vie privée

CREATION DE FAUX PROFIL, PHISHING, USURPATION D’IDENTE

Dans notre monde numérique en constante évolution, la création de faux profils, le phishing et l’usurpation d’identité sont devenus des problèmes de plus en plus préoccupants.

Avec la prolifération des médias sociaux, des plateformes en ligne et des transactions électroniques, il est devenu plus facile pour les individus malveillants de se cacher derrière des identités fictives et de causer des préjudices considérables.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La création de faux profils est une pratique courante utilisée par les fraudeurs pour tromper et manipuler les utilisateurs en ligne. Ces faux profils peuvent être créés sur les réseaux sociaux, les sites de rencontres ou même les plateformes de vente en ligne. Les motivations derrière cette pratique peuvent varier, allant du simple vol d’informations personnelles à l’escroquerie financière.

Les fraudeurs utilisent souvent des photos et des informations volées pour créer ces faux profils, donnant ainsi l’illusion d’une personne réelle. Une fois que la confiance est établie, ils peuvent commencer à exploiter les utilisateurs, en leur demandant des informations confidentielles ou en les incitant à effectuer des transactions frauduleuses. Il est donc essentiel d’être prudent et de vérifier l’authenticité d’un profil avant de partager des informations personnelles ou de s’engager dans des interactions en ligne.

Le phishing et l’usurpation d’identité sont des pratiques sournoises utilisées par les cybercriminels pour obtenir des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des données personnelles. Le phishing est généralement effectué par le biais de courriels ou de messages trompeurs qui semblent provenir de sources fiables, comme des institutions financières ou des sites de commerce électronique.

Les fraudeurs tentent ainsi de tromper les utilisateurs et de les inciter à divulguer leurs informations confidentielles. L’usurpation d’identité, quant à elle, consiste à se faire passer pour quelqu’un d’autre afin de tirer profit de cette usurpation. Les cybercriminels peuvent utiliser les informations personnelles volées pour effectuer des achats frauduleux, commettre des actes de vandalisme en ligne ou même commettre des crimes plus graves.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

La création de faux profils, le phishing et l’usurpation d’identité sont des problèmes sérieux qui nécessitent une vigilance constante. En étant conscients des risques et en adoptant des mesures préventives, tels que la vérification des profils et la sensibilisation à la sécurité en ligne, nous pouvons protéger notre identité et notre confidentialité en ligne. Il est temps de prendre des mesures pour garantir notre sécurité dans le monde numérique d’aujourd’hui.

I. La création de faux profils

  1. Les motivations derrière la création de faux profils :

La création de faux profils est devenue une pratique courante sur les médias sociaux et les plateformes en ligne. Les individus malveillants utilisent de fausses informations personnelles et des photos volées pour se dissimuler derrière une identité fictive. Ces faux profils peuvent être utilisés pour l’arnaque en ligne, l’intimidation, le harcèlement, l’espionnage ou même pour voler des informations sensibles. Pour éviter de tomber dans le piège, assurez-vous de vérifier attentivement les profils avant d’établir une relation en ligne et signalez tout comportement suspect aux administrateurs de la plateforme. Quelle que soit la motivation, la création de faux profils porte atteinte à la confiance en ligne et peut avoir des conséquences néfastes pour les victimes.

  1. Les dangers de la création de faux profils :

L’un des dangers les plus évidents de la création de faux profils est la propagation de fausses informations. Les faux profils peuvent être utilisés pour diffuser des rumeurs, propager des discours de haine ou même nuire à la réputation d’une personne. De plus, les faux profils peuvent être utilisés pour l’usurpation d’identité, où les informations personnelles d’une personne sont utilisées à des fins malveillantes.

  1. Les conséquences de la création de faux profils :

Les conséquences de la création de faux profils peuvent être graves. Les victimes peuvent subir des atteintes à leur vie privée, des dommages à leur réputation et même des préjudices émotionnels. De plus, si les faux profils sont utilisés à des fins d’arnaque, les victimes peuvent subir des pertes financières importantes. Il est essentiel de prendre cette menace au sérieux et de mettre en place des mesures pour se protéger.

  1. Comment se protéger de la création de faux profils :

– Soyez attentif aux signes révélateurs de faux profils, tels que des photos douteuses, des informations contradictoires ou des activités suspectes.

– Vérifiez attentivement les profils avant d’établir une relation en ligne ou de partager des informations personnelles.

– Ne partagez pas d’informations sensibles avec des personnes que vous ne connaissez pas en personne.

– Signalez tout faux profil aux administrateurs des plateformes concernées.

– Protégez vos informations personnelles en utilisant des paramètres de confidentialité appropriés sur les médias sociaux et en évitant de les partager publiquement.

La création de faux profils en ligne présente de nombreux dangers et conséquences néfastes. Il est essentiel d’être vigilant et de prendre des mesures pour protéger notre identité en ligne. En sensibilisant les autres à cette pratique et en signalant les faux profils, nous contribuons à maintenir un environnement en ligne plus sûr et plus fiable. N’oubliez pas que la confiance en ligne repose sur l’authenticité et l’intégrité, et en travaillant ensemble, nous pouvons limiter l’impact de la création de faux profils.

II. Le phishing : Comment se protéger des attaques en ligne

  1. Qu’est-ce que le phishing ?

Le phishing est une technique sophistiquée utilisée par les cybercriminels pour obtenir des informations confidentielles. Ils se font passer pour des entités légitimes, telles que des banques ou des entreprises bien connues, et envoient des e-mails ou des messages trompeurs demandant aux destinataires de divulguer leurs informations personnelles. Soyez vigilant face à ces tentatives de phishing en vérifiant toujours l’authenticité des expéditeurs, en évitant de cliquer sur des liens suspects et en utilisant des outils de sécurité tels que des logiciels antivirus et des filtres anti-spam.

  1. Comment fonctionne le phishing ?

Les cybercriminels utilisent diverses techniques pour tromper les utilisateurs. Ils peuvent envoyer des e-mails ou des messages texte qui semblent provenir d’une marque ou d’une institution bien connue, demandant aux utilisateurs de mettre à jour leurs informations ou de cliquer sur un lien suspect. Ces liens redirigent souvent les utilisateurs vers des sites web frauduleux qui ressemblent à s’y méprendre aux sites légitimes, mais qui sont conçus pour voler des informations.

  1. Comment se protéger contre le phishing ?

– Soyez vigilant : Méfiez-vous des e-mails, des messages texte ou des appels téléphoniques non sollicités vous demandant de fournir des informations personnelles. Vérifiez toujours l’authenticité de l’expéditeur ou de l’appelant.

– Ne cliquez pas sur les liens suspects : Évitez de cliquer sur des liens provenant de sources non fiables ou douteuses. Si vous avez des doutes, rendez-vous directement sur le site officiel de l’organisation concernée.

– Utilisez des outils de sécurité : Installez un logiciel antivirus et un pare-feu pour protéger votre ordinateur ou votre appareil mobile contre les attaques de phishing. – Mettez à jour vos logiciels : Assurez-vous que tous vos logiciels sont à jour, car les mises à jour contiennent souvent des correctifs de sécurité importants.

Il peut être réprimé en vertu de l’article 323-1 du Code pénal, qui punit le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende.

Le phishing est une menace sérieuse qui peut causer des pertes financières et compromettre la sécurité des utilisateurs en ligne. En étant attentif et en prenant des mesures de sécurité appropriées, nous pouvons réduire les risques d’être victime d’une attaque de phishing. Souvenez-vous toujours de rester méfiant face aux demandes de renseignements personnels et de signaler tout cas suspect aux autorités compétentes. J’espère que cet article te sera utile pour comprendre le phishing et prendre les mesures nécessaires pour te protéger en ligne.

 III. L’usurpation d’identité

  1. Qu’est-ce que l’usurpation d’identité ?

En France, cela peut être répréhensible en vertu de l’article 226-4-1 du Code pénal, qui punit le fait d’usurper l’identité d’un tiers de l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération. Les sanctions pour cette infraction peuvent inclure des amendes et des peines de prison.

  1. Les dangers de l’usurpation d’identité :

L’usurpation d’identité peut avoir des conséquences graves. Les victimes peuvent subir des pertes financières importantes, des dommages à leur réputation, et une détresse émotionnelle considérable. De plus, il peut être difficile de récupérer son identité une fois qu’elle a été usurpée. Les victimes doivent souvent faire face à des tracas administratifs, des litiges avec les institutions financières et une violation de leur vie privée.

  1. Comment se protéger contre l’usurpation d’identité :

– Protégez vos informations personnelles : Ne partagez pas d’informations sensibles en ligne, à moins que cela ne soit absolument nécessaire. Utilisez des mots de passe forts et uniques pour vos comptes en ligne, et évitez de les réutiliser sur plusieurs plateformes.

– Soyez vigilant : Surveillez régulièrement vos relevés bancaires et vérifiez vos comptes en ligne pour détecter toute activité suspecte. Si vous constatez quelque chose d’anormal, signalez-le immédiatement à votre banque ou à l’institution concernée.

– Utilisez la vérification en deux étapes : Activez la vérification en deux étapes pour renforcer la sécurité de vos comptes en ligne. Cela ajoute une couche supplémentaire de protection en exigeant un code ou une confirmation supplémentaire lors de la connexion.

– Méfiez-vous des tentatives de phishing : Soyez prudent avec les e-mails et les messages suspects. Ne cliquez pas sur les liens ou les pièces jointes provenant de sources non fiables, et ne fournissez jamais d’informations personnelles par e-mail ou par message.

  1. Que faire si vous êtes victime d’usurpation d’identité :

– Signalez immédiatement le problème à la police et aux autorités compétentes.

– Contactez votre banque pour bloquer vos comptes et émettre de nouvelles cartes si nécessaire. – Informez les bureaux de crédit pour surveiller votre historique de crédit et vous protéger contre les activités frauduleuses.

– Modifiez tous vos mots de passe et mettez en place des mesures de sécurité supplémentaires pour vos comptes en ligne.

L’usurpation d’identité en ligne est une menace sérieuse qui peut causer de nombreux problèmes et préjudices. En prenant des mesures pour protéger vos informations personnelles et en étant vigilant face aux tentatives de fraudes, vous pouvez réduire les risques d’être victime d’usurpation d’identité. N’oubliez pas de signaler toute activité suspecte et de prendre les mesures appropriées pour protéger votre identité en ligne.

Pour lire une version plus complète de cet article sur le pishing, cliquez

Sources :

  1. Cour de cassation, criminelle, Chambre criminelle, 24 janvier 2018, 16-83.045, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  2. Cour de cassation, criminelle, Chambre criminelle, 23 janvier 2019, 18-82.833, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  3. Cour de cassation, civile, Chambre commerciale, 28 mars 2018, 16-20.018, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  4. Cour de cassation, civile, Chambre commerciale, 22 janvier 2020, 18-18.640, Inédit – Légifrance (legifrance.gouv.fr)
  5. Cour de cassation, civile, Chambre commerciale, 13 février 2019, 17-23.139, Inédit – Légifrance (legifrance.gouv.fr)
  6. Cour de cassation, criminelle, Chambre criminelle, 6 septembre 2023, 23-80.684, Inédit – Légifrance (legifrance.gouv.fr)
  7. Cour de cassation, criminelle, Chambre criminelle, 2 septembre 2020, 19-87.356, Inédit – Légifrance (legifrance.gouv.fr)
  8. Cour de cassation, criminelle, Chambre criminelle, 16 novembre 2016, 16-80.207, Inédit – Légifrance (legifrance.gouv.fr)

 

Par internet-et-droit • Tags: , , ,

Comment les AirTags peuvent être détournées

Depuis leur lancement en avril 2021, les AirTags d’Apple ont révolutionné la façon dont nous retrouvons nos objets perdus.

NOUVEAU : Utilisez nos services pour défendre vos droits en passant par le formulaire !

Les AirTags, les petits dispositifs de suivi Bluetooth développés par Apple, offrent une solution pratique pour localiser et retrouver des objets égarés. Cependant, comme tout dispositif technologique, il existe des risques potentiels de détournement et d’abus.

Il est donc crucial de prendre des mesures de sécurité appropriées pour protéger vos données et votre vie privée. Les AirTags peuvent être détournés de différentes manières. Par exemple, un individu mal intentionné pourrait essayer de placer un AirTag dans votre sac ou votre véhicule pour vous suivre à votre insu. Cela peut représenter une violation de votre vie privée et une menace potentielle pour votre sécurité. Il est donc important de prendre des mesures préventives pour éviter de tels scénarios.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Pour protéger votre confidentialité et minimiser les risques de détournement, voici quelques mesures de sécurité à prendre :

  1. Vérifiez régulièrement vos effets personnels : Faites attention aux objets qui vous entourent et vérifiez s’il y a des AirTags non autorisés attachés à vos affaires.
  2. Activez les notifications de détection d’AirTag : Si vous possédez un iPhone avec la dernière version d’iOS, vous pouvez activer les notifications qui vous avertissent lorsque des AirTags inconnus vous suivent. Cela vous permet d’être alerte et de prendre les mesures nécessaires.
  3. Utilisez des étuis de protection : Il existe des étuis spécialement conçus pour les AirTags qui empêchent leur détection ou les rendent plus difficiles à attacher discrètement à vos affaires.
  4. Supprimez les AirTags non autorisés : Si vous découvrez un AirTag qui ne vous appartient pas, vous pouvez le désactiver et le supprimer de votre compte Apple.
  5. Soyez conscient de votre environnement : Restez vigilant lorsque vous êtes dans des lieux publics ou inconnus. Si vous remarquez un comportement suspect ou des signes de suivi, signalez-le aux autorités compétentes. Il est important de noter que si ces mesures peuvent aider à réduire les risques de détournement, aucune solution n’est totalement infaillible. La sécurité est un processus continu, et il est essentiel de rester informé des dernières mises à jour et recommandations de sécurité émises par Apple ou d’autres sources fiables.

En conclusion, les AirTags offrent une fonctionnalité pratique pour retrouver des objets perdus, mais il est crucial de prendre des mesures de sécurité pour éviter leur détournement et protéger votre vie privée. En suivant les recommandations de sécurité appropriées et en restant vigilant, vous pouvez minimiser les risques potentiels liés à l’utilisation des AirTags.

I. Qu’est-ce qu’un AirTag ?

Les AirTags sont de petits dispositifs ronds, de la taille d’une pièce de monnaie, qui se connectent à votre iPhone ou iPad via la technologie Bluetooth. Ils fonctionnent en tandem avec l’application « Localiser » d’Apple, qui permet de les localiser en temps réel sur une carte. Les AirTags sont conçus pour être attachés ou glissés dans vos objets du quotidien, et ils utilisent le réseau Find My d’Apple pour vous aider à les retrouver rapidement.

Les AirTags utilisent la connectivité Bluetooth pour se connecter à votre iPhone ou iPad. Lorsque vous configurez un AirTag, il est associé à votre identifiant Apple et apparaît dans l’application « Localiser« . Grâce à la technologie Bluetooth, votre appareil Apple peut détecter et communiquer avec les AirTags à proximité, vous permettant de les localiser facilement.

Les AirTags s’appuient sur le réseau Find My d’Apple pour aider à retrouver les objets perdus. Lorsqu’un AirTag est hors de portée Bluetooth de votre appareil, il peut utiliser le réseau Find My pour transmettre sa position à d’autres appareils Apple à proximité. Ces appareils agissent comme des relais, transmettant les informations de localisation de l’AirTag à votre appareil, vous permettant ainsi de le retrouver sur une carte.

Les modèles d’iPhone compatibles avec la technologie Ultra-Wideband (UWB) offrent une fonctionnalité appelée « Precision Finding ». Lorsque vous utilisez cette fonction, l’iPhone utilise des signaux UWB pour interagir avec l’AirTag et obtenir des indications plus précises sur la localisation de l’objet. Vous pouvez ainsi suivre les indications visuelles et sonores de votre iPhone pour vous guider jusqu’à l’AirTag. Lorsque vous utilisez l’application « Localiser » pour retrouver un AirTag, vous pouvez émettre un son sur l’AirTag pour vous aider à le localiser.

L’AirTag émet un son distinctif qui peut être facilement identifiable, même dans un environnement bruyant. De plus, si vous utilisez la fonction Precision Finding avec un iPhone compatible UWB, des indications visuelles précises, telles que des flèches et des distances, sont affichées sur votre écran pour vous guider vers l’AirTag.

Les AirTags sont alimentés par une pile bouton remplaçable. Selon Apple, la durée de vie de la pile peut varier, mais elle est généralement d’environ un an. Lorsque la pile est faible, l’application « Localiser » vous avertit de la nécessité de remplacer la pile.

Les AirTags d’Apple utilisent la connectivité Bluetooth, le réseau Find My, la technologie Ultra-Wideband et des indications sonores et visuelles pour vous aider à retrouver vos objets perdus. Grâce à ces fonctionnalités, les AirTags offrent une expérience de suivi précise et pratique.

Les AirTags fonctionnent avec les appareils Apple équipés d’iOS 14.5 ou d’une version ultérieure. Cela inclut les iPhone, les iPad et les iPod touch. La configuration des AirTags est simple et se fait en quelques étapes à l’aide de l’application Localiser. Une fois configurés, les AirTags sont automatiquement associés à votre identifiant Apple et apparaissent dans l’onglet « Objets » de l’application.

Que vous ayez tendance à perdre fréquemment vos clés ou que vous souhaitiez simplement avoir l’esprit tranquille, les AirTags sont une solution efficace pour retrouver vos objets perdus.

 II. Vie privée et sécurité

 A. Protection de la vie privée

  1. Anonymat des données : Apple met un point d’honneur à respecter l’anonymat des données des utilisateurs. Lorsque vous configurez un AirTag, il est associé à votre identifiant Apple, mais aucune information personnelle n’est stockée sur l’AirTag lui-même. Cela signifie que si quelqu’un trouve un AirTag perdu, il ne pourra pas accéder à vos informations personnelles.
  2. Notification d’objets inconnus : Apple a mis en place une fonctionnalité de notification d’objets inconnus pour éviter tout suivi non autorisé. Si un AirTag inconnu est détecté à proximité de vous pendant une période prolongée, votre appareil Apple vous avertira de sa présence. Cela vous permet de prendre les mesures appropriées pour vous assurer que vous n’êtes pas suivi à votre insu.
  3. Détection des AirTags inactifs : Apple a également mis en place des mesures pour détecter les AirTags qui sont utilisés de manière abusive ou détournés. Si un AirTag est trouvé à proximité de vous et qu’il n’est pas associé à votre identifiant Apple, votre appareil Apple vous avertira également de sa présence. Cela vous permet de signaler tout comportement suspect aux autorités compétentes.
  4. Protection des données réseau : Lorsque vous utilisez le réseau Find My pour localiser un AirTag perdu, Apple chiffre les données pour garantir la confidentialité de vos informations. Les données de localisation sont également anonymisées et ne peuvent pas être utilisées pour vous identifier personnellement.
  5. Contrôles de confidentialité supplémentaires : En plus des mesures de sécurité intégrées, Apple offre également des contrôles de confidentialité supplémentaires pour les AirTags. Vous pouvez désactiver la fonction « Détection d’objets inconnus » si vous le souhaitez dans les paramètres de votre appareil Apple. De plus, si vous trouvez un AirTag inconnu, vous pouvez le désactiver en retirant la pile.

Apple met en place des mesures de sécurité et de confidentialité robustes pour protéger votre vie privée lors de l’utilisation des AirTags. L’anonymat des données, les notifications d’objets inconnus, la détection des AirTags inactifs et les contrôles de confidentialité supplémentaires sont autant de mesures prises pour préserver vos informations personnelles. Tout en offrant une solution pratique pour retrouver vos objets perdus, Apple s’engage à garantir la protection de votre vie privée.

B. Comment ils peuvent être détournés et les mesures de sécurité à prendre

  1. Suivi non autorisé : L’un des principaux problèmes potentiels liés aux AirTags est le suivi non autorisé. Étant donné que les AirTags sont conçus pour être attachés à des objets, ils peuvent également être utilisés pour suivre les déplacements d’une personne sans son consentement. Cela peut poser des problèmes de vie privée et de sécurité. Apple a cependant mis en place des mesures pour limiter ce risque, notamment en émettant des avertissements sonores et des notifications sur les appareils Apple à proximité d’un AirTag inconnu.
  2. Détournement intentionnel : Une autre situation possible est le détournement intentionnel des AirTags. Par exemple, une personne malveillante pourrait attacher un AirTag à un objet appartenant à quelqu’un d’autre sans son consentement, dans le but de le suivre à son insu. Apple a pris des mesures pour détecter ces situations et a mis en place des avertissements sur les appareils Apple lorsqu’un AirTag inconnu est détecté à proximité pendant une période prolongée.
  3. Prévention des détournements : Pour prévenir les détournements potentiels des AirTags, voici quelques mesures que vous pouvez prendre :
  4. Vérifiez régulièrement vos objets : Faites une vérification périodique de vos affaires pour vous assurer qu’aucun AirTag inconnu n’a été attaché à vos objets personnels.
  5. Activez la fonction « Détection d’objets inconnus » : Cette fonctionnalité d’Apple vous avertira si un AirTag inconnu est détecté à proximité de vous pendant une période prolongée. Si vous recevez une telle notification, prenez les mesures appropriées pour vous assurer que vous n’êtes pas suivi à votre insu.
  6. Signalez tout AirTag suspect : Si vous trouvez un AirTag qui semble être utilisé de manière abusive ou si vous êtes préoccupé par un suivi non autorisé, signalez-le aux autorités compétentes.

Les AirTags d’Apple offrent une solution pratique pour retrouver les objets perdus, mais ils peuvent également être détournés et utilisés de manière abusive. Il est essentiel de prendre des mesures de sécurité pour protéger votre vie privée. Apple a mis en place des fonctionnalités pour détecter les AirTags inconnus et émettre des avertissements, mais il est également important de faire preuve de vigilance et de signaler tout comportement suspect. En suivant ces conseils, vous pouvez profiter de la commodité des AirTags tout en protégeant votre vie privée et votre sécurité.

Pour lire une version plus complète de cet article sur les airtags et leur détournement possible, cliquez

Sources :

  1. Apple AirTags : tout savoir sur ce curieux accessoire qui vous permet de localiser vos objets perdus – Numerama
  2. AirTag : tout ce qu’il faut savoir sur les balises Bluetooth d’Apple (01net.com)
  3. AirTag – Apple (FR)
  4. AirTags : ce qu’il faut savoir sur les nouvelles balises d’Apple (lefigaro.fr)
  5. AirTag RGPD : L’AirTag d’Apple : un outil pratique ou une menace (dpo-partage.fr)

Par internet-et-droit • Tags: , , ,

La loi Waserman et la protection des lanceurs d’alerte

L’expression « lanceur d’alerte » n’existait pas en langue française avant le mois de janvier 1996. La formule, aujourd’hui utilisée dans de multiples contextes, avec un sens précis ou de manière allusive, souvent comme traduction du terme anglo-saxon whistleblower, a été créée à l’issue de la préparation d’un séminaire sur les risques. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Engagé dans un projet de recherche intitulé « Les prophètes de malheur », l’auteur de ces lignes a proposé ce néologisme pour dépasser des notions préexistantes, trop réductrices. Face à des processus complexes, pleins de tensions et d’incertitudes, il fallait mettre à distance les jugements de valeurs et trouver une autre formule, la plus juste possible, pour désigner les personnes ou les groupes qui, rompant le silence, passent à l’action pour signaler l’imminence, ou la simple possibilité, d’un enchaînement catastrophique. Au cours des années 1990, le terme francophone correspondant à whistleblower n’était autre que… « dénonciateur ». C’est seulement en 2006, au vu du succès grandissant de la notion de « lanceur d’alerte » dans les pays francophones européens, que l’Office québécois de la langue française a choisi de modifier la traduction.

L’histoire des lanceurs d’alerte en France doit beaucoup à l’action d’André Cicolella. Chimiste et toxicologue, il se fait connaître au début des années 1990 par son travail sur la toxicité des éthers de glycol. Ses interrogations sur les effets d’une classe de produits chimiques abondamment utilisés dans l’industrie lui valent un licenciement pour faute grave. Il est en effet sanctionné pour avoir organisé en avril 1994 un symposium international contre l’avis de la direction de son établissement. L’Institut national de recherche et de sécurité (INRS), son employeur, où il était entré en 1971, le congédie le mois suivant pour « insubordination délibérée et réitérée incompatible avec le fonctionnement normal d’une entreprise », faisant valoir que son statut d’ingénieur impliquait un lien de subordination à l’égard de sa hiérarchie. Cicolella proteste en arguant de son droit d’organiser librement des événements scientifiques, puisqu’il a agi en qualité de chercheur.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Portée en justice, l’affaire fait grand bruit lorsque la cour d’appel de Nancy, le 17 juin 1998, puis la chambre sociale de la Cour de cassation, le 11 octobre 2000, valident la position de Cicolella, constatant ainsi l’absence de cause réelle et sérieuse du licenciement. La liberté de la recherche est au cœur de conflits multiples, mais en l’espèce, le jugement s’appuie précisément sur sa qualité de toxicologue, qui lui confère le bénéfice de l’indépendance propre aux chercheurs. Le jugement fait jurisprudence et, bien que la notion de lanceur d’alerte ne soit pas directement mentionnée, il est considéré par plusieurs acteurs comme un précédent en matière de « protection des lanceurs d’alerte ».

Bien que contestés, il faut reconnaître aux lanceurs d’alertes le mérite de leurs dénonciations puisqu’elles ont permis de révéler certains méfaits qui ont vu le jour dans les domaines de la santé, de l’environnement, de la Défense, des finances ou de l’internet. Malheureusement, et trop souvent, ces mêmes dénonciations ont entraîné des conséquences néfastes tant sur le plan professionnel, que personnel et financier ; et la justice semble hésitante à de nombreux égards pour assurer une protection satisfaisante de ces derniers.

Dans un contexte sociétal qui tend à favoriser la prise de parole, tant dans la sphère privée que dans la sphère publique, et à la lumière des représailles qui pèsent sur ces derniers, le statut des lanceurs d’alerte a été réévalué.

Bien que la « loi Sapin 2 » ait apporté une première réponse, son régime a été modifié cinq ans après son adoption.

C’est à l’occasion de la transposition de la directive européenne du 23 octobre 2019 qu’a été promulguée le 21 mars 2022 (L. n° 2022 -401, 21 mars 2022 : JO 22 mars 2022), la loi dite « Waserman ». Elle a permis d’élever les standards en faveur d’une meilleure effectivité des dispositifs d’alerte au sein des entreprises françaises et ajoute des garanties substantielles non comprises dans la directive. Bien qu’elle se montre favorable à une protection accrue des lanceurs d’alerte, la loi ne néglige pas pour autant les entreprises.

I. Les précisions apportées par le nouveau régime juridique

En 2016 la France s’était dotée d’un dispositif introduit par la loi Sapin 2 qui a très largement contribué à la réflexion menée au niveau européen. D’une part cette loi obligeait les entreprises de plus de cinquante salariés à se doter d’un dispositif de recueil d’alertes, et d’autre part, elle accordait un statut et une protection aux lanceurs d’alerte. La France a ainsi été l’un des premiers pays à légiférer en la matière, faisant figure de pionnière.

La transposition de la directive européenne a permis de procéder à l’amélioration de la définition certains critères et d’étendre la protection accordée aux lanceurs d’alerte. La loi dite « Waserman » a permis de procéder à la correction de certaines de ses limites mises en évidence par le rapport d’évaluation parlementaire Gauvain-Marleix du 7 juillet 2021.

A. La clarification de la définition du lanceur d’alerte

Définition. Est à présent reconnue comme étant un lanceur d’alerte la personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation du droit international ou de l’Union européenne, de la loi ou du règlement.

Conditions pour bénéficier du statut de lanceur d’alerte. Pour rappel, sous l’empire de la loi Sapin 2 le statut de lanceur d’alerte était réservé aux personnes agissant de bonne foi et de manière désintéressée. L’ambiguïté du critère de désintéressement avait causé des difficultés d’interprétation devant les tribunaux. En réalité l’objectif poursuivi était de refuser le statut de lanceur d’alerte à toute personne qui recevrait une contrepartie financière pour procéder au signalement. En ce sens, l’article 1er de la loi du 21 mars 2022 a ainsi clarifié la notion de désintéressement en exigeant désormais que l’auteur du signalement agisse « sans contrepartie financière directe ». Toutefois, cela ne prive pas le lanceur d’alerte de recevoir des dons ultérieurement.

Même si cette nouvelle définition apporte une plus grande sécurité juridique, elle s’avère plus restrictive que celle de la directive qui se limite à exiger du lanceur d’alerte qu’il ait « des motifs raisonnables de croire que les informations signalées sont véridiques au moment du signalement », sans restriction liée à l’éventualité d’une contrepartie.

Selon la loi « Sapin 2 », le lanceur d’alerte devait aussi avoir « personnellement » connaissance des faits qu’il signalait. Cette condition est supprimée dans le contexte professionnel. Dans ce cadre, un lanceur d’alerte pourra ainsi signaler des faits qui lui ont été rapportés. Ainsi lorsqu’un salarié signale des faits qu’on lui aurait rapportés, il pourra tout de même bénéficier du statut de lanceur d’alerte.

Si la loi Sapin 2 permettait seulement aux membres du personnel et aux collaborateurs « extérieurs et occasionnels » d’effectuer un signalement interne, la loi du 21 mars 2022 étend cette possibilité aux anciens membres du personnel, aux candidats à un emploi, aux dirigeants, actionnaires, associés et tout titulaire de droits de vote au sein de l’assemblée générale de l’entité, aux membres de l’organe d’administration, de direction ou de surveillance de l’entité, aux cocontractants et sous-traitants ainsi qu’aux membres de leur organe d’administration, de direction ou de surveillance ou de leur personnel.

B. L’extension du champ de l’alerte

En plus d’avoir procédé à une clarification et à un élargissement de la définition du lanceur d’alerte, la loi « Waserman » s’attelle à l’extension du champ de l’alerte. Prévu par son article 1er la loi n’exige plus que la violation soit nécessairement « grave et manifeste », et que la menace ou le préjudice pour l’intérêt général soit « grave ».

A présent l’alerte peut porter sur la simple tentative de dissimulation d’une violation. Enfin, l’alerte n’aura plus l’obligation de porter sur « un crime ou un délit », mais seulement sur « des informations » portant sur un crime ou un délit.

Cependant il convient de rappeler certains domaines demeurent toutefois exclus (tels que le secret-défense, le secret médical et le secret avocat/client).

C. L’extension de la protection accordée à l’entourage du lanceur d’alerte

La législation « Sapin 2 » ne comportait aucune disposition concernant l’entourage du lanceur d’alerte. Cependant, cette directive européenne a introduit une innovation majeure en la matière. Son objectif est double, d’une part, garantir une protection plus étendue au lanceur d’alerte, et d’autre part, prévenir son isolement en mettant en place des mesures spécifiques pour l’accompagner.

Ainsi l’article 2 de la loi du 21 mars 2022 scinde l’entourage du lanceur d’alerte en trois catégories.

Pour commencer on distingue les personnes physiques ou morales de droit privé à but non lucratif qui aident un lanceur d’alerte à effectuer un signalement ou une divulgation. Elles sont à présent désignées comme des « facilitateurs ». Sur ce point, il convient de préciser que la législation française s’est octroyée certaines latitudes en élargissant la définition des « facilitateurs » aux entités morales de droit privé à but non lucratif, tandis que la directive se limite aux personnes physiques agissant dans un contexte professionnel.

Sont ensuite incluses les personnes physiques en lien avec le lanceur d’alerte et qui risquent des mesures de représailles dans le cadre de leurs activités professionnelles de la part de leur employeur, de leur client ou du destinataire de leurs services ;

Enfin sont comprises les entités juridiques contrôlées par un lanceur d’alerte, pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.

II. Le renforcement de la protection accordée au lanceur d’alerte et à ses proches

Au-delà des apports juridiques qui permettent de cerner les conditions pour bénéficier de ce régime de protection, les conditions elles-mêmes de la protection ont été améliorées. Elles englobent ainsi la réalité des représailles qui pèsent à la fois sur le lanceur d’alerte, mais également sur ses proches.

A. L’élargissement du champ des représailles et la sanction de la menace et de la tentative

Le principe d’interdiction des sanctions et discriminations énoncé par la loi Sapin 2 se concentrait principalement sur des mesures ayant un impact sur la carrière d’un salarié, telles que le licenciement, la formation, la promotion, la rémunération, l’affectation, etc.

Sous l’influence de la directive, la loi du 21 mars 2022 a intégré une liste plus exhaustive de représailles plus subtiles ou indirectes, incluant notamment les atteintes à la réputation de la personne sur les réseaux sociaux, les intimidations, ainsi que l’orientation abusive vers un traitement psychiatrique ou médical. Toute action ou décision liée à l’une de ces mesures sera automatiquement considérée comme nulle.

L’interdiction de prononcer des mesures de représailles s’étend également aux menaces et aux tentatives de recourir à de telles mesures.

B. Une mise à niveau de la protection des proches du lanceur d’alerte

Conformément à la directive, l’article 2 de la loi du 21 mars 2022 accorde une protection équivalente à l’entourage du lanceur d’alerte. Elle consacre ainsi l’irresponsabilité civile et pénale, l’interdiction de mesures de représailles à leur encontre, la procédure de référé prud’homale, la possibilité de bénéficier de l’inversion de la charge de la preuve, d’une provision pour frais d’instance, de l’abondement du compte professionnel de formation, de la procédure d’amende civile, etc. L’article 9 de la loi consacre également leur introduction à l’article 225-1 du Code pénal, réprimant ainsi toute discrimination à leur encontre.

III ’amélioration des conditions de signalement et les cas d’irresponsabilité

La transposition de la directive européenne à travers la loi du 21 mars 2022 a permis de faciliter les signalements ainsi que la protection accordée aux lanceurs d’alerte notamment en prévoyant des aides financières et psychologiques. Elle consacre également la mise en place d’une irresponsabilité pénale et civile du lanceur d’alerte. Ceci dit, cette protection n’est pas absolue puisqu’elle est soumise à certaines conditions.

A. Une nouvelle procédure de signalement

Sous l’empire de la loi « Sapin 2 », les canaux d’alerte étaient hiérarchisés en trois temps. Tout d’abord, un signalement interne devait obligatoirement avoir lieu. Autrement dit, le lanceur d’alerte devait nécessairement passer par son entreprise ou son administration afin de signaler des faits dont il avait connaissance.
Ensuite, et seulement en l’absence de traitement, un signalement externe pouvait avoir lieu auprès d’une l’autorité administrative ou judiciaire ou d’un ordre professionnel.
Le lanceur d’alerte pouvait donc uniquement procéder à une divulgation publique en dernier recours.

Cette hiérarchisation posait de nombreuses difficultés. Des risques de pressions ainsi que de représailles ont été déplorés à la suite des signalements effectués en interne. Par ailleurs, la procédure de signalement externe était complexe et peu connue.

Désormais le lanceur d’alerte est libre d’effectuer son signalement en suivant la voie interne ou de l’effectuer auprès soit de l’autorité compétente, soit du Défenseur des droits, soit à la justice ou à un organe européen. Un décret déterminera plus précisément la liste de ces autorités. Ces autorités devront traiter les signalements dans des délais qui seront également fixés par décret, mais qui ne pourront être supérieurs à ceux fixés par la directive, à savoir un délai de 7 jours pour accuser réception et de 3 mois (6 mois dans des cas dûment justifiés) pour traiter l’alerte.

Le choix d’un signalement en interne ou externe est à présent laissé au lanceur d’alerte puisque la loi met fin à l’ordre prédéfini à suivre lors d’un signalement. Rappelons tout de même que l’article 7 de la directive encourage le signalement en interne pour commencer.

Cependant certains auteurs soulignent les risques que cette nouvelle organisation fait peser sur les entreprises « Outre le risque d’antagoniser davantage les relations entre les salariés et l’entreprise, la fin de la hiérarchisation des canaux emporte avec elle un risque majeur pour les entreprises. Ces dernières seront privées de la primeur d’être informées en premier lieu d’éventuels dysfonctionnements en leur sein, d’enquêter sur les faits allégués et d’y remédier au plus vite, voire d’informer elles-mêmes les autorités en cas de faits graves afin de bénéficier d’une clémence en cas de résolution négociée. De manière plus générale, elle les expose au risque de dénonciations publiques par des salariés malintentionnés, qui serait hautement préjudiciable en termes de réputation. En somme, la nouvelle loi oblige les entreprises à redoubler d’efforts pour mettre en place des dispositifs d’alerte internes robustes, sophistiqués et incitatifs sans aucune garantie qu’ils soient utilisés par leurs salariés. Or, le dispositif d’alerte se situe au cœur du programme de conformité de l’entreprise et en constitue la colonne vertébrale. Un dispositif d’alerte efficace est un dispositif qui permet de remonter beaucoup d’alertes et à l’entreprise ultimement d’améliorer ses procédures internes afin d’éviter que les faits ne se reproduisent. »

Cependant, force est de constater que la nouvelle loi ne prévoit aucune sanction en cas d’absence de dispositif interne.

Enfin le lanceur d’alerte pourra recourir à l’alerte publique dans trois cas prévus par la loi. Tout d’abord, il pourra effectuer une divulgation publique s’il constate l’absence du traitement de son signalement externe dans un certain délai. Cette alerte pourra également être justifiée en cas de risque de représailles ou si le signalement n’a aucune chance d’aboutir ou enfin en cas de « danger grave et imminent » ou, pour les informations obtenues dans un cadre professionnel en cas de « danger imminent ou manifeste pour l’intérêt général ».

Par ailleurs une protection supplémentaire a été accordée aux personnes qui effectueraient un signalement ou une divulgation publique anonyme, mais dont l’identité serait révélée, comme les journalistes, d’obtenir le statut de lanceur d’alerte. Cette mesure s’inscrit dans le sens de la protection des sources.

B. Un soutien financier et psychologique

La loi vise également à limiter le fardeau financier, parfois considérable, des procédures auxquelles les lanceurs d’alerte sont confrontés. Le juge pourra, et ce dès le début du procès, accorder une avance pour frais de justice au lanceur d’alerte qui conteste une mesure de représailles ou une action en justice abusive visant à l’intimider et à le réduire au silence, comme une plainte en diffamation. Le juge peut également accorder une avance au lanceur d’alerte dont la situation financière s’est gravement détériorée. Ces avances peuvent devenir définitives à tout moment, même si le lanceur d’alerte perd le procès.

L’amende civile encourue en cas d’action en justice abusive contre un lanceur d’alerte est portée à 60 000 euros. Il est important de souligner que cette amende civile n’est pas incompatible avec l’octroi de dommages et intérêts au lanceur d’alerte.

Enfin, les lanceurs d’alerte pourront bénéficier de mesures de soutien psychologique et financier de la part des autorités externes, qu’elles soient saisies directement ou par l’intermédiaire du Défenseur des droits.

C. L’irresponsabilité pénale et civile du lanceur d’alerte

L’article 6 de la loi du 21 mars 2022 consacre le principe d’irresponsabilité civile du lanceur d’alerte en ce qui concerne les préjudices découlant de sa divulgation d’informations effectuée de manière de bonne foi. Ainsi, si le lanceur d’alerte avait des motifs raisonnables de croire que le signalement ou la divulgation publique des informations était nécessaire pour protéger les intérêts en question, il ne pourra pas être tenu responsable des dommages causés par ces actions.

La loi Sapin 2 prévoyait une exonération de responsabilité pénale du lanceur d’alerte en cas de divulgation d’informations portant atteinte à un secret légal. La loi « Waserman » étend cette exemption aux actes de soustraction, de détournement et de recel de documents confidentiels, à condition que le lanceur d’alerte ait obtenu légalement l’accès aux informations contenues dans ces documents. En d’autres termes, si le lanceur d’alerte signale des faits auxquels il a eu accès en effectuant des écoutes sur des membres de la direction, ou en accédant à des dossiers informatiques restreints, sa responsabilité pénale pourra toujours être engagée.

L’instauration de cette condition de licéité dans l’obtention de l’information vise à garantir un équilibre entre les droits des lanceurs d’alerte et la protection des entreprises, afin d’éviter d’encourager les employés mal intentionnés à commettre des infractions en toute impunité. L’objectif principal est de préserver un juste équilibre où la liberté d’expression et la dénonciation des abus sont protégées, tout en empêchant les actes illicites d’être commis sans conséquences.

Pour lire une version plus approfondie de cet article sur la protection des lanceurs d’alertes, cliquez

Sources :

 

Par internet-et-droit • Tags: , , , , ,

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement

Par internet-et-droit • Tags: , , ,

«< 4 5 6 7 8 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes