protection de la vie privée

Mails et divorce

Fouiller dans le téléphone de son partenaire ou conjoint à son insu est-il constitutif d’une atteinte à ses données personnelles ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Selon l’article 4.1 du RGPD « données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

L’article 4.2 du RGPD dispose qu’est dit « traitement », toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.


Besoin de l’aide d’un avocat pour un problème de divorce ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


L’information des personnes concernées par un traitement de données constitue un préalable indispensable dont chaque responsable de traitements doit s’acquitter en respectant non seulement les exigences de contenu, mais également d’accessibilité et d’intelligibilité.

Les personnes concernées par un traitement de données à caractère personnel bénéficient, sans exception, du droit d’avoir aisément accès à une information transparente, claire et concise concernant l’utilisation faite de leurs données ainsi que les droits qui leur sont dévolus dans le cadre de ce traitement.

Cette information a pour but non seulement d’informer les intéressés de l’existence et de la nature du traitement, mais également de leur permettre d’exercer les différents droits d’accès et de maîtrise attachés à leurs données.

Le corollaire de ce droit est l’obligation, pour tout responsable de traitement, de fournir aux intéressés ces informations.

Les faits soumis à la chambre contentieuse de l’autorité belge de protection de données relèvent de ce cas typique :

Madame donne à ses enfants un smartphone sur lequel elle a installé une application utilisée ensuite par les enfants pour chatter et appeler leur papa qui vit à l’étranger. Elle accède ainsi à l’historique des conversations et utilise des informations extraites de ces conversations dans la procédure en divorce. Monsieur dépose plainte devant l’autorité de protection des données qui estime que le traitement est strictement personnel ou domestique et ne relève donc pas du RGPD.

Le plaignant explique que son ex-épouse aurait obligé leurs enfants communs (mineurs), lors des vacances de ceux-ci à son domicile en Allemagne, à installer une application sur un smartphone qu’elle détient, permettant ainsi à l’ex-épouse d’accéder à l’historique des conversations entre les enfants et le plaignant ;

Le plaignant souligne que dans ces conversations entre lui-même et les enfants figureraient des éléments utilisés dans le cadre de sa procédure de divorce avec la défenderesse ;

Le 16 mars 2022, le plaignant dépose donc une plainte auprès de l’Autorité de protection des données.

Dans sa décision du 20 mars 2023, la chambre contentieuse décide de classer sans suite au motif que « le dossier ne contient pas ou pas suffisamment d’élément susceptibles d’aboutir à une sanction ou [il] comporte un obstacle technique l’empêchant de rendre une décision. »

En l’occurrence, c’est le champ d’application du RGPD qui est au centre des débats, et en particulier l’article 2.c), selon lequel le règlement ne s’applique pas aux traitements de données à caractère personnel effectué « par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ».

En l’occurrence, la Chambre contentieuse décide de procéder à un classement sans suite de la plainte pour doubles motifs technique et d’opportunité.

I. Non-application du RGPD dans le cadre d’une activité strictement personnelle ou domestique

La Chambre contentieuse procède en premier lieu à un classement sans suite technique, dans la mesure où les traitements soulevés dans la plainte ne tombent pas dans le champ d’application matériel du RGPD ou autres lois de protection des données personnelles. En effet, le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique.

A ce sujet, l’article 2.2.c) du RGPD dispose que le règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle. Le considérant 18 du RGPD précise que les traitements rentrant dans ce cadre n’ont pas de liens avec une activité professionnelle ou commerciale, et que les activités personnelles et domestiques pourraient inclure l’échange de correspondance. Cette exemption dans le cadre d’une activité domestique doit être évaluée de façon globale avec la situation en cause. La CJUE estime que cette exemption doit « être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers »

En outre, il convient de prendre en compte si les données en question sont ou non rendues accessibles à un grand nombre de personnes manifestement étrangères à la sphère privée des personnes concernées. En l’occurrence, les conversations s’insèrent ici dans un cadre strictement privé et limité. La Chambre contentieuse estime donc que les traitements en cause ont lieu dans le cadre d’activités strictement personnelles ou domestiques, et que le RGPD ne s’applique par conséquent pas.

La jurisprudence et en particulier l’arrêt Bodil Lindqvist de la CJUE adopte également cette approche plutôt restrictive : cette exception qui figurait déjà dans la directive de 1995 « vise uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers. » En l’occurrence, il s’agissait d’un professeur de catéchisme qui s’était blessé lors d’une activité privée et qui se retrouvait, de ce coup, empêché de donner un cours : la Cour a estimé que cette information publiée sur le site de la paroisse ne relevait pas de l’activité strictement personnelle ou domestique.

Appliquant ceci au cas d’espèce, la chambre contentieuse estime que « le traitement en cause (installation avec les comptes des enfants de l’application que le plaignant et les enfants utilisent pour chatter et s’appeler, sur un téléphone détenu par la défenderesse, ce qui permet ainsi à celle-ci l’accès à l’historique des conversations entre le plaignant et leurs enfants) est effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique. »

II. Le prononcé du classement sans suite de la plainte

En dernier lieu, et sans préjudice de ce qui précède, la Chambre contentieuse procède à un classement sans suite pour motif d’opportunité. En effet, le plaignant indique être en procédure de divorce avec la défenderesse, et spécifie utiliser certaines données personnelles présentes dans ses conversations chats avec les enfants dans le cadre de cette procédure, conversations qu’il allègue être traité par la défenderesse. Or, la Chambre contentieuse n’a pas pour priorité d’intervenir dans les procédures judiciaires ou administratives en cours.

Elle peut par ailleurs estimer que la plainte est accessoire à un litige plus large qui nécessite d’être débattu devant les cours et tribunaux judiciaires et administratifs ou une autre autorité compétente. En l’espèce, la Chambre contentieuse estime que la plainte est accessoire à la procédure de divorce devant les juridictions de l’ordre judiciaire. La Chambre contentieuse considère pour ces raisons qu’il est inopportun de poursuivre le suivi du dossier, et décide en conséquence de ne pas procéder, entre autres, à un examen de l’affaire quant au fond.

Pour rappel :

Selon l’article 2.1 du RGPD, le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Selon l’article 2.2 du RGPD, Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

  1. a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;
  3. c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

Pour lire une version plus approfondie de cet article sur les mails et le divorce, cliquez

Sources :

https://www.droit-technologie.org/actualites/divorce-et-rgpd-le-reglement-ne-sapplique-pas-toujours/
https://www.gdpr-expert.eu/article.html?id=2#caselaw
https://www.gdpr-expert.eu/article.html?id=2#textesofficiels

LE VOL DE DONNÉES ÉLECTRONIQUES À CARACTÈRE PERSONNEL

Depuis quelques années, on assiste à une massification des données personnelles. Également, ces dernières ont une valeur importante. Par conséquent, elles sont la cible de nombreux vols. Les violations de données à caractère personnel sont donc très fréquentes, il convient de savoir comment réagir lorsque celle-ci intervient.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La vie privée des personnes à qui appartiennent ces données personnelles se voit donc être impactée par les violations de données. Il est nécessaire de réagir au mieux quand une violation arrive.

Le règlement européen sur la protection des données personnelles qui est entrée en 2018 est venu encadrer cette question. Il s’inscrit dans la continuité de la Loi informatique et Liberté de 1978. En effet, il était nécessaire de renforcer la sécurité ainsi que la protection des données personnelles.

Ce règlement européen vient mettre en place un cadre juridique commun au sein de l’Union européenne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La CNIL définit la donnée personnelle, comme « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement. »

Aujourd’hui, les entreprises, les hébergeurs, les sites internet détiennent un nombre très important de données sur les utilisateurs.

Le règlement général sur la protection des données personnelles (RGPD) définit en son article 4 la violation de données personnelles. Il s’agit d’une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données »

Les responsables de traitement ont une obligation de documentation interne. Un registre doit être tenu contenant toutes les violations de données personnelles. Cette obligation est posée par le RGPD.

Également cette violation devra entraîner une notification à l’autorité compétente, mais aussi aux personnes concernées dès lors que celle-ci présente un risque élevé pour les droits et libertés des personnes.

Il est donc important de se pencher sur le processus de notification en cas de violation de données personnelles.

Le règlement prévoit ainsi les modalités concernant la notification : d’une part à l’autorité compétente (I) et d’autre part aux personnes concernées (II).

I- La notification à l’autorité compétence

Une violation de données devra faire l’objet d’une notification à l’autorité compétente par le responsable de traitement (A) il convient d’étudier le contenu ainsi que les délais de cette notification (B)

A) L’obligation de notification à l’autorité national

Dès lors qu’une violation de données personnelles a eu lieu, le responsable de traitement à une obligation de notification auprès de l’autorité nationale compétente.

Il existe de nombreux types de violation de données à caractère personnel, à titre d’illustration, voici quelques exemples de violation :

L’obligation de notification d’une violation de données à caractère personnel à l’autorité de contrôle est prévue par l’article 33 du RGPD. En France, l’autorité compétente est la CNIL.

Le règlement européen prévoit en son article 55 que c’est l’état membre qui choisit l’autorité compétente.

B) Les délais et le contenu de la notification à l’autorité nationale compétente

Il est prévu à l’article 33 du RGPD le contenu de la notification ainsi que les délais à respecter. Le responsable de traitement doit réaliser une notification auprès de la CNIL. Celle-ci doit intervenir dans les meilleurs délais, il est précisé que la notification doit être faite au plus tard 72 h après avoir eu connaissance de la violation.

La notification n’aura pas à être réalisée si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Également, le sous-traitant devra notifier au responsable de traitement l’existence d’une violation dans les meilleurs délais. Bien que le règlement ne précise pas de délai exact, il est communément accepté que la notification doit intervenir dans les 48 h à compter de la connaissance de la violation de données personnelles.

L’article 33 du RGPD précise le contenu de la notification, il faudra alors :

« a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

  1. b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;
  2. c) décrire les conséquences probables de la violation de données à caractère personnel;
  3. d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

L’article prévoit que si les informations ne peuvent être communiquées en même temps, il sera possible de les communiquer plus tard, de manière échelonnée, sans aucun retard indu.

Enfin, le registre des violations devra être renseigné.

II- La notification aux personnes concernées

Il sera parfois nécessaire de notifier la violation de données à caractère personnel aux personnes concernées lorsque celle-ci présente un risque élevé pour les droits et libertés de ces personnes. (A) Néanmoins, dans certains cas, la notification aux personnes concernées ne sera pas nécessaire (B)

A) La nécessité d’une notification aux personnes concernées

La question de la communication aux personnes concernées de la violation de données à caractère personnel est encadrée par l’article 34 du RGPD.

Le responsable de traitement aura l’obligation de communiquer aux personnes concernées l’existence d’une violation de données personnelles si celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. La communication devra avoir lieu dans les meilleurs délais.

La communication devra préciser la nature de la violation de données à caractère personnel, mais également contenir au moins une des informations et mesures prévues à l’article 33, paragraphe b), c) et d), citées dans la partie précédente.

Enfin, cette notification devra être réalisée dans des termes simples et clairs.

B) Les cas où cette notification n’est pas nécessaire

Dans certains cas, la notification aux personnes concernées ne sera pas nécessaire. C’est l’article 34 du RGPD qui prévoit ces derniers.

Ainsi, la communication de la violation ne sera pas nécessaire si :

« a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

  1. b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visés au paragraphe 1 n’est plus susceptible de se matérialiser;
  2. c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace. »

De plus, si le responsable de traitement n’a pas communiqué aux personnes concernées la violation de données à caractère personnel, alors que la CNIL, après examen de la violation considère qu’elle portait bien un risque élevé que les droits et libertés pour les personnes concernées, l’autorité sera donc en mesure d’exiger que le responsable de traitement procède à la communication de la violation aux personnes concernées.

Pour lire une version plus complète de cet article sur la protection des données personnelles, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1#Article4
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article34
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre6#Article55
https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article33

LA RESPONSABILITÉ DE L’EMPLOYEUR DU FAIT DE L’USAGE DES MAILS PAR SES SALARIES

Aujourd’hui, l’utilisation d’internet par les salariés est essentielle pour de nombreuses entreprises. Néanmoins, l’usage que peut faire le salarié de la connexion internet de l’entreprise pourrait amener à engager la responsabilité de l’employeur. Mais alors, quelle est la responsabilité de l’employeur du fait de l’usage des mails par ses salariés ?

NOUVEAU : Utilisez nos services pour vous défendre en passant par le formulaire !

Classiquement, la responsabilité de l’employeur vis-à-vis des faits de son salarié correspond à la responsabilité délictuelle prévue dans le Code civil.

Cependant, bien que l’employeur puisse être tenu responsable des actes de ses salariés, la responsabilité de ces derniers n’est pas totalement exclue.

Nous verrons dans le cadre de la responsabilité de l’employeur du fait de l’usage des mails par ses salariés que pour certains, la sévérité vis-à-vis de l’employeur est justifiée par la nécessité de protéger les victimes. Mais dans certains cas, d’autres estiment que cela est particulièrement difficile pour l’employeur.

De nos jours, l’utilisation des mails est quotidienne dans l’entreprise, par conséquent, la responsabilité de l’employeur devrait peut-être se voir limitée.

I. La responsabilité civile des commettants du fait de leurs préposés

L’article 1242 alinéa premier du Code civil dispose que  “on est responsable non seulement du dommage que lon cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que lon a sous sa garde”.

Également, l’article 1242 alinéa 5 du Code civil énonce que “les maîtres et les commettants …sont responsables… du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés.


Besoin de l’aide d’un avocat pour un problème de droit du travail ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Par conséquent, l’employeur est responsable des activités de ses salariés. Il s’agit d’une responsabilité de plein droit. Aucune faute de l’employeur n’est nécessaire pour que sa responsabilité puisse être engagée.

Dans un arrêt rendu le 19 mai 1988 en assemblée plénière, la Cour de cassation a eu l’occasion de définir les contours et les limites de cette responsabilité. La Cour a dégagé trois conditions pour exonérer l’employeur de sa responsabilité, ces dernières doivent toutes être remplies. Tout d’abord, il faut que le salarié ait agi hors de ses fonctions, ensuite qu’il ait agi dans l’autorisation de l’employeur et enfin que le salarié ait agis à des fins étrangères à ses attributions. Si toutes ses conditions sont remplies, alors, l’employeur se verra exonéré de sa responsabilité et le salarié sera seul responsable de ses actes.

La jurisprudence n’admet cependant que rarement l’exonération de la responsabilité de l’employeur.

Dès lors que l’infraction est commise sur le lieu de travail du salarié et pendant son temps de travail, la jurisprudence estime que le salarié n’a pas agi à des fins étrangères à ses attributions.

Dans un arrêt rendu par la Cour de cassation le 17 mars 2011, la cour n’a justement pas retenu l’exonération de la responsabilité de l’employeur alors qu’au vu des faits, on aurait pu s’attendre à une décision contraire. En effet, plusieurs élèves avaient été victimes d’agressions sexuelles par leur professeur de musique. Ce dernier avait agi pendant son temps de travail et sur son lieu de travail. Cet arrêt illustre la difficulté pour l’employeur de réunir les conditions d’exonération de responsabilité.

II. La responsabilité de l’employeur du fait de l’activité de ses salariés sur internet

L’émergence d’internet dans le monde du travail a amené au développement de la responsabilité de l’employeur du fait des activités de ses salariés. En effet, internet a étendu le champ ces activités.

Dans un arrêt rendu par la cour d’appel d’AIX le 13 mars 2006 a eu l’occasion de se prononcer sur la question de la responsabilité de l’employeur du fait de l’activité de ses salariés sur internet. En l’espèce, un employé d’une entreprise de nouvelles technologies avait sur son lieu de travail confectionné un site internet ayant pour objectif de critiquer de manière agressive une grande société d’autoroutes. Pour réaliser ce site internet, il avait en grande partie utilisé les ressources de son entreprise. La société d’autoroute a alors porté plainte contre l’employeur du salarié.

Le salarié a été condamné sur différents fondements au regard de son activité délictuelle et dommageable (contrefaçon …).

De manière plus étonnante, La Cour de cassation a également retenu la responsabilité de l’employeur en vertu de l’article 1242 alinéa premier du Code civil. Il s’agit du premier cas où un employeur voit sa responsabilité retenue du fait de l’activité de l’un de ses salariés sur internet. Il convient de comprendre pourquoi les juges n’ont pas retenu, les critères d’exonération de la responsabilité de l’employeur dégagé par la jurisprudence, en l’espèce.

Concernant le premier critère, à savoir si l’employé a agi ou non dans le cadre de ses fonctions, la cour considère que le salarié avait bien agi dans le cadre de ses fonctions. Ce dernier était un technicien et utilisait par conséquent un ordinaire et disposait d’une connexion à internet quotidienne pour remplir ses fonctions.

Sur le second critère, la cour estime que le salarié n’a pas agi sans autorisation. En effet, son employeur lui avait même laissé une note indiquant qu’il pouvait utiliser d’autre site internet si ces derniers présentaient un intérêt direct avec son activité.

Néanmoins, il est courant dans les entreprises que les salariés puissent consulter des sites qui ne seraient même pas en relation avec leur activité sans pour autant qu’une note les y autorisent. Par conséquent, dans des cas d’espèce similaires d’autres salariés n’ayant pas cette autorisation express auraient donc agi sans l’autorisation de l’employeur.

Le dernier critère, portant sur le fait que l’employé est agi à des fins étrangères à ses attributions, pour les juges, ce n’est pas le cas. Ils ont estimé que le salarié ayant été autorisé à utiliser l’accès à internet, et ce, même en dehors de ses heures de travail n’avait donc pas agi à des fins étrangères à ses fonctions. Ici aussi, de nombreux salariés auraient pu se retrouver dans cette situation.

Ainsi, la solution retenue en l’espèce est particulièrement sévère pour l’employeur, cette situation pouvant arriver fréquemment avec l’omniprésence d’internet dans les entreprises.

Tous les salariés peuvent publier facilement sur des forums, réseaux sociaux ou encore des blogs. On pourrait donc facilement y retrouver de la diffamation ou de la contrefaçon.

Il apparaît donc important que les employeurs puissent agir contre l’engagement de leur responsabilité du fait des activités de leur salarié sur internet. Cela pourrait amener à un refus d’utilisation d’internet (inscrit au règlement intérieur) pour des utilisations autres que celles en rapport direct avec l’activité du salarié.

Cependant, il est nécessaire de rappeler que cette responsabilité a pour objectif d’assurer à la victime une protection bien supérieure, en effet, l’employeur étant généralement plus solvable que le salarié. Également, empêcher ses salariés d’avoir accès à internet apparaît aujourd’hui comme bien trop radicale, voire impossible selon le métier.

III. Le pouvoir de surveillance et de contrôle de l’employeur

Les employeurs peuvent contrôler et limiter l’utilisation d’Internet pour empêcher une utilisation abusive des outils informatiques dans leurs entreprises. Pour ce faire, l’employeur dispose d’un pouvoir de surveillance et de contrôle. Ces pouvoirs peuvent donc révéler des manquements éventuels de la part de ses salariés, assurer la sécurité du réseau de l’entreprise et limiter les utilisations à des fins personnelles d’internet par les salariés.

L’employeur pourra à ce titre avoir accès aux fichiers créés sur le temps de travail, aux courriels issus de la boîte mail professionnelle ainsi qu’aux sites internet visités par le salarié.

Cependant, les pouvoirs de l’employeur ne doivent pas être exercés de manière excessive. Le salarié bénéficie du droit au respect de sa vie privée, principe découlant de l’article 9 du Code civil. Le salarié doit avoir connaissance de la possible surveillance de l’employeur. Également, si un fichier est identifié comme strictement personnel par le salarié avec la mention “PERSONNEL” ou “STRICTEMENT PERSONNEL” alors l’employeur ne pourra avoir accès à ces fichiers qu’en présence du salarié. Concernant les courriels, le principe est similaire, si le salarié les identifie comme strictement personnels alors l’employeur ne pourra y avoir accès.

Enfin, la Cour de cassation dans un arrêt rendu le 9 juillet 2008 a eu l’occasion de se prononcer sur les connexions internet réalisées via la connexion mise à disposition du salarié par l’entreprise. La cour juge que l’employeur doit pouvoir avoir accès aux sites consultés par son salarié. Également, il a été précisé que même si les sites ont été mis en favoris, cela ne leur confère pas un caractère privé.

Pour lire une version plus complète de cet article sur la responsabilité de l’employeur du fait de l’usage des mails par ses salariés, cliquez

Source :
https://www.legifrance.gouv.fr/juri/id/JURITEXT000023742368/
https://www.legifrance.gouv.fr/juri/id/JURITEXT000019166094/
https://www.cnil.fr/fr/les-outils-informatiques-au-travail

L’INTERCEPTION DE DONNEES SUR LE RESEAU A L’ECOLE

Le sniff est une pratique consistant à intercepter les données circulant sur un réseau par un responsable de celui-ci, se heurte à différentes législations destinées à protéger les données concernées. Ce phénomène d’interception de données sur un réseau se retrouve tant à l’école qu’au milieu professionnel. L’interception de données sur un réseau n’est pas en soi illégal. Il s’agit d’un comportement normal du système. C’est pourquoi nous pouvons retrouver l’interception de données sur le réseau d’écoles.

Il est important que l’interception de données sur le réseau à l’école ne se fasse pas en contradiction avec les principes fondamentaux du droit ainsi que les lois visant à protéger les particuliers.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Celles-ci portent à la fois la protection de la vie privée (I) et sur la protection des données à caractère personnel (II).

Le développement de l’informatique a permis de nouveaux comportements. Ainsi, la pratique du sniff consistant à intercepter les données circulant sur un réseau. Le sniff ou sniffing est l’action de surveiller le trafic sur un réseau à l’aide de drones appelés  » sniffers  » parfois à l’insu des utilisateurs et des administrateurs.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Appelé  » analyseur de protocole  » voire encore  » analyseur de réseau « , il est devenu un terme populaire, il est le plus utilisé de nos jours. Les élèves ont alors adopté cette technique afin d’intercepter les données sur le réseau de l’école (ce sont les écoles qui interceptent les données sur le réseau de l’école ou plutôt l’école qui intercepte les données des élèves sur le réseau de l’école ?).

I. La protection des correspondances et la vie privée

Destinés à protéger tous les deux la vie privée, on observe une dissociation des régimes juridiques sur le sujet avec l’apparition d’une législation spécifique relative au secret des correspondances (A) qui vient compléter la législation générale relative à la vie privée (B).

A) Le secret des correspondances

C’est la loi du 10 juillet 1991 qui protège les correspondances émises par la voie des télécommunications. Avant cette date, ce sont les dispositions relatives à la vie privée (notamment l’article 9 du Code civil) qui fondaient leur régime de protection. Aujourd’hui le Code pénal prévoit dans son article 226-15 des sanctions aux atteintes au secret des correspondances.

En vertu de l’article 226-15 dans son alinéa deux prévoit explicitement le cas des télécommunications en disposant « Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions. ». (1)

Ces dispositions instaurent un régime strict de secret relatif à ces correspondances émises par la voie des télécommunications.

La peine prévue par l’article 226-15 alinéa premier concernant toute atteinte au secret des correspondances est « d’un an d’emprisonnement et de 45 000 euros d’amende. », on peut donc voir que les peines sont très lourdes.

Le principe est donc simple : il est interdit d’intercepter les correspondances. Ceci concerne donc sur un réseau d’école tous les mails qui circulent sur le réseau de l’école.

Le fait de prévoir de telles surveillances dans le règlement intérieur de l’école ne change rien au problème, la seule possibilité serait la divulgation par la personne de son courrier, mais ceci ne peut pas lui être imposé.

B) La vie privée

Prévue par l’article 9 du Code civil, la notion de vie privée  est une notion à géométrie variable. En effet, les textes n’apportent pas de définition stricte. Ainsi, il appartient au juge de définir au cas par cas son contenu.

La jurisprudence estime qu’est illicite toute immixtion arbitraire dans la vie privée d’autrui et que le fait de se faire épier, surveiller et suivre est une immixtion illicite.

S’agissant de l’interception de données sur le réseau de l’école, on peut légitimement penser que l’interception des différentes communications telles que les chats par exemple sont clairement protégés par la vie privée, ensuite pour le reste l’interception du surf des internautes peut être, en fonction des circonstances, être rattaché ou non à la vie privée.

Le régime juridique permet comme pour le secret des correspondances de s’opposer à l’interception et à l’utilisation des éléments de la vie privée, l’article 9 du Code civil autorise ainsi le juge à prendre toutes les mesures nécessaires pour faire cesser l’atteinte à la vie privée.

Le régime de la protection de la vie privée va permettre de combler les lacunes relatives au secret des correspondances qui ne protège qu’une partie des données circulant sur le réseau, la vie privée étant une notion plus large, elle permettra d’élargir le champ d’application et de protection de la loi.

L’école ne pourra pas, par conséquent, intercepter les informations qui touchent à la vie privée sur son réseau.

La loi n° 2018-493 relative à la protection des données personnelles est entrée en vigueur le 20 juin 2018. Cette dernière a modifié l’article 6 de la loi informatique et liberté du 6 janvier 1978 qui dispose désormais « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

II. La protection des données à caractère personnel

La notion de données à caractère personnel est une notion communautaire correspondant à celle d’information nominative en droit interne et qui recouvre toutes les informations concernant une personne identifiée ou identifiable.

Divers éléments peuvent y être placés tels que l’adresse IP, le login et le mot de passe utilisateur, qui permettent en pratique d’identifier l’utilisateur de l’ordinateur.

Ces différentes données sont donc soumises à la loi informatique et liberté en droit interne et aux diverses directives communautaires sur le sujet.

La législation sur les données à caractère personnel n’empêche pas la collecte et l’utilisation de ces données, contrairement à la législation sur la vie privée et le secret des correspondances. L’objectif de ces textes est d’encadrer les traitements de ces données.

Si une école par ses interceptions de données, capte et/ou utilise des données à caractère personnel ce qui est évident, car elle devra identifier les auteurs ou destinataires des données qu’elle intercepte, alors elle devra suivre les règles relatives à ces données qui se traduisent par deux aspects : les obligations de l’école (B) et les droits des personnes dont les données sont interceptées (C). Mais il ne faut pas oublier que certaines des personnes concernées sont des mineurs et que le régime peut être un peu différent les concernant (A).

A) Les données personnelles et les mineurs

Aucune disposition spécifique relative aux mineurs n’est prévue par le régime de la loi de 1978 . La doctrine semble aussi divisée sur le sujet, par conséquent la CNIL s’est saisie du problème.

A cet égard, la CNIL a émis des recommandations après consultation de l’ensemble des personnes concernées aussi bien les responsables de traitements que les associations de protection de l’enfance. Il en ressort que la CNIL recommande lors des traitements de données personnelles concernant les mineurs l’accord des parents.

Elle rappelle, de manière encore plus insistante que pour les traitements concernant les majeurs, la nécessité de respecter le principe de finalité.

Le Règlement général sur la Protection des Données, quant à lui, consacre dans son article 8 une place importante à la protection des données personnelles des mineurs parce qu’ils « peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel ». En effet cet article dispose que : « le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans. Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant ». (2)

B) Les obligations de l’école interceptant les données

Le principe de déclaration ou d’autorisation préalable désigne le fait que tout traitement de données à caractère personnel, doit faire l’objet d’une déclaration préalable dans le cadre d’une entreprise de droit privé et d’autorisation préalable pour les établissements publics auprès de la commission nationale informatique et liberté. Cette déclaration ou autorisation doit préciser les caractéristiques du traitement notamment son contenu et sa finalité.

Les données doivent être traitées loyalement et licitement : la notion de licéité ne fait pas de problème, c’est un simple renvoi aux textes. La loyauté renvoie à un examen au cas par cas du contexte et du comportement. Elle traduit le principe selon lequel il ne faut pas tromper les personnes concernées. En l’espèce l’école doit donc intercepter les données sans le cacher et ne pas non plus tenter de masquer l’utilisation réelle qui est faite des données collectées.

Les données doivent être traitées pour des finalités déterminées, explicites et légitimes : La violation du principe de finalité est sanctionnée par la responsabilité de droit commun qui se traduira par une demande de dommage intérêts, mais en plus il peut y avoir un recoupement avec l’article 226-21 du code pénal qui sanctionne le détournement de finalité.

Les données doivent être adéquates, non excessives et pertinentes au regard de la finalité

Les données doivent être exactes et si nécessaires mises à jour

Les informations ne doivent être conservées que le temps nécessaire à la réalisation de la finalité

Obligation d’information : cette obligation a pour but d’établir une certaine transparence. Le responsable du traitement doit donner des informations aux personnes concernées. Ces informations doivent permettre à la personne concernée de connaître l’existence du traitement et donc de mettre en œuvre tous ses autres droits.

Un règlement européen qui encadre la protection des données personnelles a été adopté par le parlement européen en avril 2016 et est entré en vigueur le 25 mai 2018. Il s’agit du règlement général sur la protection des données (RGPD). Il impose de nouvelles obligations pour ceux qui collectent et traitent ces données. Il prévoit que dans chaque académie un délégué à la protection des données devra être désigné. Son rôle sera de veiller au respect du cadre légal concernant la protection des données.

Des principes clés ont été mis en place à destination des professeurs des établissements scolaires pour leur permettre de respecter du mieux possible le RGPD. 10 principes clés ont ainsi été créés dans cette optique. Ces principes ont été répertoriés dans une infographie intitulée « 10 principes clés pour protéger les données de vos élèves. » Pour les personnes qui le souhaitent, il est également possible de demander conseil auprès d’un délégué académique à la protection des données. Pour cela il suffit de se rendre sur le site suivant : https://education.gouv.fr/RGPD

C) Les droits des personnes dont les données sont interceptées

Il est indispensable que l’élève ait la capacité de contrôler les informations interceptées le concernant, ainsi que du contrôler leur qualité. Cela étant, il s’agit d’un droit qui implique une attitude active de sa part.

L’élève a le droit de s’informer. En d’autres termes, il peut demander à l’école si elle traite des données à caractère personnel à son sujet. Si l’école refuse de répondre à la demande, elle s’expose à une contravention de 5e catégorie.

Il dispose également du droit d’accès à l’information : toute personne a le droit d’accéder à toutes les données personnelles le concernant, et faisant l’objet d’un traitement. C’est le droit principal de l’élève concernée par l’interception. Il va donc pouvoir consulter auprès de l’école, l’ensemble des données qu’elle détient à son sujet. Il n’y a pas de conditions particulières à cette demande, l’élève peut donc choisir la forme de sa demande.

L’élève dispose d’un droit de contestation et d’obtention de rectification des données personnelles le concernant.

Enfin, il a le droit de s’opposer au traitement de données à caractère personnel qui désigne le droit que toute personne physique a de s’opposer pour des raisons légitimes à ce que des données nominatives le concernant fassent l’objet d’un traitement. Avant comme pendant, à tout moment, même si l’on a accepté avant. La loi n’impose pas une information pour dire qu’il existe un droit d’opposition. Le non-respect de ce droit est puni par l’article 226-18-1 du Code pénal qui dispose que : « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. »

Conclusion :

À travers ce panorama des réglementations s’appliquant dans le cadre de l’interception des données par une école sur son réseau, il est force de constater qu’au-delà des données dont la conservation est parfaitement interdite, les autres données obéissent à un régime très contraignant.

Il s’avère, par conséquent, que l’intérêt d’une telle interception est bien faible par rapport aux risques pris. La quasi-totalité des violations des textes vus précédemment est sanctionnée par des peines pénales de prison ou d’amende, mais parallèlement à ces peines, les victimes de ces violations pourront réclamer à l’école des dommages – intérêts pour d’éventuels préjudices subis.

Pour lire une version plus complète de l’interception des données à l’école, cliquez

Sources