vie privée

RÈGLEMENT « DIGITAL SERVICES ACT » POUR UNE RESPONSABILISATION DES PLATEFORMES

Face à la montée de problématiques telles que la haine en ligne, la manipulation de l’information, la désinformation, et la contrefaçon, l’Union européenne (UE) a adopté une nouvelle mesure réglementaire, le Digital Services Act (DSA), pour réguler les activités des plateformes numériques, en particulier celles des géants du web, les GAFAM.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Promulgué le 19 octobre 2022, ce règlement a pour but d’accroître la protection des Européens dans un monde numérique en constante évolution. Il agit en tant que modernisation de la Directive du 8 juin 2000 sur le commerce électronique, cherchant à mettre à jour et à renforcer les dispositions de cette directive pour tenir compte de l’évolution rapide du paysage numérique.

Ainsi, Les plateformes en ligne devront proposer aux internautes un outil leur permettant de signaler facilement les contenus illicites. Une fois le signalement effectué, elles devront rapidement retirer ou bloquer l’accès au contenu illégal. Dans ce cadre, elles devront coopérer avec des « signaleurs de confiance ». Ce statut sera attribué dans chaque pays à des entités ou organisations en raison de leur expertise et de leurs compétences. Leurs notifications seront traitées en priorité.

Le règlement s’applique à tous les services intermédiaires fournis aux internautes et ayant leur lieu d’établissement ou de résidence dans l’union européenne.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Autrement dit, le lieu d’établissement de la plateforme ou du prestataire est sans incidence dès lors que la seule utilisation du service dans le territoire de l’union européenne permet au DSA d’être applicable.

Un tel règlement permet de protéger la cible des plateformes : les utilisateurs. En effet, tous les prestataires seront soumis aux mêmes obligations prévues par le DSA.

En somme, doivent se soumettre au DSA :

Les fournisseurs d’accès à internet ;

Les fournisseurs de services intermédiaires (services d’information, de mise en marche et d’hébergement) ;

Les plateformes en ligne telles que les réseaux sociaux, les plateformes marchandes, ou les plateformes de voyage et d’hébergement ;

Les moteurs de recherches et plateformes en ligne utilisés par plus de 45 millions d’Européens par mois et désignés comme « Très grande plateforme » par la Commission européenne.

A ce titre, en avril 2023, la Commission européenne a adopté les premières décisions listant 17 très grandes plateformes en ligne et 2 très grands moteurs de recherche en ligne touchant au moins 45 millions d’utilisateurs européens actifs par mois.

De ce fait, ces règlements pourront avoir un impact significatif et déterminant sur l’économie numérique mondiale.

Inquiets et désabusés devant les pratiques des géants du numérique qui constituent les GAFAM ou MAMAA, les institutions Européennes entendent bien mettre au pas ces grandes sociétés tentaculaires qui occupent une position presque oligopolistique sur ces différents marchés que sont le numérique et la publicité.

Ces règlements s’inscrivent également dans un mouvement de régulation sur internet qui vise notamment à stopper certains agissements des grandes plateformes, mieux protéger les internautes et à favoriser le jeu de la concurrence sur les marchés numériques. Responsabiliser ces acteurs incontournables semble donc nécessaire.

L’opacité des méthodes déployées par ces derniers engendre également de nombreux problèmes. C’est la raison pour laquelle le règlement DSA vise à apporter un nouveau cadre au système de recommandation de contenu aux utilisateurs (I) afin de mieux réguler les publicités ciblées (II).

I) Un cadre nouveau pour les systèmes de recommandations en ligne

Vous l’avez sans doute remarqué en surfant sur le web : les recommandations foisonnent sur les réseaux sociaux et les moteurs de recherche. Celles-ci sont rendues possibles grâce aux algorithmes de recommandation. (A) Pour faire face à ce système bien rôdé qui présente des risques certains pour les utilisateurs, l’Europe a mis en place un cadre juridique basé sur la transparence (B).

A) L’univers numérique : un monde gouverné par les algorithmes

De manière générale l’accès à l’information implique nécessairement l’usage d’algorithme. Tous les moteurs de recherche que nous utilisons les utilisent afin de nous diriger de manière optimale vers l’information recherchée. Les plateformes de partage de vidéos tels que Youtube ou Netflix ne sont pas en reste et les utilisent massivement.

Ces algorithmes influencent de manière radicale nos choix, nos goûts et nos envies.

C’est d’ailleurs ce qui avait été reproché à Google Shopping qui avait été condamnée en 2021 par le Tribunal de l’UE à une amende record de 2,42 milliards d’euros. Google avait alors auto préférencé les liens dirigeant vers Google Shopping, son propre comparateur de produit au détriment des autres concurrents. Cette pratique pourrait par le biais des recommandations être appliquée.

Dans une étude publiée par le Conseil supérieur de l’Audiovisuel en 2019, il ressortait que les critères qui gouvernent les algorithmes sont : les préférences et historique de consommation des utilisateurs, les types de contenus, les partages, les commentaires, les likes, les sites visités… La manière dont ces données alimentent les algorithmes et l’utilisation qui en est faite par ces derniers reste un mystère.

Le système manque singulièrement de transparence et aucune explication n’est faite à propos des contenus qui sont proposés aux utilisateurs.

Pourtant comme cela a été mis en évidence dans l’affaire Google Shopping l’importance du classement d’une information ou d’un produit est déterminante, et c’est bien le danger que représente ce système opaque qui peut engendrer non seulement des comportements déloyaux envers les concurrents, mais également des effets extrêmement négatifs sur les habitudes de consommation de l’ensemble des utilisateurs.

Un mauvais usage de cette puissance informationnelle pourrait conduire à biens des catastrophes (manipulation des utilisateurs, relayage de fausses informations). C’est d’ailleurs ce point qui ressort dans les considérants du règlement ici présenté : les systèmes de recommandation algorithmique jouent un rôle important dans l’amplification de certains messages et la diffusion d’informations.

On est alors en mesure de s’interroger sur la variété et la qualité des points de vue donnés par le moteur de recherche sur un sujet donné à ses utilisateurs.

Déjà sanctionnées sous le prisme du droit de la concurrence par le Digital Market Act, le règlement qui accompagne le DSA vient interdite les pratiques d’auto-préférence, lorsqu’elles revêtent un caractère anticoncurrentiel, les modes de fonctionnement des algorithmes devront être dévoilées au grand jour par l’instauration par le DSA d’obligations de transparence et d’explicabilité.

B) Une obligation renforcée de transparence et d’explication

Explicabilité et transparence sont les maitres mots du DSA. L’importance des systèmes de recommandation algorithmique n’est plus à prouver et les risques qu’ils entrainent sont certains. Le législateur Européen l’a bien compris et le DSA désigne désormais ces systèmes de recommandation comme étant de potentiels « facteurs d’aggravation des risques systémiques » portés par les très grandes plateformes.

Le règlement vient imposer à ces dernières de prévoir au moins une option de système de recommandation n’étant pas fondée sur le profilage.

A l’égard de toutes les plateformes le DSA vient créer des obligations de transparence et d’explicabilité de leur système de recommandation.

L’article 24 bis du DSA prévoit ainsi une obligation pour les plateformes d’intégrer dans leurs conditions générales « dans un langage clair et compréhensible, les principaux paramètres utilisés dans leurs systèmes de recommandation, ainsi que toute option permettant aux bénéficiaires du service de modifier et d’influencer ces principaux paramètres ».  Les plateformes devront ainsi permettre aux utilisateurs de paramétrer eux-mêmes les algorithmes de recommandation.

L’article apporte par la suite des précisions sur les informations qui devront figurer dans les conditions générales pour satisfaire aux exigences du paragraphe susmentionné. Ces informations devront comprendre les critères les plus significatifs qui permettent aux algorithmes de dresser leurs recommandations.

L’objectif visé par le législateur est de contraindre les plateformes à informer les utilisateurs que d’une part les informations qui lui sont présentées ont fait l’objet d’un reclassement par ordre de priorité, et comment d’autre part cet ordre de priorité est déterminé et à partir de quelles informations.

L’explicabilité et la transparence impliquent nécessairement une exigence de clarté et d’intelligibilité des explications ainsi transmises à l’utilisateur. C’est la raison pour laquelle l’article 24 bis du DSA mentionne un « langage clair et compréhensible ».

Cette obligation d’intelligibilité s’inscrit dans la continuité du règlement RGPD qui visait à rendre l’utilisation des données personnelles des utilisateurs par les plateformes numériques compréhensible. La formule « langage clair et compréhensible » sera par la suite reprise dans de nombreux points du DSA. (Article 12 du DSA qui oblige à faire usage d’un langage clair et compréhensible dans les conditions générales, ou encore l’article 38 qui impose une fois encore une obligation spécifique de clarté et d’adaptation du langage utilisé dès lors que le public visé est constitué de mineurs).

Dorénavant les grandes plateformes devront également fournir un résumé clair et concis des habituelles conditions générales interminables, dont personne ne daigne réellement prêter attention.

Cet encadrement des systèmes de recommandation a de toute évidence pour finalité de protéger l’utilisateur des plateformes. L’utilisateur doit rester conscient du fonctionnement de ces dernières afin de préserver un consentement libre et éclairé à tout acte qu’il effectuera sur les plateformes.

II) L’émergence d’un cadre juridique pour la publicité ciblée

La publicité ciblée est massivement utilisée par les plateformes du numérique et génère des revenus considérables. Pouvant avoir de nombreuses conséquences sur le comportement des consommateurs et sur le jeu de la concurrence, le recours à ces méthodes de publicité doit être fortement encadré. C’est la raison pour laquelle le législateur vient ici encore imposer aux plateformes une obligation renforcée de transparence en ce qui concerne la publicité ciblée (A). Ces obligations vont bouleverser les méthodes des plateformes numériques et fortement sensibiliser les consommateurs, ce qui risque de mener à une forte réduction de ces dernières (B).

A. La publicité ciblée au cœur des obligations de transparence

La CNIL définit la publicité ciblée comme étant une technique publicitaire qui vise à identifier les personnes individuellement afin de leur diffuser des messages publicitaires spécifiques en fonction de leurs caractéristiques individuelles.

Ce procédé représente aujourd’hui une part de revenus considérable pour les plateformes du numérique (près de 7 678 milliards d’euros de recette rien qu’en France en 2021) et apparait être l’un des piliers de l’économie numérique ainsi que la principale cause de collectes des données personnelles.

A la différence des publicités classiques qui font l’objet d’espaces dédiés et sont clairement identifiées, les publicités ciblées sont intégrées dans le flux de contenu habituel des utilisateurs.

Partant de ce constat, le DSA instaure un nouveau cadre particulièrement restrictif et allant au-delà de ce qui découlait de l’application du RGPD et de la directive e-privacy,  sans préjudice des principes posés par ces textes.

Désormais les plateformes devront veiller à ce que les utilisateurs soient informés de la présence de ces publicités. Ces dernières devront également être clairement identifiables par le consommateur moyen et ce de manière non ambiguë. Cette identification passera par l’apposition obligatoire de marques visuelles et sonores qui devront être adaptées à la nature de l’interface en question (Youtube, Facebook, Instagram etc…).

L’article 24 du DSA viendra ainsi contraindre les plateformes à :

  • Rendre visible et identifiable tout contenu publicitaire ;
  • Rendre identifiable la personne au nom et pour le compte de qui la publicité est diffusée ;
  • Exposer les paramètres utilisés pour cibler le consommateur

Désormais le ciblage publicitaire ne pourra plus être réalisé sur la base de données « sensibles » au sens du RGPD et ne pourra plus être réalisé à destination des mineurs.

Ces obligations ne sont pas sans faire échos au scandale « Cambridge Analytica » et à l’utilisation de données personnelles liées aux convictions politiques dans un but d’influencer le comportement les électeurs.

Il est à espérer que ces obligations auront un impact significatif sur la perception du consommateur ainsi que sur l’usage de la publicité ciblée.

B. L’éventuel impact sur les revenus des plateformes générés par la publicité ciblée

Il est probable que les limites posées par le DSA à l’utilisation des systèmes de profilage pour proposer des publicités aux utilisateurs pourraient conduire à une forte diminution de son importance.

L’interdiction faite aux plateformes de proposer de la publicité au mineur risque de bouleverser considérablement le modèle économique de ces dernières. En effet le DSA précise que les plateformes ne pourront proposer de la publicité ciblée lorsqu’elles savent avec « une certitude raisonnable que les utilisateurs sont mineurs ».

L’article 52 du DSA vient par la suite préciser qu’une plateforme est considérée comme accessible aux mineurs lorsque ses conditions générales permettent à ces derniers d’utiliser le service.

Si l’on retient une interprétation stricte de cet article, toute plateforme qui autorise aux mineurs l’accès à ses services devrait soit bannir toute publicité ciblée de son modèle, soit parvenir à distinguer parmi ses utilisateurs lesquels sont mineurs ou majeurs de manière fiable.

Une autre disposition intéressante fait son apparition à la lecture de l’article 24 du DSA qui prévoit que les plateformes ne pourront collecter plus d’informations qu’habituellement au prétexte de pouvoir continuer à mettre en œuvre la publicité ciblée.

Les plateformes pourraient mettre en place des mécanismes afin de contourner ces obligations, tels que l’instauration d’un système déclaratif de l’âge des utilisateurs ou autres déclarations sur l’honneur. Ces mécanismes ont déjà sur certaines plateformes été mis en place et ont brillé par leur inefficacité. En l’absence d’identité numérique, toute identification effective reste pour l’instant impossible.

L’article 29 du DSA vient également préciser que les très grandes plateformes (Youtube, Google, Facebook, Tiktok etc..) doivent fournir au moins une option pour leurs systèmes de recommandation qui ne soit pas fondée sur le profilage. Les très grandes plateformes devront donc proposer aux utilisateurs un moyen de désactiver les publicités ciblées.

Toutes ces mesures devraient conduire inexorablement de nombreux utilisateurs à désactiver les publicités ciblées de leur interface, et ainsi par voie de conséquence conduire à une forte diminution des recettes astronomiques réalisées par les très grandes plateformes.

Certaines plateformes qui visent principalement un public mineur (Tiktok, Snapchat) se verront en principe interdire totalement le recours à la publicité ciblée.

Bien que le DSA n’entraine pas l’interdiction complète de l’usage de la publicité ciblée, il en réduira très certainement la portée.

Toutes ces mesures sont à saluer dans un contexte tel que celui que nous connaissons aujourd’hui, fortement marqué par la montée en puissance de ces géants du numérique. Ces derniers disposant d’un pouvoir financier et d’influence sans limite ne devraient plus continuer bien longtemps à œuvrer en toute impunité.

Pour lire une version plus complète de cet article sur le digital act et la responsabilité des plateformes de commerce électronique, cliquez

Sources :

https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act#:~:text=Les%20plateformes%20en%20ligne%20devront,des%20″signaleurs%20de%20confiance« .
https://www.plravocats.fr/blog/technologies-propriete-intellectuelle-media/tout-comprendre-du-digital-services-act-dsa
https://www.vie-publique.fr/dossier/284898-dsa-et-dma-tout-savoir-sur-les-nouveaux-reglements-europeens
https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act
https://www.economie.gouv.fr/legislation-services-numeriques-dsa-adoption-definitive-text
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2065
Communications électroniques – Quel système de gouvernance pour le DMA et le DSA ? – Focus par Laurence IDOT (Lexis)

CREATION DE FAUX PROFIL, PHISHING, USURPATION D’IDENTE

Dans notre monde numérique en constante évolution, la création de faux profils, le phishing et l’usurpation d’identité sont devenus des problèmes de plus en plus préoccupants.

Avec la prolifération des médias sociaux, des plateformes en ligne et des transactions électroniques, il est devenu plus facile pour les individus malveillants de se cacher derrière des identités fictives et de causer des préjudices considérables.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La création de faux profils est une pratique courante utilisée par les fraudeurs pour tromper et manipuler les utilisateurs en ligne. Ces faux profils peuvent être créés sur les réseaux sociaux, les sites de rencontres ou même les plateformes de vente en ligne. Les motivations derrière cette pratique peuvent varier, allant du simple vol d’informations personnelles à l’escroquerie financière.

Les fraudeurs utilisent souvent des photos et des informations volées pour créer ces faux profils, donnant ainsi l’illusion d’une personne réelle. Une fois que la confiance est établie, ils peuvent commencer à exploiter les utilisateurs, en leur demandant des informations confidentielles ou en les incitant à effectuer des transactions frauduleuses. Il est donc essentiel d’être prudent et de vérifier l’authenticité d’un profil avant de partager des informations personnelles ou de s’engager dans des interactions en ligne.

Le phishing et l’usurpation d’identité sont des pratiques sournoises utilisées par les cybercriminels pour obtenir des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des données personnelles. Le phishing est généralement effectué par le biais de courriels ou de messages trompeurs qui semblent provenir de sources fiables, comme des institutions financières ou des sites de commerce électronique.

Les fraudeurs tentent ainsi de tromper les utilisateurs et de les inciter à divulguer leurs informations confidentielles. L’usurpation d’identité, quant à elle, consiste à se faire passer pour quelqu’un d’autre afin de tirer profit de cette usurpation. Les cybercriminels peuvent utiliser les informations personnelles volées pour effectuer des achats frauduleux, commettre des actes de vandalisme en ligne ou même commettre des crimes plus graves.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


La création de faux profils, le phishing et l’usurpation d’identité sont des problèmes sérieux qui nécessitent une vigilance constante. En étant conscients des risques et en adoptant des mesures préventives, tels que la vérification des profils et la sensibilisation à la sécurité en ligne, nous pouvons protéger notre identité et notre confidentialité en ligne. Il est temps de prendre des mesures pour garantir notre sécurité dans le monde numérique d’aujourd’hui.

I. La création de faux profils

  1. Les motivations derrière la création de faux profils :

La création de faux profils est devenue une pratique courante sur les médias sociaux et les plateformes en ligne. Les individus malveillants utilisent de fausses informations personnelles et des photos volées pour se dissimuler derrière une identité fictive. Ces faux profils peuvent être utilisés pour l’arnaque en ligne, l’intimidation, le harcèlement, l’espionnage ou même pour voler des informations sensibles. Pour éviter de tomber dans le piège, assurez-vous de vérifier attentivement les profils avant d’établir une relation en ligne et signalez tout comportement suspect aux administrateurs de la plateforme. Quelle que soit la motivation, la création de faux profils porte atteinte à la confiance en ligne et peut avoir des conséquences néfastes pour les victimes.

  1. Les dangers de la création de faux profils :

L’un des dangers les plus évidents de la création de faux profils est la propagation de fausses informations. Les faux profils peuvent être utilisés pour diffuser des rumeurs, propager des discours de haine ou même nuire à la réputation d’une personne. De plus, les faux profils peuvent être utilisés pour l’usurpation d’identité, où les informations personnelles d’une personne sont utilisées à des fins malveillantes.

  1. Les conséquences de la création de faux profils :

Les conséquences de la création de faux profils peuvent être graves. Les victimes peuvent subir des atteintes à leur vie privée, des dommages à leur réputation et même des préjudices émotionnels. De plus, si les faux profils sont utilisés à des fins d’arnaque, les victimes peuvent subir des pertes financières importantes. Il est essentiel de prendre cette menace au sérieux et de mettre en place des mesures pour se protéger.

  1. Comment se protéger de la création de faux profils :

– Soyez attentif aux signes révélateurs de faux profils, tels que des photos douteuses, des informations contradictoires ou des activités suspectes.

– Vérifiez attentivement les profils avant d’établir une relation en ligne ou de partager des informations personnelles.

– Ne partagez pas d’informations sensibles avec des personnes que vous ne connaissez pas en personne.

– Signalez tout faux profil aux administrateurs des plateformes concernées.

– Protégez vos informations personnelles en utilisant des paramètres de confidentialité appropriés sur les médias sociaux et en évitant de les partager publiquement.

La création de faux profils en ligne présente de nombreux dangers et conséquences néfastes. Il est essentiel d’être vigilant et de prendre des mesures pour protéger notre identité en ligne. En sensibilisant les autres à cette pratique et en signalant les faux profils, nous contribuons à maintenir un environnement en ligne plus sûr et plus fiable. N’oubliez pas que la confiance en ligne repose sur l’authenticité et l’intégrité, et en travaillant ensemble, nous pouvons limiter l’impact de la création de faux profils.

II. Le phishing : Comment se protéger des attaques en ligne

  1. Qu’est-ce que le phishing ?

Le phishing est une technique sophistiquée utilisée par les cybercriminels pour obtenir des informations confidentielles. Ils se font passer pour des entités légitimes, telles que des banques ou des entreprises bien connues, et envoient des e-mails ou des messages trompeurs demandant aux destinataires de divulguer leurs informations personnelles. Soyez vigilant face à ces tentatives de phishing en vérifiant toujours l’authenticité des expéditeurs, en évitant de cliquer sur des liens suspects et en utilisant des outils de sécurité tels que des logiciels antivirus et des filtres anti-spam.

  1. Comment fonctionne le phishing ?

Les cybercriminels utilisent diverses techniques pour tromper les utilisateurs. Ils peuvent envoyer des e-mails ou des messages texte qui semblent provenir d’une marque ou d’une institution bien connue, demandant aux utilisateurs de mettre à jour leurs informations ou de cliquer sur un lien suspect. Ces liens redirigent souvent les utilisateurs vers des sites web frauduleux qui ressemblent à s’y méprendre aux sites légitimes, mais qui sont conçus pour voler des informations.

  1. Comment se protéger contre le phishing ?

– Soyez vigilant : Méfiez-vous des e-mails, des messages texte ou des appels téléphoniques non sollicités vous demandant de fournir des informations personnelles. Vérifiez toujours l’authenticité de l’expéditeur ou de l’appelant.

– Ne cliquez pas sur les liens suspects : Évitez de cliquer sur des liens provenant de sources non fiables ou douteuses. Si vous avez des doutes, rendez-vous directement sur le site officiel de l’organisation concernée.

– Utilisez des outils de sécurité : Installez un logiciel antivirus et un pare-feu pour protéger votre ordinateur ou votre appareil mobile contre les attaques de phishing. – Mettez à jour vos logiciels : Assurez-vous que tous vos logiciels sont à jour, car les mises à jour contiennent souvent des correctifs de sécurité importants.

Il peut être réprimé en vertu de l’article 323-1 du Code pénal, qui punit le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de trois ans d’emprisonnement et de 100 000 € d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de cinq ans d’emprisonnement et de 150 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à sept ans d’emprisonnement et à 300 000 € d’amende.

Le phishing est une menace sérieuse qui peut causer des pertes financières et compromettre la sécurité des utilisateurs en ligne. En étant attentif et en prenant des mesures de sécurité appropriées, nous pouvons réduire les risques d’être victime d’une attaque de phishing. Souvenez-vous toujours de rester méfiant face aux demandes de renseignements personnels et de signaler tout cas suspect aux autorités compétentes. J’espère que cet article te sera utile pour comprendre le phishing et prendre les mesures nécessaires pour te protéger en ligne.

 III. L’usurpation d’identité

  1. Qu’est-ce que l’usurpation d’identité ?

En France, cela peut être répréhensible en vertu de l’article 226-4-1 du Code pénal, qui punit le fait d’usurper l’identité d’un tiers de l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération. Les sanctions pour cette infraction peuvent inclure des amendes et des peines de prison.

  1. Les dangers de l’usurpation d’identité :

L’usurpation d’identité peut avoir des conséquences graves. Les victimes peuvent subir des pertes financières importantes, des dommages à leur réputation, et une détresse émotionnelle considérable. De plus, il peut être difficile de récupérer son identité une fois qu’elle a été usurpée. Les victimes doivent souvent faire face à des tracas administratifs, des litiges avec les institutions financières et une violation de leur vie privée.

  1. Comment se protéger contre l’usurpation d’identité :

– Protégez vos informations personnelles : Ne partagez pas d’informations sensibles en ligne, à moins que cela ne soit absolument nécessaire. Utilisez des mots de passe forts et uniques pour vos comptes en ligne, et évitez de les réutiliser sur plusieurs plateformes.

– Soyez vigilant : Surveillez régulièrement vos relevés bancaires et vérifiez vos comptes en ligne pour détecter toute activité suspecte. Si vous constatez quelque chose d’anormal, signalez-le immédiatement à votre banque ou à l’institution concernée.

– Utilisez la vérification en deux étapes : Activez la vérification en deux étapes pour renforcer la sécurité de vos comptes en ligne. Cela ajoute une couche supplémentaire de protection en exigeant un code ou une confirmation supplémentaire lors de la connexion.

– Méfiez-vous des tentatives de phishing : Soyez prudent avec les e-mails et les messages suspects. Ne cliquez pas sur les liens ou les pièces jointes provenant de sources non fiables, et ne fournissez jamais d’informations personnelles par e-mail ou par message.

  1. Que faire si vous êtes victime d’usurpation d’identité :

– Signalez immédiatement le problème à la police et aux autorités compétentes.

– Contactez votre banque pour bloquer vos comptes et émettre de nouvelles cartes si nécessaire. – Informez les bureaux de crédit pour surveiller votre historique de crédit et vous protéger contre les activités frauduleuses.

– Modifiez tous vos mots de passe et mettez en place des mesures de sécurité supplémentaires pour vos comptes en ligne.

L’usurpation d’identité en ligne est une menace sérieuse qui peut causer de nombreux problèmes et préjudices. En prenant des mesures pour protéger vos informations personnelles et en étant vigilant face aux tentatives de fraudes, vous pouvez réduire les risques d’être victime d’usurpation d’identité. N’oubliez pas de signaler toute activité suspecte et de prendre les mesures appropriées pour protéger votre identité en ligne.

Pour lire une version plus complète de cet article sur le pishing, cliquez

Sources :

  1. Cour de cassation, criminelle, Chambre criminelle, 24 janvier 2018, 16-83.045, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  2. Cour de cassation, criminelle, Chambre criminelle, 23 janvier 2019, 18-82.833, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  3. Cour de cassation, civile, Chambre commerciale, 28 mars 2018, 16-20.018, Publié au bulletin – Légifrance (legifrance.gouv.fr)
  4. Cour de cassation, civile, Chambre commerciale, 22 janvier 2020, 18-18.640, Inédit – Légifrance (legifrance.gouv.fr)
  5. Cour de cassation, civile, Chambre commerciale, 13 février 2019, 17-23.139, Inédit – Légifrance (legifrance.gouv.fr)
  6. Cour de cassation, criminelle, Chambre criminelle, 6 septembre 2023, 23-80.684, Inédit – Légifrance (legifrance.gouv.fr)
  7. Cour de cassation, criminelle, Chambre criminelle, 2 septembre 2020, 19-87.356, Inédit – Légifrance (legifrance.gouv.fr)
  8. Cour de cassation, criminelle, Chambre criminelle, 16 novembre 2016, 16-80.207, Inédit – Légifrance (legifrance.gouv.fr)

 

La loi Waserman et la protection des lanceurs d’alerte

L’expression « lanceur d’alerte » n’existait pas en langue française avant le mois de janvier 1996. La formule, aujourd’hui utilisée dans de multiples contextes, avec un sens précis ou de manière allusive, souvent comme traduction du terme anglo-saxon whistleblower, a été créée à l’issue de la préparation d’un séminaire sur les risques. 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Engagé dans un projet de recherche intitulé « Les prophètes de malheur », l’auteur de ces lignes a proposé ce néologisme pour dépasser des notions préexistantes, trop réductrices. Face à des processus complexes, pleins de tensions et d’incertitudes, il fallait mettre à distance les jugements de valeurs et trouver une autre formule, la plus juste possible, pour désigner les personnes ou les groupes qui, rompant le silence, passent à l’action pour signaler l’imminence, ou la simple possibilité, d’un enchaînement catastrophique. Au cours des années 1990, le terme francophone correspondant à whistleblower n’était autre que… « dénonciateur ». C’est seulement en 2006, au vu du succès grandissant de la notion de « lanceur d’alerte » dans les pays francophones européens, que l’Office québécois de la langue française a choisi de modifier la traduction.

L’histoire des lanceurs d’alerte en France doit beaucoup à l’action d’André Cicolella. Chimiste et toxicologue, il se fait connaître au début des années 1990 par son travail sur la toxicité des éthers de glycol. Ses interrogations sur les effets d’une classe de produits chimiques abondamment utilisés dans l’industrie lui valent un licenciement pour faute grave. Il est en effet sanctionné pour avoir organisé en avril 1994 un symposium international contre l’avis de la direction de son établissement. L’Institut national de recherche et de sécurité (INRS), son employeur, où il était entré en 1971, le congédie le mois suivant pour « insubordination délibérée et réitérée incompatible avec le fonctionnement normal d’une entreprise », faisant valoir que son statut d’ingénieur impliquait un lien de subordination à l’égard de sa hiérarchie. Cicolella proteste en arguant de son droit d’organiser librement des événements scientifiques, puisqu’il a agi en qualité de chercheur.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Portée en justice, l’affaire fait grand bruit lorsque la cour d’appel de Nancy, le 17 juin 1998, puis la chambre sociale de la Cour de cassation, le 11 octobre 2000, valident la position de Cicolella, constatant ainsi l’absence de cause réelle et sérieuse du licenciement. La liberté de la recherche est au cœur de conflits multiples, mais en l’espèce, le jugement s’appuie précisément sur sa qualité de toxicologue, qui lui confère le bénéfice de l’indépendance propre aux chercheurs. Le jugement fait jurisprudence et, bien que la notion de lanceur d’alerte ne soit pas directement mentionnée, il est considéré par plusieurs acteurs comme un précédent en matière de « protection des lanceurs d’alerte ».

Bien que contestés, il faut reconnaître aux lanceurs d’alertes le mérite de leurs dénonciations puisqu’elles ont permis de révéler certains méfaits qui ont vu le jour dans les domaines de la santé, de l’environnement, de la Défense, des finances ou de l’internet. Malheureusement, et trop souvent, ces mêmes dénonciations ont entraîné des conséquences néfastes tant sur le plan professionnel, que personnel et financier ; et la justice semble hésitante à de nombreux égards pour assurer une protection satisfaisante de ces derniers.

Dans un contexte sociétal qui tend à favoriser la prise de parole, tant dans la sphère privée que dans la sphère publique, et à la lumière des représailles qui pèsent sur ces derniers, le statut des lanceurs d’alerte a été réévalué.

Bien que la « loi Sapin 2 » ait apporté une première réponse, son régime a été modifié cinq ans après son adoption.

C’est à l’occasion de la transposition de la directive européenne du 23 octobre 2019 qu’a été promulguée le 21 mars 2022 (L. n° 2022 -401, 21 mars 2022 : JO 22 mars 2022), la loi dite « Waserman ». Elle a permis d’élever les standards en faveur d’une meilleure effectivité des dispositifs d’alerte au sein des entreprises françaises et ajoute des garanties substantielles non comprises dans la directive. Bien qu’elle se montre favorable à une protection accrue des lanceurs d’alerte, la loi ne néglige pas pour autant les entreprises.

I. Les précisions apportées par le nouveau régime juridique

En 2016 la France s’était dotée d’un dispositif introduit par la loi Sapin 2 qui a très largement contribué à la réflexion menée au niveau européen. D’une part cette loi obligeait les entreprises de plus de cinquante salariés à se doter d’un dispositif de recueil d’alertes, et d’autre part, elle accordait un statut et une protection aux lanceurs d’alerte. La France a ainsi été l’un des premiers pays à légiférer en la matière, faisant figure de pionnière.

La transposition de la directive européenne a permis de procéder à l’amélioration de la définition certains critères et d’étendre la protection accordée aux lanceurs d’alerte. La loi dite « Waserman » a permis de procéder à la correction de certaines de ses limites mises en évidence par le rapport d’évaluation parlementaire Gauvain-Marleix du 7 juillet 2021.

A. La clarification de la définition du lanceur d’alerte

Définition. Est à présent reconnue comme étant un lanceur d’alerte la personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation du droit international ou de l’Union européenne, de la loi ou du règlement.

Conditions pour bénéficier du statut de lanceur d’alerte. Pour rappel, sous l’empire de la loi Sapin 2 le statut de lanceur d’alerte était réservé aux personnes agissant de bonne foi et de manière désintéressée. L’ambiguïté du critère de désintéressement avait causé des difficultés d’interprétation devant les tribunaux. En réalité l’objectif poursuivi était de refuser le statut de lanceur d’alerte à toute personne qui recevrait une contrepartie financière pour procéder au signalement. En ce sens, l’article 1er de la loi du 21 mars 2022 a ainsi clarifié la notion de désintéressement en exigeant désormais que l’auteur du signalement agisse « sans contrepartie financière directe ». Toutefois, cela ne prive pas le lanceur d’alerte de recevoir des dons ultérieurement.

Même si cette nouvelle définition apporte une plus grande sécurité juridique, elle s’avère plus restrictive que celle de la directive qui se limite à exiger du lanceur d’alerte qu’il ait « des motifs raisonnables de croire que les informations signalées sont véridiques au moment du signalement », sans restriction liée à l’éventualité d’une contrepartie.

Selon la loi « Sapin 2 », le lanceur d’alerte devait aussi avoir « personnellement » connaissance des faits qu’il signalait. Cette condition est supprimée dans le contexte professionnel. Dans ce cadre, un lanceur d’alerte pourra ainsi signaler des faits qui lui ont été rapportés. Ainsi lorsqu’un salarié signale des faits qu’on lui aurait rapportés, il pourra tout de même bénéficier du statut de lanceur d’alerte.

Si la loi Sapin 2 permettait seulement aux membres du personnel et aux collaborateurs « extérieurs et occasionnels » d’effectuer un signalement interne, la loi du 21 mars 2022 étend cette possibilité aux anciens membres du personnel, aux candidats à un emploi, aux dirigeants, actionnaires, associés et tout titulaire de droits de vote au sein de l’assemblée générale de l’entité, aux membres de l’organe d’administration, de direction ou de surveillance de l’entité, aux cocontractants et sous-traitants ainsi qu’aux membres de leur organe d’administration, de direction ou de surveillance ou de leur personnel.

B. L’extension du champ de l’alerte

En plus d’avoir procédé à une clarification et à un élargissement de la définition du lanceur d’alerte, la loi « Waserman » s’attelle à l’extension du champ de l’alerte. Prévu par son article 1er la loi n’exige plus que la violation soit nécessairement « grave et manifeste », et que la menace ou le préjudice pour l’intérêt général soit « grave ».

A présent l’alerte peut porter sur la simple tentative de dissimulation d’une violation. Enfin, l’alerte n’aura plus l’obligation de porter sur « un crime ou un délit », mais seulement sur « des informations » portant sur un crime ou un délit.

Cependant il convient de rappeler certains domaines demeurent toutefois exclus (tels que le secret-défense, le secret médical et le secret avocat/client).

C. L’extension de la protection accordée à l’entourage du lanceur d’alerte

La législation « Sapin 2 » ne comportait aucune disposition concernant l’entourage du lanceur d’alerte. Cependant, cette directive européenne a introduit une innovation majeure en la matière. Son objectif est double, d’une part, garantir une protection plus étendue au lanceur d’alerte, et d’autre part, prévenir son isolement en mettant en place des mesures spécifiques pour l’accompagner.

Ainsi l’article 2 de la loi du 21 mars 2022 scinde l’entourage du lanceur d’alerte en trois catégories.

Pour commencer on distingue les personnes physiques ou morales de droit privé à but non lucratif qui aident un lanceur d’alerte à effectuer un signalement ou une divulgation. Elles sont à présent désignées comme des « facilitateurs ». Sur ce point, il convient de préciser que la législation française s’est octroyée certaines latitudes en élargissant la définition des « facilitateurs » aux entités morales de droit privé à but non lucratif, tandis que la directive se limite aux personnes physiques agissant dans un contexte professionnel.

Sont ensuite incluses les personnes physiques en lien avec le lanceur d’alerte et qui risquent des mesures de représailles dans le cadre de leurs activités professionnelles de la part de leur employeur, de leur client ou du destinataire de leurs services ;

Enfin sont comprises les entités juridiques contrôlées par un lanceur d’alerte, pour lesquelles il travaille ou avec lesquelles il est en lien dans un contexte professionnel.

II. Le renforcement de la protection accordée au lanceur d’alerte et à ses proches

Au-delà des apports juridiques qui permettent de cerner les conditions pour bénéficier de ce régime de protection, les conditions elles-mêmes de la protection ont été améliorées. Elles englobent ainsi la réalité des représailles qui pèsent à la fois sur le lanceur d’alerte, mais également sur ses proches.

A. L’élargissement du champ des représailles et la sanction de la menace et de la tentative

Le principe d’interdiction des sanctions et discriminations énoncé par la loi Sapin 2 se concentrait principalement sur des mesures ayant un impact sur la carrière d’un salarié, telles que le licenciement, la formation, la promotion, la rémunération, l’affectation, etc.

Sous l’influence de la directive, la loi du 21 mars 2022 a intégré une liste plus exhaustive de représailles plus subtiles ou indirectes, incluant notamment les atteintes à la réputation de la personne sur les réseaux sociaux, les intimidations, ainsi que l’orientation abusive vers un traitement psychiatrique ou médical. Toute action ou décision liée à l’une de ces mesures sera automatiquement considérée comme nulle.

L’interdiction de prononcer des mesures de représailles s’étend également aux menaces et aux tentatives de recourir à de telles mesures.

B. Une mise à niveau de la protection des proches du lanceur d’alerte

Conformément à la directive, l’article 2 de la loi du 21 mars 2022 accorde une protection équivalente à l’entourage du lanceur d’alerte. Elle consacre ainsi l’irresponsabilité civile et pénale, l’interdiction de mesures de représailles à leur encontre, la procédure de référé prud’homale, la possibilité de bénéficier de l’inversion de la charge de la preuve, d’une provision pour frais d’instance, de l’abondement du compte professionnel de formation, de la procédure d’amende civile, etc. L’article 9 de la loi consacre également leur introduction à l’article 225-1 du Code pénal, réprimant ainsi toute discrimination à leur encontre.

III ’amélioration des conditions de signalement et les cas d’irresponsabilité

La transposition de la directive européenne à travers la loi du 21 mars 2022 a permis de faciliter les signalements ainsi que la protection accordée aux lanceurs d’alerte notamment en prévoyant des aides financières et psychologiques. Elle consacre également la mise en place d’une irresponsabilité pénale et civile du lanceur d’alerte. Ceci dit, cette protection n’est pas absolue puisqu’elle est soumise à certaines conditions.

A. Une nouvelle procédure de signalement

Sous l’empire de la loi « Sapin 2 », les canaux d’alerte étaient hiérarchisés en trois temps. Tout d’abord, un signalement interne devait obligatoirement avoir lieu. Autrement dit, le lanceur d’alerte devait nécessairement passer par son entreprise ou son administration afin de signaler des faits dont il avait connaissance.
Ensuite, et seulement en l’absence de traitement, un signalement externe pouvait avoir lieu auprès d’une l’autorité administrative ou judiciaire ou d’un ordre professionnel.
Le lanceur d’alerte pouvait donc uniquement procéder à une divulgation publique en dernier recours.

Cette hiérarchisation posait de nombreuses difficultés. Des risques de pressions ainsi que de représailles ont été déplorés à la suite des signalements effectués en interne. Par ailleurs, la procédure de signalement externe était complexe et peu connue.

Désormais le lanceur d’alerte est libre d’effectuer son signalement en suivant la voie interne ou de l’effectuer auprès soit de l’autorité compétente, soit du Défenseur des droits, soit à la justice ou à un organe européen. Un décret déterminera plus précisément la liste de ces autorités. Ces autorités devront traiter les signalements dans des délais qui seront également fixés par décret, mais qui ne pourront être supérieurs à ceux fixés par la directive, à savoir un délai de 7 jours pour accuser réception et de 3 mois (6 mois dans des cas dûment justifiés) pour traiter l’alerte.

Le choix d’un signalement en interne ou externe est à présent laissé au lanceur d’alerte puisque la loi met fin à l’ordre prédéfini à suivre lors d’un signalement. Rappelons tout de même que l’article 7 de la directive encourage le signalement en interne pour commencer.

Cependant certains auteurs soulignent les risques que cette nouvelle organisation fait peser sur les entreprises « Outre le risque d’antagoniser davantage les relations entre les salariés et l’entreprise, la fin de la hiérarchisation des canaux emporte avec elle un risque majeur pour les entreprises. Ces dernières seront privées de la primeur d’être informées en premier lieu d’éventuels dysfonctionnements en leur sein, d’enquêter sur les faits allégués et d’y remédier au plus vite, voire d’informer elles-mêmes les autorités en cas de faits graves afin de bénéficier d’une clémence en cas de résolution négociée. De manière plus générale, elle les expose au risque de dénonciations publiques par des salariés malintentionnés, qui serait hautement préjudiciable en termes de réputation. En somme, la nouvelle loi oblige les entreprises à redoubler d’efforts pour mettre en place des dispositifs d’alerte internes robustes, sophistiqués et incitatifs sans aucune garantie qu’ils soient utilisés par leurs salariés. Or, le dispositif d’alerte se situe au cœur du programme de conformité de l’entreprise et en constitue la colonne vertébrale. Un dispositif d’alerte efficace est un dispositif qui permet de remonter beaucoup d’alertes et à l’entreprise ultimement d’améliorer ses procédures internes afin d’éviter que les faits ne se reproduisent. »

Cependant, force est de constater que la nouvelle loi ne prévoit aucune sanction en cas d’absence de dispositif interne.

Enfin le lanceur d’alerte pourra recourir à l’alerte publique dans trois cas prévus par la loi. Tout d’abord, il pourra effectuer une divulgation publique s’il constate l’absence du traitement de son signalement externe dans un certain délai. Cette alerte pourra également être justifiée en cas de risque de représailles ou si le signalement n’a aucune chance d’aboutir ou enfin en cas de « danger grave et imminent » ou, pour les informations obtenues dans un cadre professionnel en cas de « danger imminent ou manifeste pour l’intérêt général ».

Par ailleurs une protection supplémentaire a été accordée aux personnes qui effectueraient un signalement ou une divulgation publique anonyme, mais dont l’identité serait révélée, comme les journalistes, d’obtenir le statut de lanceur d’alerte. Cette mesure s’inscrit dans le sens de la protection des sources.

B. Un soutien financier et psychologique

La loi vise également à limiter le fardeau financier, parfois considérable, des procédures auxquelles les lanceurs d’alerte sont confrontés. Le juge pourra, et ce dès le début du procès, accorder une avance pour frais de justice au lanceur d’alerte qui conteste une mesure de représailles ou une action en justice abusive visant à l’intimider et à le réduire au silence, comme une plainte en diffamation. Le juge peut également accorder une avance au lanceur d’alerte dont la situation financière s’est gravement détériorée. Ces avances peuvent devenir définitives à tout moment, même si le lanceur d’alerte perd le procès.

L’amende civile encourue en cas d’action en justice abusive contre un lanceur d’alerte est portée à 60 000 euros. Il est important de souligner que cette amende civile n’est pas incompatible avec l’octroi de dommages et intérêts au lanceur d’alerte.

Enfin, les lanceurs d’alerte pourront bénéficier de mesures de soutien psychologique et financier de la part des autorités externes, qu’elles soient saisies directement ou par l’intermédiaire du Défenseur des droits.

C. L’irresponsabilité pénale et civile du lanceur d’alerte

L’article 6 de la loi du 21 mars 2022 consacre le principe d’irresponsabilité civile du lanceur d’alerte en ce qui concerne les préjudices découlant de sa divulgation d’informations effectuée de manière de bonne foi. Ainsi, si le lanceur d’alerte avait des motifs raisonnables de croire que le signalement ou la divulgation publique des informations était nécessaire pour protéger les intérêts en question, il ne pourra pas être tenu responsable des dommages causés par ces actions.

La loi Sapin 2 prévoyait une exonération de responsabilité pénale du lanceur d’alerte en cas de divulgation d’informations portant atteinte à un secret légal. La loi « Waserman » étend cette exemption aux actes de soustraction, de détournement et de recel de documents confidentiels, à condition que le lanceur d’alerte ait obtenu légalement l’accès aux informations contenues dans ces documents. En d’autres termes, si le lanceur d’alerte signale des faits auxquels il a eu accès en effectuant des écoutes sur des membres de la direction, ou en accédant à des dossiers informatiques restreints, sa responsabilité pénale pourra toujours être engagée.

L’instauration de cette condition de licéité dans l’obtention de l’information vise à garantir un équilibre entre les droits des lanceurs d’alerte et la protection des entreprises, afin d’éviter d’encourager les employés mal intentionnés à commettre des infractions en toute impunité. L’objectif principal est de préserver un juste équilibre où la liberté d’expression et la dénonciation des abus sont protégées, tout en empêchant les actes illicites d’être commis sans conséquences.

Pour lire une version plus approfondie de cet article sur la protection des lanceurs d’alertes, cliquez

Sources :

 

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement