protection des données personnelles

La protection des données dans les contrats de services informatiques transfrontaliers

L’évolution rapide des technologies de l’information et de la communication a transformé le paysage des services informatiques, permettant aux entreprises de fournir des services et de stocker des données à l’échelle mondiale. Cependant, cette expansion transfrontalière des services informatiques a soulevé des préoccupations majeures en matière de protection des données personnelles.  

NOUVEAU : Utilisez nos services pour faire rédiger un contrat en passant par le formulaire !

La protection des données est un sujet brûlant dans le monde d’aujourd’hui, et les lois sur la protection des données sont de plus en plus strictes pour garantir la confidentialité et la sécurité des informations personnelles. Cela a des implications significatives pour les contrats de services informatiques transfrontaliers, car ils impliquent souvent la collecte, le stockage et le traitement de données personnelles.

L’application des lois sur la protection des données dans les contrats de services informatiques transfrontaliers pose des défis uniques. Tout d’abord, il y a souvent une différence entre les lois sur la protection des données des pays d’origine et ceux du pays où les services sont fournis. Cela crée une tension entre la nécessité de se conformer aux lois du pays d’origine et celle de respecter les lois du pays d’accueil.

De plus, les contrats de services informatiques transfrontaliers impliquent souvent plusieurs parties, dont certaines peuvent être situées dans des pays différents. Cela complique davantage l’application des lois sur la protection des données, car chaque pays peut avoir ses propres règles et réglementations en matière de protection des données.

En outre, les lois sur la protection des données évoluent rapidement, ce qui rend difficile la mise en conformité des contrats de services informatiques transfrontaliers sur le long terme. Les entreprises doivent être constamment vigilantes et s’adapter aux nouvelles lois et réglementations pour éviter les sanctions potentielles et les atteintes à la réputation.

Pour faire face à ces défis, les entreprises doivent adopter une approche proactive en matière de protection des données dans les contrats de services informatiques transfrontaliers. Cela implique de mener des évaluations approfondies de la conformité aux lois sur la protection des données, de mettre en place des mesures de sécurité robustes pour protéger les informations personnelles, et d’établir des mécanismes clairs de responsabilité et de gouvernance des données.


Besoin de l’aide d’un avocat pour un problème de contrat?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


L’application des lois sur la protection des données dans les contrats de services informatiques transfrontaliers est un défi complexe mais essentiel. Les entreprises doivent être conscientes des réglementations en vigueur dans les pays concernés, mettre en place des mesures de conformité efficaces et être prêtes à s’adapter aux évolutions législatives. En agissant de manière proactive, les entreprises peuvent non seulement se conformer aux lois sur la protection des données, mais aussi gagner la confiance des clients et préserver leur réputation dans un monde de plus en plus axé sur la confidentialité et la sécurité des données.

I. Pourquoi protéger les données personnelles ?

A. Contexte général

Dans le contexte général de l’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers, il est essentiel de comprendre que les données personnelles sont devenues un enjeu majeur dans l’économie numérique mondiale. Avec la numérisation croissante des services et des échanges transfrontaliers, les entreprises doivent se conformer à un ensemble complexe de réglementations sur la protection des données pour assurer la confidentialité et la sécurité des informations personnelles de leurs utilisateurs.

Les contrats de services informatiques transfrontaliers impliquent souvent le transfert de données à caractère personnel entre différentes juridictions, ce qui soulève des défis en matière de conformité aux lois nationales et internationales sur la protection des données. Cela nécessite une attention particulière aux clauses contractuelles, aux mécanismes de transfert de données et aux mesures de sécurité pour garantir le respect des droits des individus et éviter les risques associés à la non-conformité.

B. L’importance de la protection des données personnelles dans les services informatiques transfrontaliers

L’importance de la protection des données personnelles dans les services informatiques transfrontaliers ne peut être sous-estimée. Les données personnelles sont des informations sensibles qui peuvent révéler des détails intimes sur les individus, tels que leur identité, leurs préférences, leurs habitudes d’achat et leur historique médical.

La collecte, le traitement et le stockage de ces données nécessitent une attention particulière pour garantir la confidentialité et la sécurité des personnes concernées.

Tout d’abord, la protection des données personnelles est un droit fondamental. Les individus ont le droit de contrôler leurs propres informations personnelles et de décider comment elles sont utilisées.

Les lois sur la protection des données ont été mises en place pour garantir que les entreprises respectent ces droits et traitent les données personnelles de manière éthique et légale. De plus, la protection des données personnelles est essentielle pour maintenir la confiance des utilisateurs et des clients.

Les violations de données et les atteintes à la vie privée peuvent avoir des conséquences graves pour les individus concernés, tant sur le plan financier que sur le plan émotionnel. Les entreprises qui ne parviennent pas à protéger les données personnelles risquent de perdre la confiance de leurs clients et de leur réputation. Dans le contexte des services informatiques transfrontaliers, où les données peuvent être transférées entre différents pays, il est d’autant plus important de garantir la protection des données personnelles.

Les lois sur la protection des données varient d’un pays à l’autre, ce qui rend complexe la mise en conformité avec les réglementations dans chaque juridiction. Les entreprises doivent donc être conscientes des exigences légales dans chaque pays où elles opèrent et prendre les mesures nécessaires pour garantir la conformité.

En outre, les services informatiques transfrontaliers peuvent impliquer le traitement de données sensibles dans des secteurs tels que la santé, les finances et les ressources humaines. Ces données nécessitent une protection accrue en raison de leur nature sensible et de leur potentiel d’impact sur la vie des individus. La violation de la confidentialité de ces données peut entraîner des conséquences graves, y compris des préjudices physiques, financiers ou psychologiques. Enfin, la protection des données personnelles est également importante d’un point de vue éthique. Les entreprises ont la responsabilité de traiter les données personnelles de manière équitable et transparente, en respectant les principes de minimisation des données, de finalité spécifique et de sécurité. Cela implique de mettre en place des mesures de sécurité appropriées pour prévenir les accès non autorisés, les pertes ou les fuites de données.

En somme, la protection des données personnelles dans les services informatiques transfrontaliers est essentielle pour respecter les droits fondamentaux des individus, maintenir la confiance des utilisateurs et des clients, se conformer aux réglementations, protéger les données sensibles et agir de manière éthique. Les entreprises doivent donc accorder une attention particulière à la protection des données personnelles et mettre en place les mesures appropriées pour garantir la confidentialité et la sécurité des informations personnelles.

II. Réglementation des données personnelles

A. Principes généraux de protection des données

  1. Consentement éclairé et volontaire

Le consentement éclairé et volontaire est l’un des principes fondamentaux de protection des données personnelles. Il stipule que les individus doivent donner leur consentement de manière claire, spécifique et librement donné avant que leurs données personnelles ne soient collectées, traitées ou transférées. Les entreprises doivent obtenir un consentement explicite et informé, et offrir la possibilité de retirer ce consentement à tout moment.

  1. Collecte limitée et finalité spécifique

Ce principe stipule que les données personnelles ne doivent être collectées que de manière adéquate, pertinente et limitée à ce qui est nécessaire pour atteindre un objectif spécifique. Les entreprises doivent informer les individus de la finalité de la collecte de leurs données et ne doivent pas utiliser ces données à d’autres fins sans obtenir un consentement supplémentaire.

  1. Exactitude et mise à jour des données

Il est essentiel de garantir l’exactitude et la mise à jour des données personnelles. Les entreprises doivent prendre des mesures raisonnables pour s’assurer que les données personnelles qu’elles détiennent sont exactes, complètes et à jour. Les individus ont le droit de demander la rectification ou la suppression de leurs données incorrectes ou obsolètes.

  1. Sécurité et confidentialité des données

La sécurité et la confidentialité des données personnelles sont des principes clés de protection des données. Les entreprises doivent mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites. Cela peut inclure l’utilisation de technologies de cryptage, de pare-feu et de contrôles d’accès.

  1. Conservation limitée dans le temps

Ce principe stipule que les données personnelles ne doivent être conservées que pendant la durée nécessaire pour atteindre la finalité pour laquelle elles ont été collectées. Les entreprises doivent définir des périodes de conservation appropriées et supprimer les données personnelles une fois qu’elles ne sont plus nécessaires, sauf si la loi l’exige autrement.

En conclusion, l’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers nécessite de respecter les principes généraux de protection des données. Le consentement éclairé et volontaire, la collecte limitée et la finalité spécifique, l’exactitude et la mise à jour des données, la sécurité et la confidentialité des données, ainsi que la conservation limitée dans le temps sont autant de principes essentiels pour garantir la protection des données personnelles.

Les entreprises doivent intégrer ces principes dans leurs pratiques et leurs contrats afin de respecter les droits fondamentaux des individus et de se conformer aux réglementations en matière de protection des données.

B. Cadre juridique international et européen

Le cadre juridique international et européen en matière de protection des données personnelles joue un rôle crucial dans la régulation des contrats de services informatiques transfrontaliers. En particulier, le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, entré en vigueur en 2018, établit des principes et des obligations clés pour le traitement des données personnelles, y compris les transferts de données en dehors de l’UE.

Dans le contexte international, des accords et des normes tels que le Privacy Shield entre l’UE et les États-Unis, ou les clauses contractuelles types de la Commission européenne, offrent des mécanismes pour encadrer les transferts transfrontaliers de données personnelles.

Il est essentiel pour les entreprises d’opérer dans le respect de ces réglementations pour éviter les sanctions potentielles, garantir la confiance des clients et maintenir des relations commerciales solides à l’échelle internationale. Ainsi, la conformité aux normes européennes et internationales en matière de protection des données personnelles est un aspect crucial à prendre en compte lors de la rédaction et de la gestion des contrats de services informatiques transfrontaliers..

  1. Implications pour les contrats transfrontaliers de services informatiques

Les lois sur la protection des données personnelles ont des implications importantes pour les contrats transfrontaliers de services informatiques. Voici quelques points clés à prendre en compte :

  1. Juridiction applicable :

Lorsqu’un contrat de service informatique est conclu entre des parties situées dans des pays différents, il est important de déterminer quelle juridiction est applicable en matière de protection des données. Chaque pays a ses propres lois et réglementations en la matière, et il est essentiel de s’assurer que le contrat est conforme à ces lois.

  1. Transfert de données personnelles :

Les contrats de services informatiques peuvent impliquer le transfert de données personnelles entre les parties. Dans ce cas, il est nécessaire de respecter les règles de transfert de données transfrontalier, telles que les clauses contractuelles types ou les mécanismes de certification, afin de garantir un niveau adéquat de protection des données.

  1. Responsabilité du sous-traitant :

Si le prestataire de services informatiques sous-traite certaines activités à des sous-traitants situés dans d’autres pays, il est important de s’assurer que ces sous-traitants respectent également les lois sur la protection des données. Le contrat devrait prévoir des clauses spécifiques concernant la responsabilité du sous-traitant en matière de protection des données.

  1. Consentement des utilisateurs :

Les lois sur la protection des données exigent souvent que les utilisateurs donnent leur consentement éclairé pour le traitement de leurs données personnelles. Les contrats de services informatiques doivent donc inclure des dispositions permettant de recueillir et de gérer efficacement le consentement des utilisateurs

  1. Sécurité des données :

Les contrats de services informatiques doivent prévoir des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les divulgations ou les pertes. Il est important d’identifier les normes de sécurité appropriées et de veiller à ce que le prestataire de services informatiques les respecte.

III. Conséquences de la non-conformité

A. Sanctions et amendes

En cas de non-conformité aux lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers, il y a plusieurs conséquences possibles. Voici quelques-unes des actions correctives et mesures à prendre :

  1. Notification des autorités de protection des données :

En cas de violation de la législation sur la protection des données, il est souvent nécessaire de notifier les autorités compétentes. Cela peut impliquer de fournir des détails sur la violation et les mesures prises pour y remédier.

  1. Communication aux parties concernées :

Si la non-conformité a un impact sur les données personnelles des individus, il peut être nécessaire d’informer les personnes concernées de la violation et des mesures prises pour remédier à la situation.

  1. Révision des contrats :

Il peut être nécessaire de revoir les contrats de services informatiques transfrontaliers pour s’assurer qu’ils sont conformes aux lois sur la protection des données. Cela peut impliquer de mettre en place des clauses spécifiques pour garantir la sécurité et la confidentialité des données.

  1. Mise en place de mesures de sécurité :

Il est important de prendre des mesures pour remédier aux failles de sécurité qui ont conduit à la non-conformité. Cela peut inclure la mise en place de mesures de sécurité techniques et organisationnelles pour protéger les données personnelles.

  1. Sanctions et amendes :

Selon la gravité de la non-conformité, des sanctions et amendes peuvent être imposées par les autorités compétentes. Il est donc essentiel de se conformer aux lois sur la protection des données pour éviter de telles sanctions. Il est important de noter que les mesures à prendre en cas de non-conformité peuvent varier en fonction de la législation applicable et de la gravité de la violation. Il est recommandé de consulter des experts juridiques spécialisés dans la protection des données pour obtenir des conseils spécifiques à votre situation.

L’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers est essentielle pour garantir la protection des données des utilisateurs et respecter les obligations légales. En cas de non-conformité aux lois sur la protection des données personnelles, plusieurs conséquences peuvent survenir, notamment :

  1. Sanctions administratives :

Les autorités de protection des données peuvent imposer des sanctions administratives, telles que des avertissements, des amendes administratives, des restrictions d’activités, voire la suspension ou la révocation des autorisations ou licences.

  1. Amendes financières :

Les amendes financières peuvent être imposées en cas de violation des lois sur la protection des données. Le montant de ces amendes peut varier en fonction de la gravité de la violation et des dispositions légales applicables dans chaque juridiction. Dans certains cas, les amendes peuvent atteindre un pourcentage significatif du chiffre d’affaires annuel de l’entreprise.

  1. Responsabilité civile :

En cas de violation des droits des personnes concernées, les entreprises peuvent être tenues responsables devant les tribunaux civils et peuvent faire l’objet de poursuites en dommages et intérêts. Les personnes concernées peuvent demander une indemnisation pour le préjudice subi en raison de la violation de leurs droits.

  1. Réputation et confiance :

La non-conformité aux lois sur la protection des données peut entraîner une atteinte à la réputation de l’entreprise. Les violations de la confidentialité et de la sécurité des données peuvent affecter la confiance des clients et des partenaires commerciaux, ce qui peut avoir un impact négatif sur les activités de l’entreprise à long terme. Il est donc crucial pour les entreprises de se conformer aux lois sur la protection des données personnelles et d’intégrer des mesures de sécurité et de confidentialité appropriées dans leurs contrats de services informatiques transfrontaliers. Cela permet de réduire les risques de non-conformité et de garantir la protection des données personnelles des utilisateurs.

B. Impact sur la réputation et la confiance des clients

La non-conformité aux lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers peut avoir de graves conséquences sur la réputation et la confiance des clients. Voici quelques-unes de ces conséquences :

  1. Perte de confiance des clients :

Lorsqu’une entreprise ne se conforme pas aux lois sur la protection des données, cela peut entraîner une perte de confiance de la part de ses clients. Les clients sont de plus en plus préoccupés par la confidentialité et la sécurité de leurs données personnelles, et ils attendent des entreprises qu’elles les protègent de manière adéquate. En ne respectant pas ces attentes, une entreprise risque de perdre ses clients existants et de faire fuir de potentiels nouveaux clients.

  1. Réputation ternie :

Une violation des lois sur la protection des données peut entraîner une réputation ternie pour une entreprise. Les médias et les réseaux sociaux peuvent rapidement se saisir de ces violations et en faire la une des journaux. Cela peut nuire à la réputation de l’entreprise, qui peut être perçue comme irresponsable ou peu fiable en matière de protection des données. Cette mauvaise réputation peut être difficile à rétablir et peut avoir un impact à long terme sur la croissance de l’entreprise.

  1. Sanctions financières :

Outre les amendes financières dont nous avons parlé précédemment, la non-conformité aux lois sur la protection des données peut entraîner d’autres sanctions financières. Par exemple, une entreprise peut être tenue de payer des indemnités aux personnes dont les données ont été compromises ou exploitées de manière non autorisée. Ces indemnisations peuvent être coûteuses et avoir un impact financier significatif sur l’entreprise.

  1. Actions en justice :

Les violations des lois sur la protection des données peuvent également donner lieu à des actions en justice de la part des personnes dont les données ont été affectées. Les clients mécontents peuvent intenter des actions en justice pour demander des dommages et intérêts, ce qui peut entraîner des coûts supplémentaires et une exposition médiatique négative pour l’entreprise.

C. Actions correctives et mesures à prendre en cas de non-conformité

Pour remédier aux failles de sécurité qui ont conduit à la non-conformité aux lois sur la protection des données, voici quelques mesures de sécurité à prendre :

  1. Évaluation des risques :

Effectuer une évaluation approfondie des risques liés à la sécurité des données personnelles afin de comprendre les vulnérabilités et les menaces potentielles.

  1. Mise en place de politiques de sécurité :

Élaborer et mettre en œuvre des politiques de sécurité claires et exhaustives qui définissent les procédures et les bonnes pratiques à suivre pour protéger les données personnelles.

  1. Formation du personnel :

Sensibiliser et former le personnel sur les bonnes pratiques de sécurité des données, y compris l’importance de la confidentialité, de la protection des mots de passe, de l’utilisation sécurisée des systèmes et des outils, etc.

  1. Contrôles d’accès :

Mettre en place des contrôles d’accès stricts pour limiter l’accès aux données personnelles uniquement aux personnes autorisées. Cela peut inclure l’utilisation de mots de passe sécurisés, d’authentification à plusieurs facteurs et de contrôles de privilèges d’accès.

  1. Chiffrement des données :

Utiliser le chiffrement pour protéger les données personnelles sensibles, tant en transit que lorsqu’elles sont stockées. Cela peut aider à prévenir l’accès non autorisé aux données en cas de compromission des systèmes.

  1. Gestion des incidents de sécurité :

Mettre en place un processus de gestion des incidents de sécurité qui permet de détecter, de signaler et de répondre rapidement aux violations de sécurité ou aux incidents de données personnelles.

  1. Vérification régulière :

Effectuer des audits et des vérifications régulières pour s’assurer que les mesures de sécurité sont mises en œuvre correctement et sont efficaces.

  1. Collaboration avec des tiers :

Si vous travaillez avec des partenaires ou des prestataires de services, assurez-vous qu’ils respectent également les normes de sécurité des données personnelles et mettent en place des mesures de sécurité adéquates. Ces mesures de sécurité peuvent aider à renforcer la protection des données personnelles et à prévenir les violations de sécurité. Cependant, il est important de noter que les mesures spécifiques peuvent varier en fonction de la nature des données et des exigences légales applicables.

Pour lire une version plus complète de cet article sur les contrat informatique et les données personnelles  transfrontalière, cliquez

Sources :

  1. La loi Informatique et Libertés | CNIL
  2. Donnée personnelle | CNIL
  3. CHAPITRE I – Dispositions générales | CNIL
  4. Assurer votre conformité en 4 étapes | CNIL
  5. RGPD & Consentement : tout ce qu’il faut savoir | Mailjet
  6. Fuite massive de données personnelles de santé – Protection des données | Dalloz Actualité (dalloz-actualite.fr)

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Validité juridique des testaments numériques et des héritages numériques

Dans notre société de plus en plus numérisée, de nombreuses questions juridiques émergent concernant la validité des testaments et des héritages numériques. Alors que de plus en plus de personnes stockent leurs informations et leurs biens en ligne, il est essentiel de comprendre les implications légales de ces actes.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en passant par le formulaire !

Le testament numérique fait référence à un document juridique qui indique comment une personne souhaite que ses biens numériques soient gérés et distribués après son décès. Ces biens numériques peuvent inclure des comptes de médias sociaux, des fichiers en ligne, des bitcoins et d’autres actifs numériques. Alors que les testaments traditionnels sont généralement rédigés sur papier et conservés physiquement, les testaments numériques sont créés et stockés électroniquement.

La validité juridique des testaments numériques soulève de nombreux défis. Tout d’abord, il est crucial de s’assurer que le testament est authentique et qu’il reflète réellement les souhaits du testateur. La question de l’authenticité peut être résolue par le recours à des mesures de sécurité, telles que l’utilisation de signatures électroniques et de méthodes de cryptage. Cependant, il est important de noter que les lois varient d’un pays à l’autre en ce qui concerne la reconnaissance des signatures électroniques et des testaments numériques.

En outre, il est essentiel de garantir que le testament numérique est clair et non ambigu. Les testateurs doivent être précis sur la distribution de leurs biens numériques et spécifier clairement les bénéficiaires et les conditions de distribution. Cela peut aider à éviter les conflits et les litiges potentiels entre les héritiers. Un autre défi majeur réside dans la préservation et l’accès aux biens numériques après le décès du testateur. Contrairement aux biens physiques qui peuvent être facilement identifiés et transférés aux héritiers, les biens numériques peuvent être dispersés sur différentes plateformes en ligne et nécessitent un accès sécurisé.


Besoin de l’aide d’un avocat pour un problème de succession ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Les testateurs doivent prendre des mesures pour documenter et partager les informations d’identification nécessaires à l’accès à leurs comptes en ligne, tout en veillant à ce que ces informations restent confidentielles et protégées contre les abus.

Enfin, il est important de noter que les lois en matière de testaments et d’héritages numériques sont encore en évolution. De nombreux pays n’ont pas encore adopté de législation spécifique concernant ces questions. Cela crée un terrain juridique complexe et incertain pour les individus qui souhaitent créer des testaments numériques et gérer des héritages numériques.

En France, la loi pour une République numérique, promulguée en 2016, a introduit des dispositions spécifiques pour réglementer l’accès aux héritages numériques. Selon cette loi, les utilisateurs peuvent désigner un « héritier numérique » qui aura accès à leurs comptes numériques après leur décès.

I. Les Testaments Numériques

A. Définition des testaments numériques et leur pertinence dans le monde moderne.

Les testaments numériques, également connus sous le nom de testaments électroniques, sont des documents testamentaires créés et stockés sous forme électronique. Ils visent à exprimer les souhaits d’une personne quant à la distribution de ses biens après son décès, tout en utilisant des moyens numériques pour les rédiger, les stocker et les transmettre.

Dans le monde moderne, l’émergence des testaments numériques est le reflet de la dématérialisation croissante des aspects de notre vie, y compris les questions juridiques et successorales. Avec une grande partie de nos informations et possessions stockées en ligne, il devient de plus en plus pertinent d’envisager la rédaction de testaments numériques pour garantir la transmission correcte des biens et des données numériques après notre décès.

La pertinence des testaments numériques dans le monde moderne réside dans leur capacité à offrir une flexibilité accrue et une accessibilité améliorée par rapport aux testaments traditionnels. Les testaments numériques permettent souvent une mise à jour plus facile et rapide des dispositions testamentaires, ainsi qu’une conservation sécurisée des informations numériques importantes pour les héritiers. Cependant, la validité juridique des testaments numériques soulève des questions complexes en raison de la nécessité de garantir l’authenticité, l’intégrité et la volonté réelle du testateur.

En France, bien que les testaments numériques ne soient pas encore pleinement réglementés, leur reconnaissance et leur validité peuvent dépendre de divers facteurs, tels que l’identification du testateur, la preuve de sa volonté claire et libre de toute pression, et la sécurisation adéquate du document.

Ainsi, les testaments numériques offrent une alternative moderne aux testaments papier traditionnels, mais leur validité juridique nécessite une attention particulière pour s’assurer qu’ils respectent les exigences légales et les normes de sécurité nécessaires pour protéger les droits des parties concernées.

B. Analyse des lois françaises actuelles concernant la validité des testaments numériques.

En France, la validité des testaments numériques est régie par le Code civil, qui reconnaît la liberté de forme pour la rédaction d’un testament. Cela signifie que les testaments peuvent être rédigés sur support électronique, tels que les documents numériques ou les e-mails, et ils sont considérés comme valides s’ils respectent certaines conditions.

Tout d’abord, le testateur doit être en pleine capacité mentale au moment de la rédaction du testament. Cela signifie qu’il doit être capable de comprendre la portée de ses actes et de prendre des décisions en toute lucidité.

De plus, le testateur doit clairement exprimer sa volonté de transmettre ses biens à des bénéficiaires spécifiques. Il est donc important d’être précis et sans équivoque dans la rédaction du testament numérique.

En ce qui concerne la signature du testament numérique, le Code civil permet l’utilisation de la signature électronique pour attester de la validité du document. La signature électronique est définie par le Code civil comme « l’ensemble des données attachées, associées ou logiquement liées à d’autres données électroniques, utilisées par le signataire pour signer ». Ainsi, la signature électronique peut prendre différentes formes, comme un mot de passe, un code PIN, une empreinte digitale ou une signature numérique. Cependant, il convient de noter que la validité des testaments numériques peut être contestée en cas de litige. Par exemple, si des doutes subsistent quant à la capacité mentale du testateur au moment de la rédaction du testament ou si la validité de la signature électronique est remise en question, il est possible que le tribunal examine attentivement les circonstances entourant le testament numérique et prenne une décision en conséquence.

En outre, il est important de souligner que les règles concernant les testaments numériques peuvent varier en fonction des pays.

Il est donc recommandé de consulter un professionnel du droit spécialisé en droit des successions pour obtenir des conseils juridiques spécifiques à votre situation. En conclusion, les lois françaises reconnaissent la validité des testaments numériques, à condition qu’ils respectent les conditions énoncées par le Code civil. Cependant, il est essentiel de prendre en compte les spécificités de chaque situation et de consulter un expert en droit des successions pour s’assurer de la validité juridique d’un testament numérique.

C. Conditions requises pour qu’un testament numérique soit considéré comme valide en France.

Pour qu’un testament numérique soit considéré comme valide en France, plusieurs conditions doivent généralement être remplies. Voici quelques-unes des conditions requises pour qu’un testament numérique soit considéré comme valide en France :

  1. Identification du Testateur : Le testament numérique doit clairement identifier le testateur, la personne qui rédige le testament et exprime sa volonté quant à la distribution de ses biens après son décès. Une identification précise du testateur est essentielle pour garantir l’authenticité du testament.
  2. Manifestation de la Volonté : Le testament numérique doit clairement exprimer la volonté du testateur en ce qui concerne la répartition de ses biens. La volonté du testateur doit être formulée de manière non ambiguë, sans équivoque, et doit refléter ses souhaits de manière précise.
  3. Absence de Pression : Il est crucial que le testateur rédige le testament numérique de manière libre et sans pression extérieure. Tout élément de coercition, de manipulation ou d’influence indue peut remettre en question la validité du testament.
  4. Forme et Contenu : Le testament numérique doit respecter les formes légales requises. Il doit être rédigé dans un format électronique approprié, être daté et signé électroniquement par le testateur. De plus, le contenu du testament doit être complet et détaillé, incluant une liste précise des biens à transmettre et des bénéficiaires désignés.
  5. Sécurisation du Document : Il est crucial de garantir la sécurité et l’intégrité du testament numérique pour éviter toute altération ou manipulation ultérieure. Des mesures de sécurité adéquates doivent être prises pour protéger le document contre toute falsification ou accès non autorisé.
  6. Signature électronique : Le testament numérique doit être signé électroniquement par le testateur. La signature électronique est définie par le Code civil comme « l’ensemble des données attachées, associées ou logiquement liées à d’autres données électroniques, utilisées par le signataire pour signer ».

En respectant ces conditions et en veillant à ce que le testament numérique soit rédigé conformément aux exigences légales en vigueur, il est plus probable que le testament soit considéré comme valide en France.

II. Les Héritages Numériques

A. Explication des héritages numériques et de leur gestion après le décès du titulaire.

Un héritage numérique fait référence à l’ensemble des biens et des données numériques qu’une personne laisse derrière elle après son décès. Il peut s’agir de comptes en ligne, de fichiers numériques, de médias sociaux, de courriels, de photos, de vidéos et d’autres éléments numériques qui ont une valeur sentimentale, financière ou juridique. La gestion d’un héritage numérique après le décès du titulaire peut être complexe et soulève plusieurs questions juridiques et pratiques.

Voici quelques éléments à prendre en compte :

  1. Identification des actifs numériques : Il est important de dresser une liste complète des comptes en ligne, des appareils électroniques et des fichiers numériques que le défunt possédait. Cela peut inclure les médias sociaux, les comptes de messagerie, les comptes bancaires en ligne, les plateformes de streaming, les services de stockage en ligne, etc.
  2. Accès aux comptes : Pour gérer les héritages numériques, il est essentiel d’avoir accès aux comptes en ligne du défunt. Il peut être nécessaire de fournir des documents légaux, tels qu’un certificat de décès, pour obtenir l’accès à certains comptes. Certaines plateformes offrent également des procédures spécifiques pour gérer les comptes d’une personne décédée.
  3. Désignation d’un exécuteur numérique : Il peut être utile de désigner une personne de confiance comme exécuteur numérique dans votre testament ou dans un document spécifique. Cette personne sera chargée de gérer vos actifs numériques après votre décès, en respectant vos souhaits et en se conformant aux règles et politiques des différentes plateformes.
  4. Transfert ou suppression des comptes : En fonction de vos souhaits et des politiques des différentes plateformes, il peut être nécessaire de transférer les comptes à un bénéficiaire désigné ou de les supprimer. Certains services offrent également la possibilité de conserver les comptes en tant que mémorial ou de les fermer définitivement.
  5. Protection des données sensibles : Il est important de prendre des mesures pour protéger les données sensibles du défunt, telles que les informations financières ou les informations personnelles. Cela peut inclure la suppression des données, le changement des mots de passe ou le transfert des informations à des bénéficiaires désignés. Il convient de noter que les lois et les politiques concernant les héritages numériques varient d’un pays à l’autre.

La gestion des héritages numériques après le décès d’une personne peut être complexe. Il est important de dresser une liste des actifs numériques, d’obtenir l’accès aux comptes en ligne, de désigner un exécuteur numérique et de prendre des mesures pour protéger les données sensibles.

B. Présentation des dispositions légales en France régissant la transmission des données numériques.

En France, la question de la transmission des héritages numériques est devenue de plus en plus pertinente avec la numérisation croissante de nos vies. Les données numériques telles que les comptes en ligne, les médias sociaux, les documents stockés sur le cloud et autres actifs numériques peuvent avoir une grande valeur sentimentale et financière pour les héritiers. Afin de régir la transmission de ces héritages numériques, la France a mis en place des dispositions légales spécifiques :

  1. Loi pour une République Numérique (2016) : Cette loi a introduit des dispositions relatives à la gestion des données numériques après le décès d’une personne en France. Elle permet aux utilisateurs de services en ligne de désigner une personne de confiance chargée de gérer leurs données après leur décès.
  2. Règlement Général sur la Protection des Données (RGPD) : Le RGPD, en vigueur dans l’Union européenne, inclut des dispositions sur la protection des données personnelles, y compris après le décès de l’individu. Les héritiers peuvent avoir des droits spécifiques concernant les données personnelles du défunt.
  3. Legs Numérique : La notion de « legs numérique » est émergente et vise à reconnaître les actifs numériques comme faisant partie de la succession. Il peut être judicieux d’inclure des dispositions spécifiques concernant la gestion et la transmission des actifs numériques dans un testament.
  4. Politiques des Fournisseurs de Services en Ligne : Certains fournisseurs de services en ligne ont des politiques spécifiques concernant la gestion des comptes après le décès de l’utilisateur. Il est important de connaître ces politiques et de prendre des mesures pour faciliter la transmission des données numériques.

En résumé, la France a mis en place des cadres juridiques et des dispositions visant à régir la transmission des héritages numériques. Il est recommandé aux individus de planifier la gestion de leurs données numériques après leur décès en prenant en compte ces aspects légaux et en communiquant clairement leurs souhaits à leurs héritiers.

C. Recommandations pour une planification efficace des héritages numériques.

La planification efficace des héritages numériques est devenue de plus en plus importante à mesure que nos vies deviennent de plus en plus numériques. Voici quelques recommandations pour une planification efficace des héritages numériques en France :

  1. Inventaire des Actifs Numériques : Commencez par dresser un inventaire de tous vos actifs numériques, tels que les comptes en ligne, les médias sociaux, les comptes bancaires en ligne, les documents stockés sur le cloud, les photos, les vidéos, etc. Identifiez les éléments de valeur et ceux qui pourraient nécessiter une gestion spécifique.
  2. Désignation d’un Exécuteur Numérique : Désignez une personne de confiance chargée de gérer vos actifs numériques après votre décès. Assurez-vous de lui fournir toutes les informations nécessaires pour accéder à vos comptes en ligne et gérer vos données numériques conformément à vos souhaits.
  3. Rédaction d’un Testament Numérique : Si vous avez des actifs numériques importants, envisagez de rédiger un testament numérique spécifiant comment vous souhaitez que vos données numériques soient gérées et transmises après votre décès. Consultez un professionnel du droit pour vous assister dans cette démarche.
  4. Informations et Instructions Claires : Fournissez des instructions claires à votre exécuteur numérique sur la manière de gérer vos actifs numériques, y compris la suppression de comptes, la conservation de souvenirs numériques, ou la transmission de certaines données à des proches.
  5. Conservation des Mots de Passe : Assurez-vous que votre exécuteur numérique a accès à vos mots de passe et informations d’identification nécessaires pour accéder à vos comptes en ligne. Vous pouvez utiliser des gestionnaires de mots de passe pour stocker et partager ces informations en toute sécurité.
  6. Mise à Jour Régulière : Pensez à mettre à jour régulièrement votre planification des héritages numériques en fonction des changements dans votre vie numérique, tels que la création de nouveaux comptes en ligne, la modification des mots de passe, etc.

En suivant ces recommandations et en planifiant efficacement la gestion de vos héritages numériques, vous pouvez faciliter la transmission de vos données numériques après votre décès et garantir qu’elles sont gérées conformément à vos souhaits.

Pour lire un article plus complet sur les testaments et héritages numériques, cliquez

Sources :

LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique (1) – Légifrance (legifrance.gouv.fr)
Le cadre européen | CNIL

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :