vie privée

Vente de base de données personnelles

Peux-t-on vendre une base de données sensibles ?

NOUVEAU : Utilisez nos services pour faire protéger votre vie privée en passant par le formulaire !

Dans un arrêt récent, l’avocat général Priit Pikamäe a abordé une question juridique complexe concernant la vente d’une base de données à caractère personnel dans le cadre d’une procédure d’exécution forcée. Selon ses conclusions du 22 février 2024 dans l’affaire C-693/22, il soutient que, sous certaines conditions, une telle vente peut être autorisée, même si les personnes concernées par ces données n’ont pas donné leur consentement. Cette décision a suscité de vifs débats quant à la protection des données personnelles et aux droits des personnes concernées.

Ces conclusions viennent clarifier les questions juridiques entourant cette pratique, qui soulève des enjeux importants en matière de protection des données personnelles. Dans son avis, l’avocat général souligne tout d’abord que la vente d’une base de données à caractère personnel dans le cadre d’une procédure d’exécution forcée doit être encadrée par des garanties solides pour protéger les droits fondamentaux des personnes concernées.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Il souligne que le respect de la vie privée et de la protection des données personnelles sont des principes essentiels qui doivent être pris en compte tout au long de la procédure. L’avocat général soulève également la question de la légitimité de la vente d’une base de données à caractère personnel dans le cadre d’une procédure d’exécution forcée. Il met en avant le fait que la vente de données personnelles doit être justifiée par un intérêt légitime et proportionné, et qu’elle ne doit pas être utilisée de manière abusive ou excessive. De plus, l’avocat général souligne l’importance de garantir la transparence et l’information des personnes concernées lors de la vente d’une base de données à caractère personnel.

Les personnes doivent être informées de manière claire et compréhensible sur la nature de la vente, sur les données personnelles qui sont concernées, ainsi que sur leurs droits en matière de protection des données. Enfin, l’avocat général souligne l’importance de prévoir des voies de recours efficaces pour les personnes concernées en cas de violation de leurs droits en matière de protection des données. Il souligne que les personnes doivent avoir la possibilité de contester la vente de leurs données personnelles et d’obtenir réparation en cas de préjudice subi.

Les conclusions de l’avocat général Priit Pikamäe mettent en lumière les enjeux importants liés à la vente d’une base de données à caractère personnel dans le cadre d’une procédure d’exécution forcée. Elles soulignent la nécessité de garantir le respect des droits fondamentaux des personnes concernées, notamment en matière de protection des données personnelles. Il est essentiel de mettre en place des garanties solides pour encadrer cette pratique et de prévoir des voies de recours efficaces pour les personnes concernées.

I. Conditions pour la vente de bases de données à caractère personnel en cas d’exécution forcée

A. Présentation de la position de l’avocat général Priit Pikamäe

Dans une décision récente de l’avocat général Priit Pikamäe, la question de la vente de bases de données à caractère personnel dans le cadre d’une procédure d’exécution forcée a été examinée. Cette position soulève des débats houleux quant à la protection des données personnelles et aux limites de leur utilisation sans le consentement des individus concernés.

**Contexte de la décision** L’affaire C-693/22 a mis en lumière la question délicate de la vente de bases de données à caractère personnel sans le consentement des personnes impliquées. Cette affaire a attiré l’attention sur les enjeux éthiques et juridiques entourant la propriété et l’utilisation des données personnelles dans le cadre d’une procédure d’exécution forcée.

**Position de l’avocat général Priit Pikamäe** Priit Pikamäe a souligné que sous certaines conditions spécifiques, une base de données à caractère personnel peut être vendue dans le cadre d’une procédure d’exécution forcée, même si les personnes concernées par ces données n’ont pas donné leur consentement. Cette position peut sembler controversée, mais elle repose sur des critères précis qui doivent être respectés pour autoriser une telle vente.

**Conditions spécifiques énoncées** L’avocat général a posé des conditions strictes pour justifier la vente de bases de données à caractère personnel sans consentement préalable. Ces conditions pourraient inclure des motifs légitimes d’intérêt public, des obligations légales contraignantes ou des circonstances exceptionnelles qui justifient une telle action.

**Justification et arguments avancés** Priit Pikamäe a probablement soutenu sa position en mettant en avant la nécessité de trouver un équilibre entre les intérêts des créanciers impliqués dans la procédure d’exécution forcée et le respect des droits des individus concernés. Il est fort probable qu’il ait également souligné l’importance de garantir la légalité et la transparence dans de telles transactions.

**Conclusion** En conclusion, la position de l’avocat général Priit Pikamäe sur la vente de bases de données à caractère personnel dans le cadre d’une procédure d’exécution forcée soulève des questions cruciales sur la protection des données personnelles et les limites de leur utilisation. Il est essentiel de continuer à débattre de ces questions afin de trouver un équilibre juste entre les intérêts légitimes des parties impliquées et le respect des droits fondamentaux des individus concernés.

B. Analyse des critères et conditions spécifiques à remplir pour autoriser la vente de telles bases de données sans le consentement des individus concernés

La vente de bases de données à caractère personnel sans le consentement des individus concernés dans le cadre d’une procédure d’exécution forcée soulève des questions éthiques et juridiques complexes. L’analyse des critères et des conditions spécifiques nécessaires pour autoriser une telle vente est essentielle pour comprendre les enjeux et les implications de cette pratique.

**Critères et conditions spécifiques à remplir**

  1. Motifs légitimes d’intérêt public : Pour justifier la vente de bases de données à caractère personnel sans consentement, il peut être nécessaire de démontrer des motifs légitimes d’intérêt public. Ces motifs pourraient inclure la protection des intérêts économiques généraux, la sécurité nationale ou la prévention d’infractions pénales graves.
  2. Obligations légales contraignantes : La vente de telles bases de données peut être autorisée si des obligations légales contraignantes sont en jeu. Cela pourrait être le cas lorsque la vente est nécessaire pour se conformer à des exigences légales ou réglementaires spécifiques.
  3. Circonstances exceptionnelles : La vente de bases de données à caractère personnel sans consentement peut être permise dans des circonstances exceptionnelles. Ces circonstances pourraient inclure des situations d’urgence où la protection des intérêts publics ou privés prime sur le respect du consentement individuel.

**Conséquences et implications**

– Protection des données personnelles : L’autorisation de la vente de telles bases de données sans consentement soulève des préoccupations majeures en matière de protection des données personnelles. Il est crucial de garantir que les données sensibles sont traitées de manière éthique et conforme aux normes de confidentialité.

– Confiance du public : Une vente de bases de données à caractère personnel sans consentement peut affecter la confiance du public dans le traitement de leurs informations personnelles. Les entreprises et les autorités doivent être transparentes et responsables dans de telles situations pour maintenir la confiance des individus.

L’autorisation de la vente de bases de données à caractère personnel sans consentement dans le cadre d’une procédure d’exécution forcée doit être encadrée par des critères et des conditions stricts. Il est essentiel de trouver un équilibre entre les intérêts légitimes en jeu et le respect des droits fondamentaux des individus concernés. Une réflexion approfondie et une réglementation adéquate sont nécessaires pour garantir une utilisation éthique et légale des données personnelles dans de telles circonstances.

II. Implications et enjeux éthiques de la décision

A. Conséquences sur la protection des données personnelles et la vie privée des individus

La vente de bases de données personnelles soulève des préoccupations croissantes en matière de protection des données et de respect de la vie privée des individus. Cette pratique, de plus en plus répandue dans le contexte numérique actuel, soulève des questions éthiques et juridiques importantes quant à l’utilisation et à la sécurisation des données personnelles.

**Risques pour la protection des données personnelles**

  1. Risque de fuites de données : La vente de bases de données personnelles augmente le risque de fuites et de violations de données, exposant ainsi les individus à des atteintes à leur vie privée et à des risques de fraude ou de vol d’identité.
  2. Manque de contrôle : Les individus dont les données sont vendues peuvent perdre le contrôle sur l’utilisation ultérieure de leurs informations, notamment en termes de profilage, de ciblage publicitaire ou de prise de décisions automatisées basées sur leurs données.

**Conséquences sur la vie privée**

  1. Intrusion dans la vie privée : La vente de bases de données personnelles peut entraîner une intrusion dans la vie privée des individus, en exposant des informations sensibles ou privées à des tiers sans leur consentement.
  2. Altération de la confiance : Lorsque les individus découvrent que leurs données ont été vendues sans leur consentement, cela peut altérer la confiance dans les entreprises ou les organisations qui détiennent leurs informations personnelles, ce qui peut avoir des conséquences sur leur relation avec ces entités.

**Protection et réglementation des données personnelles**

– Cadre réglementaire : Des lois telles que le Règlement Général sur la Protection des Données (RGPD) en Europe visent à protéger les données personnelles des individus et à encadrer leur utilisation, y compris leur vente.

– Transparence et consentement : Il est essentiel pour les entreprises et les organisations de garantir la transparence et de recueillir le consentement des individus avant de vendre leurs données personnelles.

B. Réflexion sur l’équilibre entre les intérêts des créanciers et le respect des droits des personnes concernées

La vente de bases de données personnelles dans le cadre de procédures d’exécution forcée soulève des questions complexes quant à la protection des données personnelles et au respect des droits fondamentaux des individus concernés. Il est crucial de trouver un équilibre entre les intérêts légitimes des créanciers et la protection des données et de la vie privée des personnes impliquées.

**Intérêts des créanciers**

  1. Recouvrement des créances : Pour les créanciers, la vente de bases de données personnelles peut être une mesure nécessaire pour recouvrer les dettes impayées et protéger leurs intérêts financiers.
  2. Valorisation des actifs : Les bases de données personnelles peuvent représenter un actif précieux pour les créanciers, qui peuvent chercher à les exploiter de manière légale pour maximiser leur valeur et compenser les pertes financières.

**Respect des droits des personnes concernées**

  1. Droit au respect de la vie privée : Les individus ont le droit fondamental de contrôler leurs données personnelles et de décider de leur utilisation. La vente de telles données sans consentement soulève des questions sur le respect de la vie privée et de la confidentialité.
  2. Transparence et légalité : Il est essentiel que les transactions impliquant la vente de bases de données personnelles soient transparentes, légales et conformes aux normes de protection des données en vigueur pour garantir le respect des droits des personnes concernées.

**Trouver un équilibre juste**

– Critères et conditions stricts : Il est nécessaire d’établir des critères et des conditions stricts pour autoriser la vente de bases de données personnelles sans consentement, en tenant compte des intérêts des créanciers tout en garantissant la protection des données et le respect des droits des individus.

–  Dialogue et concertation : Encourager le dialogue entre les différentes parties prenantes, y compris les créanciers, les individus concernés et les autorités de régulation, peut aider à trouver des solutions équilibrées qui respectent les intérêts de chacun.

La vente de bases de données personnelles dans le cadre de procédures d’exécution forcée nécessite une réflexion approfondie sur l’équilibre entre les intérêts des créanciers et le respect des droits des personnes concernées. Il est essentiel de trouver des solutions qui garantissent la légalité, la transparence et le respect des principes de protection des données pour préserver les droits fondamentaux des individus tout en permettant le recouvrement des créances légitimes.

C. Discussion sur les potentielles répercussions juridiques et sociétales de cette mesure

La vente de bases de données personnelles soulève des questions complexes en termes de protection des données, de respect de la vie privée et d’équilibre entre les intérêts commerciaux et les droits des individus. Cette pratique peut avoir des répercussions juridiques et sociétales significatives qui nécessitent une réflexion approfondie et une réglementation adéquate.

**Répercussions juridiques**

  1. Violation des lois sur la protection des données : La vente de bases de données personnelles sans consentement peut constituer une violation des lois sur la protection des données, telles que le RGPD en Europe, qui imposent des obligations strictes en matière de collecte, de traitement et de transfert des données personnelles.
  2. Responsabilité juridique : Les entreprises ou organisations qui vendent des bases de données personnelles peuvent être tenues responsables en cas de non-respect des réglementations en vigueur, ce qui peut entraîner des sanctions financières ou des poursuites judiciaires.

**Répercussions sociétales**

  1. Perte de confiance : La vente non consentie de données personnelles peut entraîner une perte de confiance des individus dans les entreprises ou les organisations qui détiennent leurs informations, ce qui peut affecter leur relation avec ces entités et nuire à leur réputation.
  2. Impact sur la vie privée : Les répercussions sociétales de la vente de bases de données personnelles incluent des préoccupations croissantes concernant l’impact sur la vie privée des individus, notamment en termes de surveillance, de profilage et de contrôle des données.

**Cadre réglementaire et éthique**

– Renforcement de la protection des données : Il est essentiel de renforcer le cadre réglementaire sur la protection des données pour garantir le respect des droits des individus et limiter les abus liés à la vente de données personnelles.

– Transparence et responsabilité : Les entreprises et les organisations doivent faire preuve de transparence et de responsabilité dans la gestion et l’utilisation des données personnelles, en informant les individus de manière claire et en respectant leur droit au consentement.

En conclusion, la vente de bases de données personnelles soulève des préoccupations importantes en termes de protection des données, de respect de la vie privée et de confiance du public. Il est essentiel de prendre en compte les répercussions juridiques et sociétales de cette pratique pour garantir un usage éthique et responsable des données personnelles dans le monde numérique d’aujourd’hui.

Pour lire une version plus complète de cet article sur la vente de base de données sensibles, cliquez

Sources :

  1. CJUE : vente de base de données à caractère personnel – LE MONDE DU DROIT : le magazine des professions juridiques
  2. La vente et la location de fichiers de données à caractère personnel à l’ère du règlement général européen sur la protection des données personnelles – Actu-Juridique
  3. [DONNÉES PERSONNELLES] Vente de fichier client : le rappel de la CNIL sur les règles applicables – LexCase
  4. Protection des données personnelles : quels sont vos droits ? | economie.gouv.fr
  5. Avis du 22 mai 2018 sur la protection de la vie privée à l’ère du numérique – Légifrance (legifrance.gouv.fr)
  6. Cour de cassation, civile, Chambre sociale, 30 septembre 2020, 19-12.058, Publié au bulletin – Légifrance (legifrance.gouv.fr)

LE DROIT À L’OUBLI

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, au sein d’une section consacrée aux droits de la personne concernée, affecte son article 17 à la notion de « Droit à l’effacement » des données à caractère personnel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent.

Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.

I. Le principe du droit à l’oubli

A. La portée du droit à l’oubli

Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.

En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.

Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.

Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement

Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

  1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
  3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
  4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
  6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.

En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

B. Les limites du droit à l’oubli

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :

  1. De l’exercice du droit à la liberté d’expression et d’information ;
  2. Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
  3. De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  4. De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  5. De la constatation, de l’exercice ou de la défense de droits en justice.

 C. Ouverture sur un déréférencement mondial au cas par cas

Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.

En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».

La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N °2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.

La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n°391000).

Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».

Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli  ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.

Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.

Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.

La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD.

Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmé l’annulation de sa décision du 10 mars 2016.

II. Le droit à l’oubli en pratique

A. Identifier l’organisme à contacter

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.

Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales ».

B. Exercer le droit à l’effacement auprès de l’organisme

L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.

A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».

Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.

En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.

En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.

Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

C. Que faire en cas de refus ou d’absence de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.

Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.

 En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.

Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

 SOURCES :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131
https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.


Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Vidéosurveillance dans les cellules de garde à vue

Le décret numéro 2023-1330 du 28 décembre 2023 a récemment apporté des modifications significatives à la réglementation concernant la vidéosurveillance dans les cellules de garde à vue, suscitant ainsi un vif intérêt et de nombreuses discussions.

La vidéosurveillance dans les cellules de garde à vue est un sujet qui suscite de nombreuses questions et débats. La garde à vue est une mesure coercitive utilisée par les autorités judiciaires pour retenir temporairement une personne soupçonnée d’avoir commis une infraction pénale. Pendant cette période, le suspect est placé dans une cellule de garde à vue où il est surveillé en permanence par des caméras de vidéosurveillance.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

L’objectif principal de la vidéosurveillance dans les cellules de garde à vue est de garantir la sécurité des personnes détenues, des forces de l’ordre et du personnel pénitentiaire. Les caméras permettent de surveiller en temps réel les activités se déroulant à l’intérieur de la cellule, ce qui peut contribuer à prévenir les incidents, à assurer le respect des droits fondamentaux des détenus et à collecter des preuves en cas de litige. Cependant, l’utilisation de la vidéosurveillance dans les cellules de garde à vue soulève également des préoccupations en matière de respect de la vie privée et des droits de l’homme.
MC.COM


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Certaines personnes estiment que cette pratique constitue une intrusion excessive dans la vie privée des détenus, qui ont droit à une certaine dignité et à être protégés contre les abus. De plus, il est important de veiller à ce que les enregistrements vidéo ne soient pas utilisés de manière abusive ou pour des motifs discriminatoires. Pour répondre à ces préoccupations, des réglementations strictes encadrent l’utilisation de la vidéosurveillance dans les cellules de garde à vue. Les autorités doivent respecter les principes de nécessité et de proportionnalité, en veillant à ce que la surveillance soit limitée aux situations où elle est réellement nécessaire et justifiée.

De plus, les enregistrements vidéo doivent être conservés pendant une durée limitée et être accessibles uniquement aux personnes autorisées, telles que les juges, les avocats et les organismes de contrôle. En outre, il est important de garantir que les détenus soient informés de l’utilisation de la vidéosurveillance dans les cellules de garde à vue et de leurs droits en matière de protection des données. Les détenus doivent être informés de la finalité de la surveillance, des droits dont ils disposent, tels que le droit d’accéder à leurs enregistrements vidéo, et des procédures à suivre en cas de violation de leurs droits.

La vidéosurveillance dans les cellules de garde à vue est une mesure controversée qui vise à assurer la sécurité des détenus et des personnes impliquées dans le processus de garde à vue. Cependant, il est essentiel de trouver un équilibre entre la nécessité de la surveillance et le respect des droits fondamentaux des détenus, en veillant à ce que les réglementations appropriées soient mises en place pour encadrer cette pratique.

Le décret numéro 2023-1330 du 28 décembre 2023 a introduit des directives spécifiques concernant l’installation et l’utilisation des équipements de vidéosurveillance dans les cellules de garde à vue. Ces directives visent à encadrer strictement l’utilisation de la vidéosurveillance, en mettant l’accent sur la protection des droits fondamentaux des personnes détenues tout en assurant la sécurité des lieux de détention.

Parmi les points clés du décret figurent des exigences précises concernant la résolution des caméras, les périodes de conservation des enregistrements, l’accès aux images enregistrées et les mesures de protection des données personnelles.

De plus, le décret établit des procédures claires pour l’utilisation des enregistrements, limitant leur consultation aux seules fins prévues par la loi. Il est indéniable que la vidéosurveillance dans les cellules de garde à vue soulève des questions complexes liées à la vie privée, à la sécurité et aux droits individuels. Alors que certains considèrent cette pratique comme une nécessité incontournable pour assurer la sécurité publique, d’autres mettent en garde contre le risque de dérives et d’abus. La mise en œuvre du décret numéro 2023-1330 du 28 décembre 2023 constitue un pas important dans la réglementation de la vidéosurveillance dans les cellules de garde à vue, mais elle ne manquera pas de continuer à susciter des débats et des réflexions approfondies quant à son impact sur la société et les droits individuels.

Le décret précise qu’il est inséré après le titre V du livre II du code de la sécurité intérieure, un titre V bis ainsi rédigé :

« Titre V BIS « vidéosurveillance dans les lieux de privation de liberté ».

I. Finalités de la vidéosurveillance dans les lieux de privation de liberté

Il est noté à l’article « R. 256-1.-Le ministre de l’intérieur (direction générale de la police nationale, direction générale de la gendarmerie nationale et préfecture de police pour les gardes à vue qu’elles réalisent chacune respectivement) et le ministre chargé du budget (direction générale des douanes et droits indirects pour les retenues douanières qu’elle réalise et service d’enquêtes judiciaires des finances pour les gardes à vue qu’il réalise) sont autorisés à mettre en œuvre des traitements de données à caractère personnel ayant pour finalité de prévenir les risques d’évasion des personnes placées en garde à vue ou en retenue douanière et les menaces sur ces personnes ou sur autrui.

« Ces traitements concernent le placement sous vidéosurveillance décidé dans les conditions prévues par l’article L. 256-2 au titre des mesures mises en œuvre sur le fondement des articles 62-2,77 et 154 du code de procédure pénale, L. 413-6 du code de la justice pénale des mineurs et 323-1 du code des douanes.

II. Enregistrement des images et des sons

Concernant l’enregistrement des images, l’« Art. R. 256-2. Dispose que -Sont enregistrées dans les traitements mentionnés à l’article R. 256-1 les données à caractère personnel et informations suivantes :

« 1° Les séquences vidéo, à l’exclusion des sons, provenant des systèmes de vidéosurveillance installés dans les cellules de garde à vue ou de retenue douanière ;

« 2° La date et l’heure des séquences vidéo ;

« 3° Le lieu de captation des séquences vidéo.

En outre, « Les données et informations enregistrées dans les traitements peuvent faire apparaître, directement ou indirectement, des données mentionnées au I de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il est interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données.

« Les systèmes de vidéosurveillance sont équipés de dispositifs techniques permettant de garantir, jusqu’à leur effacement, la sécurité et l’intégrité des enregistrements.

III. Conservation des enregistrements

Parmi les règles applicables à la protection des données à caractère personnel, la définition d’une durée de conservation adéquate et proportionnée tient une place essentielle. En effet, limiter dans le temps la conservation des données permet d’éviter qu’elles soient conservées et traitées indéfiniment et que cela porte atteinte aux droits et libertés des personnes concernées.

A cet égard, l’article 5, § 1, e) du RGPD précise que les données doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Pour autant, ni la loi Informatique et libertés ni le RGPD ne fixent de durée précise laissant aux autorités de contrôle et aux organismes qui traitent des données une marge d’interprétation au regard des circonstances entourant un traitement de données.

Ainsi, le décret numéro 2023-1330 du 28 décembre 2023 en son article « R. 256-3. précise que -Les données et informations mentionnées à l’article R. 256-2 sont conservées pendant une durée de quarante-huit heures à compter de la fin de la garde à vue ou de la retenue douanière.

« Cette durée est portée à sept jours à compter du lendemain de la fin de la garde à vue ou de la retenue douanière lorsque la personne en ayant fait l’objet, son avocat, ses représentants légaux lorsqu’elle est mineure ou la personne désignée en application de l’article 446 du code civil lorsqu’elle bénéficie d’une mesure de protection juridique demande, dans un délai de quarante-huit heures à compter de la fin de la mesure, la conservation des enregistrements la concernant.

« Au terme des délais mentionnés aux deux premiers alinéas du présent article, les données et informations mentionnées à l’article R. 256-2 sont effacées automatiquement des traitements.

« Lorsque les données et informations mentionnées à l’article R. 256-2 ont, dans les délais mentionnés au présent article, été extraites et transmises pour les besoins d’une procédure judiciaire, administrative ou disciplinaire, elles sont conservées selon les règles propres à chacune de ces procédures.

Par ailleurs, l’« Art. R. 256-5. Dispose que -Les opérations de collecte, de modification, de communication et d’effacement des données et informations mentionnées à l’article R. 256-2 font l’objet d’un enregistrement comprenant l’identifiant de l’auteur, la date, l’heure et le motif de l’opération et, le cas échéant, les destinataires des données et informations.

« Ces informations sont conservées pendant une durée d’un an à compter de leur enregistrement.

« Le registre mentionné à l’article L. 256-4 tient lieu de journal des opérations de consultation des données et informations mentionnées à l’article R. 256-2.

III. Personnes pouvant avoir accès aux données collectées

Selon l’« Art. R. 256-4.-I.-Peuvent avoir accès aux données et informations mentionnées à l’article R. 256-2, à raison de leurs attributions et dans la limite du besoin d’en connaître :

« 1° Les chefs des services et les commandants des unités au sein desquels les traitements sont mis en œuvre ;

« 2° Les personnels de la police nationale, les personnels de la gendarmerie nationale, les agents des douanes et les agents mentionnés aux articles 28-1 et 28-2 du code de procédure pénale, individuellement désignés et spécialement habilités par leur chef de service ou par leur commandant d’unité.

« Les personnes mentionnées aux 1° et 2° du présent I sont seules autorisées à procéder à l’extraction des données mentionnées à l’article R. 256-2 pour les besoins exclusifs d’une procédure judiciaire, administrative ou disciplinaire.

« II.-Peuvent être destinataires de tout ou partie des données et informations mentionnées à l’article R. 256-2, à raison de leurs attributions et dans la limite du besoin d’en connaître dans le cadre d’une procédure administrative ou disciplinaire :

« 1° Les membres de l’inspection générale de la police nationale, de l’inspection générale de la gendarmerie nationale et de l’inspection des services de la direction générale des douanes et droits indirects ;

« 2° L’autorité hiérarchique participant à l’exercice du pouvoir disciplinaire, les membres des instances disciplinaires et les agents chargés de l’instruction des dossiers présentés à ces instances dans le cadre d’une procédure disciplinaire.

IV. Droit des personnes concernées

Selon l’« Art. R. 256-6.-I.-Le droit d’opposition prévu à l’article 110 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ne s’applique pas aux traitements mentionnés à l’article R. 256-1.

« II.-Conformément aux articles 105 et 106 de la même loi, les droits d’accès, de rectification, d’effacement et à la limitation des données s’exercent directement auprès du responsable du traitement mentionné à l’article R. 256-1.

« III.-Afin d’éviter de gêner des enquêtes, des recherches ou des procédures administratives ou judiciaires ou d’éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ou de protéger la sécurité publique, les droits d’accès, de rectification, d’effacement et à la limitation des données peuvent faire l’objet de restrictions en application des 2° et 3° des II et III de l’article 107 de la même loi.

« La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l’informatique et des libertés dans les conditions prévues à l’article 108 de la même loi.

« Art. R. 256-7.-La mise en œuvre des traitements mentionnés à l’article R. 256-1 est subordonnée à l’envoi préalable à la Commission nationale de l’informatique et des libertés d’un engagement de conformité aux dispositions du présent titre, en application du IV de l’article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. »

Pour conclure, nous pouvons dire que la vidéosurveillance dans les cellules de garde à vue demeure un sujet d’une grande complexité, suscitant des débats intenses et des préoccupations importantes. Alors que son utilisation est souvent justifiée par la nécessité de garantir la sécurité des lieux de détention et des individus détenus, elle soulève également des inquiétudes quant à la vie privée, à la dignité humaine et à la potentielle utilisation abusive des enregistrements. La mise en place de réglementations telles que le décret numéro 2023-1330 du 28 décembre 2023 vise à encadrer strictement l’utilisation de la vidéosurveillance, soulignant l’importance de préserver les droits fondamentaux des personnes détenues tout en assurant la sécurité des lieux de détention.

Cependant, malgré ces mesures, des questions demeurent quant à la manière dont ces dispositifs impactent la relation entre les autorités et les individus détenus, ainsi que sur la manière dont les enregistrements sont utilisés et protégés. Ainsi, la vidéosurveillance dans les cellules de garde à vue nécessite une approche équilibrée, prenant en compte à la fois les impératifs de sécurité et la protection des droits individuels. Son évolution future devra sans doute s’inscrire dans une réflexion approfondie sur la protection de la vie privée, l’éthique et les garanties juridiques pour assurer une utilisation appropriée et respectueuse de ces technologies au sein du système pénal.

Pour lire une version plus complète de cet article sur la video surveillance dans les prisons, cliquez

Sources :

  1. Décret n° 2023-1330 du 28 décembre 2023 relatif à la mise en œuvre de systèmes de vidéosurveillance dans les cellules de garde à vue et de retenue douanière – Légifrance (legifrance.gouv.fr)
  2. Article 62-2 – Code de procédure pénale – Légifrance (legifrance.gouv.fr)
  3. Article 6 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance (legifrance.gouv.fr)
  4. Article 110 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance (legifrance.gouv.fr)
    Article 31 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance (legifrance.gouv.fr)