|
général |
|
IV |
I |
Le responsable de traitement est, en quelque sorte, le "maître de l'ouvrage" du traitement des données utilisées pour son activité.
Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel, à savoir la mise en oeuvre :
L'application d'un code de conduite approuvé ou de mécanismes de certification approuvés peut servir d'élément pour démontrer le respect des obligations incombant au responsable du traitement.
Le médecin, l'avocat, ou toute autre entreprise qui a besoin de collecter des données personnelles de ses clients doit ainsi répondre des traitements qu'il leur applique.
Il sera le plus souvent contraint de faire appel à un prestataire informatique spécialisé : son sous-traitant.
Lorsqu'un traitement doit être effectué pour le compte d'un responsable du traitement, celui-ci ne doit faire appel qu'à des sous-traitants qui présentent des garanties suffisantes quant à la mise en oeuvre de mesures techniques et organisationnelles appropriées.
Le sous-traitant ne doit pas lui-même faire appel à un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement.
Le traitement par un sous-traitant est régi par un contrat prévoyant une série d'obligations définies à l'article 28 du RGPD.
Le responsable du traitement et le sous-traitant peuvent désigner un délégué à la protection des données (Data Protection Officer = DPO), lequel doit pouvoir agir en toute indépendance.
Celui-ci n'est obligatoire que lorsque:
Le DPO :
Les missions du DPO sont de :
Le délégué à la protection des données tient dûment compte, dans l'accomplissement de ses missions, du risque associé aux opérations de traitement compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité comportant une description précise de leurs modalités. (Art 30 RGPD)
L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.
Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles dans l'entreprise et permettre de vérifier le respect du RGPD.
Il comporte notamment les informations suivantes :
Toutefois, Les entreprises de moins de 250 salariés ne sont tenus d'inscrire au registre que les seuls traitements de données suivants :
Les données personnelles peuvent d'autant plus facilement faire l'objet de vol, de destruction, de détournement ou d'altération que leur accès n'est souvent protégé que par un identifiant et un mot de passe insuffisamment sécurisé, et qui peut donc être facilement "cracké" par des logiciels spécialisés.
Dès qu'un système est "ouvert" sur l'internet, il est très facile à des pirates d'injecter des logiciels espions enregistrant les mouvements de la souris et les clics sur les pages de paiement, ce qui permet, notamment, de reconstituer les informations bancaires entrées par les utilisateurs.
Enfin, des logiciels malveillants peuvent crypter les données d'un système afin d'en obtenir une rançon.
C'est ainsi qu'en octobre 2018, les données personnelles de 29 millions d'utilisateurs de Facebook, telles que : nom d'utilisateur, genre, langue, statut marital, religion, ville d'origine, ville actuelle, date de naissance, les informations relatives à l'éducation et au travail, les dix derniers endroits où un utilisateur s'est géolocalisé ou a été identifié, les pages qu'il suit, et les quinze recherches les plus récentes ont pu être "piratées".
Il existe donc un réel danger de perte de contrôle de données personnelles, souvent facilitée par la négligence des utilisateurs.
Et sur ce point, il est inadmissible que certains professionnels transportent des données non cryptées sur des ordinateurs portables ou des clés USB qui peuvent être perdus ou volés...
C'est pourquoi le RGPD oblige les professionnels qui manipulent des données personnelles à prendre des mesures de sécurité réellement efficaces.
La sécurité du traitement doit être une priorité du responsable du traitement, lequel doit imposer des moyens de protection de ses données, tels que :
<
De multiples intervenants participent à la transmission, et à la conservation des données personnelles sur Internet.
Il y a d'abord le Fournisseur d'Accès Internet (FAI), qui est le prestataire de service permettant à un usager l'accès au réseau internet, et la circulation de ses informations.
Celui-ci n'a pas techniquement la possibilité de contrôler le contenu des données qui transitent sur le réseau en temps réel.
Tout au plus, peut-il "couper" l'accès au réseau d'un de ses clients, notamment à la suite d'une injonction judiciaire.
L'Hébergeur est celui qui possède les serveurs reliés au réseau Internet, et dans lesquels sont stockées les données.
Si l'hébergeur n'a pas davantage la possibilité matérielle de contrôler en permanence les données hébergées, il lui est cependant facile de les supprimer lorsqu'il a connaissance d'une atteinte illicite à des données personnelles, de sorte que son inaction peut être fautive.
L'exploitant de données personnelles, ou responsable de traitement, commet une faute en ne respectant pas toutes les règles relatives à leur protection, même s'il n'est pas lié par contrat à la personne concernée.
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN), qui a transposé la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000, relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur, a institué un régime d'irresponsabilité conditionnelle au profit des intermédiaires techniques ;
Les FAI n'engagent leur responsabilité du fait des contenus dont ils assurent la transmission que dans les cas où soit ils sont à l'origine de la demande de transmission litigieuse, soit ils sélectionnent le destinataire de la transmission, soit ils sélectionnent ou modifient les contenus faisant l'objet de la transmission ;
Les hébergeurs n'engagent leur responsabilité du fait des informations dont ils assurent le stockage, que s'ils avaient effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où ils en ont eu connaissance, ils n'ont pas agi promptement pour retirer ces données ou en rendre l'accès impossible ;
Les FAI et les hébergeurs ne sont, de surcroît, soumis à aucune obligation générale de surveiller les informations qu'ils transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ;
Cependant, l'article 6, I-8, de la LCEN prévoit que l'autorité judiciaire peut leur prescrire, en référé ou sur requête, toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d'un service de communication au public en ligne ;
La Cour de cassation a considéré que le coût des mesures strictement nécessaires à la préservation des droits en cause, ordonnées sur le fondement de l'article L. 336-2 du Code de la propriété intellectuelle pouvait être supporté par les intermédiaires techniques, quand bien même ces mesures sont susceptibles de représenter pour eux un coût important : Cass. Civ. I, 6 juillet 2017, 16-17217 16-18298 16-18348 16-18595, Publié au bulletin :
Sont concernés les moteurs de recherches, les réseaux sociaux (Facebook, Twitter, Instagram...), ou les services commerciaux (Amazon...) qui peuvent exercer un contrôle effectif sur les données.
Par arrêt du 13 mai 2014 (Google Spain et Google, C-131/12), la CJUE a dit pour droit que :
L'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de "traitement de données à caractère personnel" lorsque ces informations contiennent des données à caractère personnel.
L'exploitant de ce moteur de recherche doit être considéré comme le "responsable" dudit traitement.
Un traitement de données à caractère personnel est effectué dans le cadre des activités d'un établissement du responsable de ce traitement sur le territoire d'un État membre, au sens de cette disposition, lorsque l'exploitant d'un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l'activité vise les habitants de cet État membre.
L'exploitant d'un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l'hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
Cette suppression n'est pas de droit, et n'a pas de caractère automatique. Elle doit reposer sur l'intérêt légitime de la personne concernée.
Il convient cependant d'examiner si la personne concernée a un droit à ce que l'information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d'une recherche effectuée à partir de son nom, sans pour autant que la constatation d'un tel droit présuppose que l'inclusion de l'information en question dans cette liste cause un préjudice à cette personne.
Cette dernière peut, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne, demander que l'information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalant, en principe, non seulement sur l'intérêt économique de l'exploitant du moteur de recherche, mais également sur l'intérêt de ce public à accéder à ladite information lors d'une recherche portant sur le nom de cette personne.
Cependant, tel ne serait pas le cas s'il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l'ingérence dans ses droits fondamentaux est justifiée par l'intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l'information en question.
les demandes peuvent être directement adressées par la personne concernée au responsable du traitement, qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause.
Lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l'autorité judiciaire pour que celle-ci effectue les vérifications nécessaires et ordonne à ce responsable des mesures précises en conséquence.
Dans la mesure où la suppression de liens de la liste de résultats pourrait, en fonction de l'information en cause, avoir des répercussions sur l'intérêt légitime des internautes potentiellement intéressés à avoir accès à celle-ci, il y a lieu de rechercher, à l'occasion de cet examen ou de ces vérifications, un juste équilibre, notamment, entre cet intérêt et les droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte.
Selon l'article 38 de la loi du 6 janvier 1978 toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fasse l'objet d'un traitement.
Selon l'article 40 de la même loi, une personne peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.
Reprochant à la société Google Inc. d'exploiter, sans son consentement, des données à caractère personnel le concernant, par le biais du moteur de recherche une personne a saisi le juge des référés, sur le fondement de l'article 809 du code de procédure civile, pour obtenir la cessation de ces agissements constitutifs, selon lui, d'un trouble manifestement illicite.
Après avoir ordonné à la société Google Inc. de supprimer les liens qui conduisent, lors de recherches opérées sur le moteur de recherches incluant les nom et prénom de la personne, la Cour d'Appel d'Aix en Provence a enjoint à cette société de supprimer les liens qui conduisent, lors de recherches opérées dans les mêmes conditions, à toute adresse URL identifiée et signalée par M. Y... comme portant atteinte à sa vie privée, dans un délai de sept jours à compter de la réception de ce signalement.
La Cour de Cassation a estimé que le Juge des Référés ne pouvait prononcer ainsi une injonction d'ordre général sans procéder, comme il le lui incombait, à la mise en balance des intérêts en présence : Cass. Civ. I, 14 février 2018, 17-40499, Publié au Bulletin
La juridiction saisie d'une demande de déréférencement est donc tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne.
La personne concernée peut elle-même commettre des fautes d'imprudence et de négligence du fait de l'absence de sécurisation de ses données : absence de pare-feu et de logiciel anti-virus sur son ordinateur, mots de passe "faibles" ou facilement accessibles, ouverture de fichiers douteux, surf sur des sites suspects, confidences ou attaques sur les réseaux sociaux, transports de données non cryptées...
En effet, chacun sait que, sous couvert d'anonymat, la malveillance prospère sur internet et doit prendre des précautions au moins élémentaires...
La collecte, conservation, diffusion ou exploitation de données personnelles, est susceptible de causer un dommage à la personne concernée, notamment en ce qui concerne le respect de sa vie privée et de ses libertés fondamentales.
Elle peut également constituer une atteinte à sa réputation et à son image, de nature à nuire à la vie familiale, sociale et professionnelle de l'individu et lui causer un préjudice moral.
De manière plus insidieuse, ces données personnelles peuvent entraîner des discriminations et sélections pouvant influencer des tiers : assureurs, banquiers, employeurs, mais aussi dans le domaine relationnel.
L'article 9 du Code Civil français, la loi informatique et liberté, comme le RGPD protègent la vie privée et l'exploitation des données personnelles en France et dans l'Union Européenne.
En France, la violation de l'une des obligations précitées à l'origine d'un dommage engage également la responsabilité des responsables de traitement, notamment sur le fondement de l'article 1231-1 du Code Civil lorsqu'ils sont liés à la victime par un contrat. Elle est engagée également, solidairement avec celle des-sous-traitants ou du DPO, à l'égard des tiers pour faute, ou pour imprudence ou négligence.
.Le responsable de traitement peut exercer un recours en droit commun à l'encontre de son sous-traitant, ou du DPO, notamment pour violation de leur devoir de conseil, contre lesquels peut également agir directement la victime sur le fondement de les article 1240 et 1241 du Code Civil,en cas de faute, d'imprudence ou de négligence, sachant le tiers à un contrat peut invoquer, sur le fondement de la responsabilité délictuelle, un manquement contractuel dès lors que ce manquement lui a causé un dommage, telle que la faute contractuelle commise par le sous-traitant ou le DPO à l'égard du responsable de traitement : Arrêt d'Assemblée Plénière du 6 octobre 2006, 05-13255.
Selon le principe de la réparation intégrale, est réparable tout le préjudice, rien que le préjudice.
Sont notamment réparables par des dommages et intérèts :
Il en est ainsi de toute information à l'origine de :
A condition que ces informations n'aient pas été volontairement rendues publiques par la personne concernée, notamment sur des blogs ou les réseaux sociaux...
Mais aussi des données d'identification permettant :
Dans tous les cas il appartient à la victime de rapporter la preuve de son préjudice, y compris moral, lequel est apprécié souverainement par le juge en fonction des faits et des justificatifs fournis.
Toutes les données personnelles publiées par des tiers sur Internet ne sont pas susceptibles d'occasionner un préjudice réparable, notamment si elles sont conformes à la vérité, sont nécessaires pour assurer le droit à l'information et la liberté d'expresssion, et ne portent pas une atteinte disproportionnée aux intérêts et aux droits fondamentaux de la personne.
La personne lésée peut également obtenir du Juge une injonction de faire, tele la suppression, sous astreinte, de données personnelles dommageables.
A l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL peut prononcer des sanctions à l'égard des responsables de traitements qui ne respecteraient pas ces textes.
La CNIL peut, notamment :
À compter de la date de notification de la décision de la formation restreinte, l'organisme mis en cause dispose d'un délai de deux mois à compter de sa notification pour former un recours devant le Conseil d'État contre la décision de la CNIL.
Les articles L 221-16 à L 226-24 du Code Pénal répriment spécifiquement les atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.
Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel :
Le fait pour un fournisseur de services de communications électroniques de ne pas procéder à la notification d'une violation de données à caractère personnel à la CNIL.
Le fait de :
Les articles 226-1 et suivants du Code Pénal répriment les atteintes à l'intimité de la vie privée, notamment la captation, l'enregistement ou la transmission sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel, ainsi que l'image d'une personne se trouvant dans un lieu privé.
L’article 226-2-1 du Code pénal réprime spécifiquement le délit de "revenge porn", "Lorsque les délits prévus aux articles 226-1 et 226-2 portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé".
Est réprimé également le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1.
A noter que la loi punit l’infraction de "revenge porn" indépendamment du point de savoir si la personne a donné son consentement à l’enregistrement initial de la vidéo ou des images. Le seul fait que la diffusion, notamment sur le réseau Internet, ait lieu sans le consentement de la personne suffit.
Enfin, l'Article 226-4-1 du Code Pénal réprime le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.
Le Tribunal peut :
Selon les articles 1 et suivants du Code de procédure Pénale, les victimes d'atteintes à leur données personnelles peuvent déposer plainte, et se constituer partie civile devant la juridiction pénale afin d'obtenir réparation de leur préjudice.
L'action civile en réparation du dommage causé par un crime, un délit ou une contravention appartient à tous ceux qui ont personnellement souffert du dommage directement causé par l'infraction.
Elle peut cependant être exercée, dans certaines conditions, par l'intermédiaire d'une association.
L'action civile peut être exercée en même temps que l'action publique et devant la même juridiction.
Elle sera recevable pour tous chefs de dommages, aussi bien financiers ou moraux, qui découleront des faits objets de la poursuite.
Même si le demandeur s'est constitué partie civile devant la juridiction répressive, la juridiction civile, saisie en référé, demeure compétente pour ordonner toutes mesures provisoires relatives aux faits qui sont l'objet des poursuites, lorsque l'existence de l'obligation n'est pas sérieusement contestable.
Selon l'article 9 du Code Civil, chacun a droit au respect de sa vie privée, et les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée : ces mesures peuvent, s'il y a urgence, être ordonnées en référé.
L'article 809 du Code de Procédure de Procédure Civile, le Président du tribunal de Grande Instance peut toujours, même en présence d'une contestation sérieuse, prescrire en référé les mesures conservatoires ou de remise en état qui s'imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite, telles que celui résultant d'une violation de données personnelles.
Selon les Articles 14 et 15 du Code Civil, l'étranger, même non résidant en France, pourra être cité devant les tribunaux français, pour l'exécution des obligations par lui contractées en France avec un Français ; il pourra être traduit devant les tribunaux de France, pour les obligations par lui contractées en pays étranger envers des Français.
De la même façon un Français pourra être traduit devant un tribunal de France, pour des obligations par lui contractées en pays étranger, même avec un étranger.
Toutefois, pour retenir sa compétence, la seule accessibilité d'un site sur le territoire français n'est pas suffisante pour retenir la compétence des juridictions françaises, sinon la loi française s'appliquerait à l'ensemble du web.
le Juge doit vérifier s'il existe un lien suffisant, substantiel ou significatif entre les faits délictuels et le dommage allégué sur le territoire français, eu égard à l'incidence commerciale que peut avoir la diffusion du site incriminé en France.
Les Juridictions de droit commun sont compétentes pour connaître du contentieux des données personnelles.
En sa qualité d'autorité administrative indépendante, la CNIL peut prononcer des injonctions et des sanctions aux opérateurs en formation restreinte.
Ses décisions peuvent être attaquées devant le Conseil d'État, lequel peut poser des questions préjudicielles à la CJUE.
La seule accessibilité d'un site sur le territoire français n'est pas suffisante pour entraîner l'application de la loi française.
Il doit exister un lien suffisant, substantiel ou significatif entre les faits délictuels et le dommage allégué sur le territoire français.
la loi française est applicable aux infractions commises en France. L'infraction est réputée commise sur le territoire de la République dès lors que l'un de ses faits constitutifs y a eu lieu. Il a ainsi été jugé qu'est punissable en France, même si l'hébergeur est situé à l'étranger, la mise à disposition d'un site de vente aux enchères d'objets nazis accessible en France : CA Paris 6 décembre 2011 5e Ch., RG 11/9179
Dès lors, la juridiction saisie d'une demande de déréférencement est donc tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence au cas par cas , de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne.