu’au milieu professionnel. L’interception de données sur un réseau n’est pas en soi illégal. Il s’agit d’un comportement normal du système. C’est pourquoi nous pouvons retrouver l’interception de données sur le réseau d’écoles.

Il est important que l’interception de données sur le réseau à l’école ne se fasse pas en contradiction avec les principes fondamentaux du droit ainsi que les lois visant à protéger les particuliers.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Celles-ci portent à la fois la protection de la vie privée (I) et sur la protection des données à caractère personnel (II).

Le développement de l’informatique a permis de nouveaux comportements. Ainsi, la pratique du sniff consistant à intercepter les données circulant sur un réseau. Le sniff ou sniffing est l’action de surveiller le trafic sur un réseau à l’aide de drones appelés ” sniffers ” parfois à l’insu des utilisateurs et des administrateurs.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Appelé ” analyseur de protocole ” voire encore ” analyseur de réseau “, il est devenu un terme populaire, il est le plus utilisé de nos jours. Les élèves ont alors adopté cette technique afin d’intercepter les données sur le réseau de l’école (ce sont les écoles qui interceptent les données sur le réseau de l’école ou plutôt l’école qui intercepte les données des élèves sur le réseau de l’école ?).

I. La protection des correspondances et la vie privée

Destinés à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la vie privée (B).

A) Le secret des correspondances

C’est la loi du 10 juillet 1991 qui protège les correspondances émises par la voie des télécommunications. Avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code civil) qui fondaient leur régime de protection. Aujourd’hui le Code pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.

En vertu de l’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant « Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions. ». (1)

Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.

La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est « d’un an d’emprisonnement et de 45 000 euros d’amende. », on peut donc voir que les peines sont très lourdes.

Le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.

Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.

B) La vie privée

Prévue par l’article 9 du Code civil, la notion de vie privée  est une notion à géométrie variable. En effet, les textes n’apportent pas de définition stricte. Ainsi, il appartient au juge de définir au cas par cas son contenu.

La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.

S’agissant de l’interception de données sur le réseau de l’école, on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.

Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.

Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.

L’école ne pourra pas, par conséquent, intercepter les informations qui touchent à la vie privée sur son réseau.

La loi n° 2018-493 relative à la protection des données personnelles est entrée en vigueur le 20 juin 2018. Cette dernière a modifié l’article 6 de la loi informatique et liberté du 6 janvier 1978 qui dispose désormais « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

II. La protection des données à caractère personnel

La notion de données à caractère personnel est une notion communautaire correspondant à celle d’information nominative en droit interne et qui recouvre toutes les informations concernant une personne identifiée ou identifiable.

Divers éléments peuvent y être placés tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.

Ces différentes données sont donc soumises à la loi informatique et liberté en droit interne et aux diverses directives communautaires sur le sujet.

La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.

Si une école par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (B) et les droits des personnes dont les données sont interceptées (C). Mais il ne faut pas oublier que certaines des personnes concernées sont des mineurs et que le régime peut être un peu différent les concernant (A).

A) Les données personnelles et les mineurs

Aucune disposition spécifique relative aux mineurs n’est prévue par le régime de la loi de 1978 . La doctrine semble aussi divisée sur le sujet, par conséquent la CNIL s’est saisie du problème.

A cet égard, la CNIL a émis des recommandations après consultation de l’ensemble des personnes concernées aussi bien les responsables de traitements que les associations de protection de l’enfance. Il en ressort que la CNIL recommande lors des traitements de données personnelles concernant les mineurs l’accord des parents.

Elle rappelle, de manière encore plus insistante que pour les traitements concernant les majeurs, la nécessité de respecter le principe de finalité.

Le Règlement général sur la Protection des Données, quant à lui, consacre dans son article 8 une place importante à la protection des données personnelles des mineurs parce qu’ils « peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ». En effet cet article dispose que : « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». (2)

B) Les obligations de l’école interceptant les données

Le principe de déclaration ou d’autorisation préalable désigne le fait que tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et liberté. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.

Les données doivent être traitées loyalement et licitement : la notion de licéité ne fait pas de problème, c’est un simple renvoi aux textes. La loyauté renvoie à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.

Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l’article 226-21 du code pénal qui sanctionne le détournement de finalité.

Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité

Les données doivent être exactes et si nécessaires mises à jour

Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité

Obligation d’information : cette obligation a pour but d’établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l’existence du traitement et donc de mettre en œuvre tous ses autres droits.

Un règlement européen qui encadre la protection des données personnelles a été adopté par le parlement européen en avril 2016 et est entré en vigueur le 25 mai 2018. Il s’agit du règlement général sur la protection des données (RGPD). Il impose de nouvelles obligations pour ceux qui collectent et traitent ces données. Il prévoit que dans chaque académie un délégué à la protection des données devra être désigné. Son rôle sera de veiller au respect du cadre légal concernant la protection des données.

Des principes clés ont été mis en place à destination des professeurs des établissements scolaires pour leur permettre de respecter du mieux possible le RGPD. 10 principes clés ont ainsi été créés dans cette optique. Ces principes ont été répertoriés dans une infographie intitulée « 10 principes clés pour protéger les données de vos élèves. » Pour les personnes qui le souhaitent, il est également possible de demander conseil auprès d’un délégué académique à la protection des données. Pour cela il suffit de se rendre sur le site suivant : https://education.gouv.fr/RGPD

C) Les droits des personnes dont les données sont interceptées

Il est indispensable que l’élève ait la capacité de contrôler les informations interceptées le concernant, ainsi que du contrôler leur qualité. Cela étant, il s’agit d’un droit qui implique une attitude active de sa part.

L’élève a le droit de s’informer. En d’autres termes, il peut demander à l’école si elle traite des données à caractère personnel à son sujet. Si l’école refuse de répondre à la demande, elle s’expose à une contravention de 5e catégorie.

Il dispose également du droit d’accès à l’information : toute personne a le droit d’accéder à toutes les données personnelles le concernant, et faisant l’objet d’un traitement. C’est le droit principal de l’élève concernée par l’interception. Il va donc pouvoir consulter auprès de l’école, l’ensemble des données qu’elle détient à son sujet. Il n’y a pas de conditions particulières à cette demande, l’élève peut donc choisir la forme de sa demande.

L’élève dispose d’un droit de contestation et d’obtention de rectification des données personnelles le concernant.

Enfin, il a le droit de s’opposer au traitement de données à caractère personnel qui désigne le droit que toute personne physique a de s’opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l’objet d’un traitement. Avant comme pendant, à tout moment, même si l’on a accepté avant. La loi n’impose pas une information pour dire qu’il existe un droit d’opposition. Le non-respect de ce droit est puni par l’article 226-18-1 du Code pénal qui dispose que : « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

Conclusion :

À travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, il est force de constater qu’au-delà des données dont la conservation est parfaitement interdite, les autres données obéissent à un régime très contraignant.

Il s’avère, par conséquent, que l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vus précédemment est sanctionnée par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages – intérêts pour d’éventuels préjudices subis.

Pour lire une version plus complète de l’interception des données à l’école, cliquez

Sources 

Protection de la vie privée des gardés à vue

La conscience d’être enregistré ou photographié, doublée de l’absence d’opposition à cette captation de la part de l’intéressé, sera seule à même de faire jouer la présomption de consentement.

Les conditions d’application de cette dernière apparaissent donc particulièrement contraignantes puisqu’elles obligent l’auteur de la captation des paroles ou de l’image à vérifier que les personnes enregistrées ou photographiées n’ont opposé aucun refus.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant  en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

En revanche, lorsqu’ils peuvent prouver que celle-ci, consciente de la captation ne s’y est pas opposée, alors la présomption apparaît irréfragable et la prétendue victime ne pourra pas la contester.

C’est ainsi à bon droit qu’une cour d’appel a dit non constitués les faits d’atteinte à l’intimité de la vie privée par captation de paroles, reprochés à des journalistes ayant suivi les activités des membres du GIR pendant plusieurs mois, sur autorisation du ministère de l’Intérieur, dès lors que la durée et les conditions du tournage, ne permettaient pas de considérer que les propos litigieux avaient été enregistrés sans le consentement de l’officier de police judiciaire filmé, dont la demande tendant à voir dissimuler son visage, n’établissait pas qu’il souhaitait également voir sa voix déformée.


 

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


La chambre criminelle a, en revanche, approuvé les juges d’appel d’avoir jugé que l’absence de consentement de la victime d’une atteinte à la vie privée d’être photographiée se déduit de la « volonté manifeste de ce dernier d’échapper aux photographes en se dissimulant le visage de sa main » et du fait qu’il ait recherché « un stratagème pour sortir discrètement de l’hôtel » et ait quitté cet établissement par la sortie de service.

Elle a de même considéré que, le consentement ne saurait être présumé lorsque les images de la partie civile nue ont été captées et réalisées à son insu par le prévenu lors de conversations par un réseau de communication en ligne ; l’utilisation d’un logiciel de communication en ligne, qui est un moyen de communication audiovisuel sans fixation ou enregistrement automatique des images, n’implique pas nécessairement que les clichés litigieux, pris par le prévenu au moyen de son téléphone portable ont été réalisés au vu et au su de la personne photographiée, sans qu’elle s’y soit opposée.

 

I. Caractéristiques de l’atteinte à la vie privée résultant de l’enregistrement d’une garde à vue

Selon l’article 9 du Code civil, « Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé ».

A. Éléments matériels

L’article 226-1, 1 ° du Code pénal vise la captation, l’enregistrement et la transmission de paroles, par des moyens techniques appropriés.

  • Paroles

Par parole, il faut entendre toute expression d’une pensée manifestée en un langage articulé ou même en des gestes pour des sourds-muets. Ce n’est pas la voix qui est protégée, ni même les sons proférés ou exprimés, comme la musique créée par un compositeur, les cris ou les bruits quelconques. La protection légale concerne les propos tenus, quelle que soit la langue utilisée.

 Peu importe que les propos soient inaudibles : l’article 226-1, 1 ° pourra trouver à s’appliquer.

  • Captation

L’article 226-1, 1 ° vise, en premier lieu, la captation clandestine de paroles, qu’elle s’accompagne ou non de l’enregistrement des propos tenus. Le texte ne distingue pas, en effet, selon que les paroles sont échangées directement ou par l’intermédiaire d’un appareil, qu’il s’agisse d’un téléphone ou de tout autre mode de communication partiellement ou exclusivement audio (ex. : audio ou visioconférence).

Ainsi est punissable l’écoute clandestine à l’aide de stéthoscopes très sensibles appliqués sur la cloison pour surprendre les propos tenus dans la pièce voisine, de mini-micros dissimulés dans la pièce elle-même.

A été déclaré coupable d’atteinte à l’intimité de la vie privée, le directeur d’une entreprise qui, au moyen d’un interphone installé dans le local servant de cantine aux employées, avait écouté les conversations de celles-ci réunies en ces lieux à l’occasion du déjeuner, alors que ces conversations étaient relatives non seulement à la vie professionnelle, mais aussi à l’intimité de la vie privée de différentes personnes (T. corr. St-Étienne, 19 avr. 1977 : D. 1978, p. 123, note R. Lindon).

  • Enregistrement

L’article 226-1, 1 ° vise, en deuxième lieu, l’enregistrement clandestin de paroles.

Seul l’enregistrement de paroles prononcées par une personne est réprimé. Ainsi, il a été jugé, sous l’empire de l’ancien article 368 du Code pénal, que la pose, sur la ligne téléphonique du plaignant et à sa demande, d’un appareil enregistrant le numéro de l’abonné appelant, ainsi que la date et l’heure de l’appel, ne constituait pas une infraction à l’article précité.

Il a de même été jugé que les enregistrements d’appels téléphoniques anonymes et réitérés, à la diligence du destinataire, afin de permettre l’identification de l’auteur, ne présentaient pas le caractère d’une atteinte à l’intimité de la vie privée de l’auteur desdits appels.

L’article 226-1, 1 °, comme l’ancien article 368, sanctionne le fait d’enregistrer, au moyen d’un appareil quelconque, des paroles prononcées à titre privé par une personne, sans le consentement de celle-ci, et ce quels que soient les résultats techniques de l’enregistrement, les propos enregistrés seraient-ils inaudibles.

A été déclaré coupable d’atteinte à la vie privée un employeur qui avait dissimulé un magnétophone à déclenchement vocal dans le faux plafond du bureau occupé par deux de ses employés.

De même a été retenue la culpabilité d’une pharmacienne qui, devant subir une période d’hospitalisation, avait fait installer clandestinement dans son officine un dispositif permettant d’écouter et d’enregistrer les conversations tenues dans cette officine, confiée à la direction d’une gérante, l’installateur de l’appareil étant déclaré auteur du délit et la pharmacienne complice de ce délit.

Il a été jugé que le délit d’atteinte à la vie privée était caractérisé dans le cas où, à la suite d’une ordonnance de non-conciliation entre des époux, il avait été constaté que deux lignes téléphoniques desservant l’appartement de l’épouse étaient dérivées vers celui occupé par le mari dans un autre immeuble, celui-ci ayant reconnu avoir fait placer du matériel d’écoute et avoir procédé à des enregistrements.

B. Élément intentionnel

Aux termes de l’article 121-3 du Code pénal, il n’y a point de délit sans intention de le commettre. Il en est ainsi du délit de l’article 226-1, 1 °, qui précise que celui-ci doit avoir été commis “volontairement”. Aucun dol spécial n’est cependant requis. Mais il ne suffit pas que l’auteur ait agi avec la conscience qu’il se livrait à un acte illicite ; il faut aussi qu’il ait eu la volonté de porter atteinte à la vie privée d’autrui.

Cet élément intentionnel avait été souligné par la Cour de cassation (Cass. crim., 3 mars 1982 : Bull. crim. 1982, n° 68 ; D. 1982, jurispr. p. 579, note Lindon) qui a rejeté un pourvoi formé contre un arrêt ayant constaté que les propos téléphoniques tenus par une personne dans un lieu privé avaient été enregistrés à son insu et qu’au cours de la communication, cette personne avait été notamment appelée à parler de sa vie conjugale et de ses relations personnelles avec un tiers, après avoir été mise en condition et soumise à un véritable questionnaire soigneusement préparé et orienté. Par un arrêt du 7 octobre 1997, la chambre criminelle a, à nouveau, relevé que le délit n’est punissable que si le prévenu a eu la volonté de porter atteinte à la vie privée d’autrui.

De même, la chambre criminelle a approuvé une cour d’appel qui, pour dire établi en tous ses éléments, y compris l’élément intentionnel, le délit d’atteinte à la vie privée, a retenu que les interceptions pratiquées de manière clandestine et irrégulière sur les lignes téléphoniques du domicile ou du local professionnel des parties civiles avaient, par leur conception, leur objet et leur durée, nécessairement conduit les auteurs de ces écoutes à pénétrer dans l’intimité de la vie privée des personnes concernées et de leurs interlocuteurs.

II. Les conséquences d’ordre procédural de l’enregistrement d’une personne gardée à vue

A. Absence de consentement de l’auteur des paroles

S’agissant de cette seconde condition, l’enregistrement n’est constitutif, aux termes de la disposition précitée, que si la personne dont les paroles ou l’image ont été captées n’a pas consenti à cet enregistrement, alors que le consentement est présumé lorsque l’enregistrement a été accompli au vu et au su de la personne enregistrée sans qu’elle s’y soit opposée, tout en étant en mesure de le faire. De ce fait, soit l’enregistrement par le journaliste a lieu à l’insu de la personne gardée à vue, auquel cas l’absence de consentement est établie, ce qui permet la constitution de l’infraction.

Soit, à l’opposé, l’enregistrement par le journaliste a lieu au vu et au su de la personne gardée à vue. En pareille hypothèse, à suivre la chambre criminelle, le consentement de la personne fait défaut, car, bien que l’enregistrement n’ait pas été accompli à son insu, elle n’était pas en mesure de s’y opposer. Pareille solution est parfaitement cohérente et est aisément justifiable par la coercition attachée à la garde à vue. La personne gardée à vue ne peut, en effet, quitter les locaux de police ou de gendarmerie pour s’opposer à l’enregistrement.

Elle ne peut non plus intimer efficacement l’ordre au journaliste de cesser l’enregistrement étant donné qu’elle est privée de liberté, qu’elle est tenue à la disposition de l’officier de police judiciaire (OPJ) alors que la mesure dont elle fait l’objet est placée sous le contrôle du procureur de la République, ceci conformément aux articles 62-2 et suivants du Code de procédure pénale.

La situation de la personne gardée à vue est, à ce titre, totalement inverse à celle de l’OPJ filmé pendant l’exercice de ses missions qui peut, contrairement à cette dernière, s’opposer à la captation de ses paroles ou de son image, ce qui mettrait alors un obstacle à la constitution du délit de l’article 226-1 du Code pénal.

Le délit d’atteinte à l’intimité de la vie privée apparaissant pleinement constitué par l’enregistrement, effectué par un journaliste, d’une personne gardée à vue, reste, en second lieu, posée la question de savoir si un tel journaliste peut, particulièrement si sa présence lors de la garde à vue a été autorisée par les représentants de l’autorité publique, invoquer avec succès un fait justificatif pour s’exonérer. La réponse apparaît négative au regard des deux faits justificatifs qui semblent les plus pertinents en la matière, en l’occurrence la liberté d’expression et le commandement de l’autorité légitime.

S’agissant du premier, le journaliste auteur de l’enregistrement de la garde à vue ne semble pas pouvoir s’appuyer sur l’information du public sur les enquêtes de police pour éviter le prononcé d’une condamnation.

Cette position se justifie aisément au regard de la décision rendue par le Conseil constitutionnel, le 2 mars 2018, relativement aux limites à la liberté d’expression, qui découlent de l’article 11 du Code de procédure pénale et rendent illégitime la présence de journalistes lors des perquisitions, dans laquelle cette dernière disposition a été déclarée conforme à la Constitution. Or la garde à vue étant couverte, au même titre que les perquisitions, par le secret, l’article 11 du Code de procédure pénale doit, en la matière, l’emporter sur la liberté d’expression, liberté qui ne devrait donc pouvoir paralyser le jeu de l’article 226-1 du Code pénal.

S’agissant, du commandement de l’autorité légitime, l’autorisation qu’aurait reçue le journaliste de l’OPJ ou du procureur de la République de filmer une personne gardée à vue ne vaut pas fait justificatif.

Une autorisation ou une tolérance de l’autorité administrative n’est pas, en effet, un ordre, seul de nature à neutraliser l’article 226-1 du Code pénal. Pareille autorisation ou tolérance semble, par ailleurs, difficilement permettre de retenir l’erreur invincible sur le droit10, tant son illégalité apparaît manifeste aussi bien au regard de la position de la chambre criminelle, qu’au regard de celle du Conseil constitutionnel sur le secret de l’enquête.

B. Invocation de l’article 11 du Code pénal

Une fois acquis le caractère constitutif, au sens de l’article 226-1 du Code pénal, de l’enregistrement, par un journaliste, des paroles ou de l’image d’une personne placée en garde à vue, reste posée la question des conséquences d’ordre procédural d’un tel enregistrement, de savoir s’il est de nature à permettre l’annulation de la garde à vue.

Dans l’absolu, une réponse positive devrait pouvoir être donnée à cette question, par référence aux solutions prétoriennes relatives à la présence de journalistes à l’occasion du déroulement des perquisitions dans le cadre de l’enquête de police ou de l’information judiciaire.

L’enregistrement, par un journaliste, du déroulement d’une garde à vue doit, en effet, et de la même manière que l’enregistrement du déroulement d’une perquisition, être regardé comme une violation du secret de l’enquête ou de l’instruction de l’article 11 du Code de procédure pénale, qui permet, d’après la chambre criminelle, le prononcé de la nullité de l’acte de procédure considéré.

Par ailleurs, à transposer la solution issue de l’arrêt rendu le 9 janvier 2019 en matière de perquisitions, l’atteinte au secret de l’enquête de nature à justifier le prononcé de la nullité devrait pouvoir être caractérisée, qu’il y ait enregistrement ou non, par la seule et simple présence du journaliste à l’acte d’enquête, qu’il soit une perquisition ou une garde à vue, même si cette présence a été autorisée par l’autorité publique, sans qu’il importe qu’elle l’ait été par l’OPJ ou par le procureur de la République.

La question de la nature de la nullité ? Encore une fois, à suivre la jurisprudence rendue à propos des perquisitions, cette nullité devrait être une nullité d’ordre public, dispensant le demandeur de devoir rapporter la preuve d’un grief, dans la mesure où la violation du secret de l’enquête ou de l’instruction caractérisée par la présence ou les agissements du journaliste est regardée par la chambre criminelle comme portant nécessairement atteinte aux intérêts de la personne qu’elle concerne.

De la sorte, la personne qui a fait l’objet d’une garde à vue à laquelle ont assisté, avec l’autorisation de représentants de l’autorité publique, un ou plusieurs journalistes, apparaît bien fondée à demander, en invoquant une violation de l’article 11 du Code de procédure pénale, l’annulation de cette mesure, que les journalistes aient ou non procédé à un enregistrement. Et en cas d’enregistrement, à poursuivre les journalistes du chef d’atteinte à l’intimité de la vie privée, l’enregistrement des paroles ou de l’image d’une personne gardée à vue paraissant à la fois constitutive et difficilement justifiable.

Pour lire un article plus complet sur la protection de la vie privée des gardés à vie, cliquez 

SOURCES :