Cours Informatiques et Méthodologie PDF
Document Details
Uploaded by InsightfulOlive311
Université Paris-Cité
Lise Clemenceau
Tags
Summary
Ces notes présentent un cours sur les nouvelles technologies et leur impact sur la protection de la vie privée. Ce cours examine le raisonnement juridique et analyse les décisions de justice (jurisprudence) pour comprendre les enjeux liés aux données personnelles dans le contexte des nouvelles technologies. Les concepts liés à la protection des données personnelles seront expliqués en détails.
Full Transcript
Cours n°1 - Nouvelles technologies et enjeux en matière de protection de la vie privée Cours de Lise Clemenceau Semestre 1 de licence 1 de Droit Section UPB Université Paris Cité Raisonnement juridique : 1) D’abord on identifie un problème et un objectif : ici il...
Cours n°1 - Nouvelles technologies et enjeux en matière de protection de la vie privée Cours de Lise Clemenceau Semestre 1 de licence 1 de Droit Section UPB Université Paris Cité Raisonnement juridique : 1) D’abord on identifie un problème et un objectif : ici il s’agit de protéger la vie privée et les données personnelles des utilisateurs face à l’ingérence des nouvelles technologies ; 2) Ensuite on qualifie, on donne les définitions et les conditions d’application. C’est ce qu’on appelle en droit la notion : en ce qui nous concerne, il s’agit de savoir ce qu’est le droit au respect de sa vie privée, savoir ce qu’on considère être des données personnelles 3) Enfin on applique un régime à la notion : on détermine des règles applicables et une sanction en cas de non respect de ses règles. 1 sur 17 Jurisprudence = arrêts/jugements. Rôle du juge en droit français : appliquer les textes de loi aux litiges dont il est saisi. Si le texte de loi est obscure ou incomplet, il doit interpréter la loi pour juger le litige. Il ne peut pas refuser de juger (interdiction du déni de justice : article 4 du Code civil) L’arrêt qui vient compléter la loi est nommé arrêt de principe. => Si les autres tribunaux/cours suivent ce principe = jurisprudence (laquelle devient jurisprudence constante si elle est suivie pendant un certain temps). => Si les tribunaux/Cours ne suivent pas ce principe = Divergence de jurisprudence => Si le tribunal ou la cour qui diverge est subordonné à la Cour ayant pris l’arrêt de principe, l’arrêt divergent sera cassé. => Si le tribunal ou la cour qui diverge est au même niveau hiérarchique que le tribunal ou la Cour ayant pris l’arrêt de principe, le conflit devra être réglé soit pas une Cour supérieure, soit par la loi. Cf le système juridictionnel français. 2 sur 17 Revirement de jurisprudence : les jugent reviennent sur le principe précédemment posé et appliquent un principe contraire. itt = incapacité totale de travail Directives européennes Données protégées par la première lois = sont le nom,le prénom, la date de naissance Serveur est-il responsable ? Possible engager responsabilité ? = on va considérer que serveur pas responsable s’il se contente de jouer un rôle pacif, pour engager sa responsabilité nécessaire d’engager la preuve qu’il avait forcément connaissance de la présence d’un contenu illicite sur son réseau Directive européenne = texte de loi, ensemble de disposition normative prise par les institutions de l’UE) NECESSITE UNE LOI DE TRANSPOSITION La notion juridique contient La notion juridique123 : Est une cfuiteonnaissance dans le domaine de la justice. Est un fondement légal. Est la probabilité qu'une chose s'effectue en rapport avec la justice. Est la situation légale. Se focalise sur les droits et devoirs de l’individu. Vise à instaurer l’ordre et la paix au sein de la société. Donnée sensible = raciale, opinion politique, philo ou religieuse, appartenance syndicale, donnée relative à la santé ou vie sexuelle, données biométrique… Le droit est il automatique : L’article 16 du règlement général sur la protection des données prévoit que « la personne concernée a le droit d’obtenir du responsable du traitement la rectification, dans les meilleurs délais, des données à caractère personnel inexactes la concernant. Définition des données personnelles Evolution de cette définition au fur et à mesure de l’adoption de nouvelles lois. Evolution du droit applicable 1) Loi « informatique et libertés » du 6 janvier 1978 : « l’informatique doit être au service de chaque citoyen {mais} elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés publiques ». 3 sur 17 Article 4 de la loi du 6 janvier 1978 : définition de la notion de « données nominatives » => En 1978, les données personnelles protégées (= « données nominatives ») sont le nom,le prénom, la date de naissance 2) Directive européenne du 24 octobre 1995 Loi de transposition en droit français adoptée le 6 aout 2004 Nouvelle définition des données personnelles : « Toute information relative à une personne physique qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification (…) » ➡ Donc en 2004, les données personnelles protégées son Nom, prénom, numéro d’identification (n° CNI, n° passeport, n° de SECU), voix, image, numéro de téléphone,adresse IP, cookies1 etc… 3) Règlement européen « RGPD » du 27 avril 2016 1 Fichiers générés par le serveur d’un site internet ou par le serveur d’une application tierce, permettant de reconnaitre un internaute lorsqu’il revient sur le site internet et ainsi de conserverles préférences de l’utilisateur et d’offrir du contenu personnalisé. 4 sur 17 Nouvelle définition des données personnelles 27 avril 2016: « Toute information se rapportant àune personne physique identifiée ou identifiable » La notion de données personnelles inclut désormais : - les données d’identification : nom, prénom; date de naissance, adresse, données génétiques et biométriques… - les données relatives à la vie privée et familiale : statut matrimonial, nombre d’enfant … - les données relatives à la vie professionnelle : fonction, adresse e-mail professionnelle, compétence et diplôme - les données de connexion : logins, date et heure de connexion, adresse IP… Régime du droit au respect de la vie privée et desdonnées personnelles Protection des données personnelles vis-vis d’une personne physique La notion de donnée personnelle est incluse dans la notion de vie privée. => L’affaire se règle alors devant les tribunaux civil (article 9-1 du Code civil) et pénal(article 226-1 du Code pénal). Protection des données personnelles vis-vis d’une personne morale / vis-à-vis d’un « responsable detraitement » La protection des données personnelles vis-à-vis des personnes morales est assurée par des obligations imposées au responsable de traitement et des prérogatives attribuées aux utilisateurs de nouvelles technologies. Obligation du responsable de traitement de données personnelles Le responsable de traitement est garant de la légalité et de la conformité dutraitement de données personnelles. 5 sur 17 - Article 4, 2° RGPD : définition du traitement de données personnelles - Article 4, 7° RGPD : définition du responsable de traitement - Article 6 RGPD : motifs de légalité d’un traitement de données En principe, le traitement de données personnelles est interdit, il n’est autorisé que dans les 6 cas prévus par l’article 6 du RGPD - Article 5 RGPD : règles de conformité d’un traitement de données Prérogatives des utilisateurs de nouvelles technologies 1) Droit d’information 2) Droit d’accès 3) Droit de rectification 4) Droit à l’effacement 5) Droit au déférencement 6) Droit de limitation 7) Droit à la portabilité des données 8) Droit d’opposition 6 sur 17 Mise en oeuvre de la protection des donnéespersonnelles 1) Réclamation auprès du responsable de traitement : - Aucun formalisme - Recours possible si absence de réponse dans un délai d’un mois ou en cas de réponsenégative 2) Saisine de l’autorité de contrôle : la CNIL Commission nationale de l’informatique et des libertés Missions de la CNIL : 1. Mission d’accompagnement et de suivi 2. Mission de recherche 3. Mission de contrôle et de sanction ; Sanctions prises par la CNIL à l’égard du responsable de traitement - Avertissement public - Publication de la décision - Injonction de mise en conformité avec délai imparti et sous astreinte (pouvant allerjusque’à 100.000€ par jour de retard) - Injonction de cesser le traitement avec délai imparti et sous astreinte (pouvant allerjusque’à 100.000€ par jour de retard) - Dénonciation au procureur de la Républiques des infractions prévues aux articles226-16 à 226-24 du Code pénal. - Sanction pécuniaire/amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffred’affaire annuel mondial de l’entreprise 7 sur 17 3) Recours juridictionnels 1) Recours contre l’autorité de contrôle : - lorsque l’autorité de contrôle compétente ne répond pas ou ne traite pas la demandedans un délai de 3 mois - lorsque la décision ne convient pas au plaignant recours contre le Conseil d’Etat dansun délai de 2 mois à compter de la décision 2) Recours contre le responsable du traitement - Si absence de réponse dans un délai d’un mois ou réponse négative - Recours individuel - Recours collectif 3) Sanction civiles : dommages et intérêts (responsabilité civile) 4) Sanctions pénales : Le Code pénal prévoit plusieurs infractions donnant lieu à une sanction pénale de5 ans de prison et 300.000€ d’amende : - article 226-16-1 du Code Pénal - article 226-17 du Code Pénal - article 226-17-1 Code Pénal - article 226-18 Code Pénal - article 226-18-1 Code Pénal - article 226-21 Code Pénal - article 226-22 Code Pénal - article 226-19 Code Pénal 8 sur 17 Cours n°2 - Nouvelles technologies et enjeux enmatière pénale Les injures en ligne Article 4 DDHC : « la liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui ». 1) Définition de l’infraction Article 29 de la loi du 29 juillet 1881 relative à la liberté de la presse : définition del’injure - Injure non publique : 38 € d’amende maximum - Injure dans un cadre public : amende de 12 000 € + possibilité de demander l’octroi de dommages et intérêts 2) Délai de prescription 3 mois à compter de la publication en ligne. Le délai recommence à courir dès lors qu'un hyperlien pointe vers le contenu injurieux. 3) Complicité du serveur Loi du 21 juin 2004 pour la confiance dans le commerce électronique : les serveurs n’engagent pas leur responsabilité s’ils se contentent d’un rôle passif dans la circulationdes informations sur leurs réseaux. Il serait nécessaire, pour engager leur responsabilité, d’apporter la preuve qu’ilsavaient forcément connaissance de la présence d’un contenu illicite sur leur réseau. 9 sur 17 Propos raciste, sexistes, homophobe et handiphobes sur internet 1) Définition des infractions – pour les injures non publiques : 1500 € d’amende – pour les injures publiques : un an de prison et 45 000 € d’amende 2) Délai de prescription 1 an à compter de la publication ; nouveau délai d’un an à chaque hyperlien 3) Responsabilité du serveur Preuve qu’il avait forcément connaissance de la présence d’un contenu illicite sur son réseau. 10 sur 17 Diffamation 1) Définition de l’infraction Allégation ou l'imputation d'un fait qui porte atteinte à l’honneur et à la considération d'une personne. La diffamation peut être raciste, sexiste ou homophobes. - personne précisément ciblée ; - personne vivante ; - fait précis et déterminé ; - fait intentant à l’honneur de la personne 2) Sanctions La diffamation est punie de la façon suivante : - Diffamation non publique : 38 € d'amende ; 1500€ d'amende lorsque la diffamation présente un caractère raciste, sexiste, homophobe ou handiphobe ; - Diffamation publique : 12 000 € d’amende ; 1an de prison et 45 000 € d'amende lorsque la diffamation présente un caractère raciste, sexiste, homophobe ou handiphobe 3) Complicité du serveur Apporter la preuve qu’ils avaient forcément connaissance de la présence d’un contenuillicite sur son réseau. 11 sur 17 Cyberharcèlement 1) Définition de l’infraction - Des propos ou comportements répétés. - Des propos ou comportements entraînant une dégradation des conditions de vie, de la santé physique ou mentales de la victime 2) Sanctions Le harcèlement moral est puni : - d’un an de prison et 15.000€ d’amende lorsqu’il a causé une interruption totale detravail (ITT) inférieure ou égale à 8 jours (article 222-33-2-2, Code pénal) ; - de 2 ans de prison et 30.000 d’amende si la victime est un mineur ou si le harcèlementa été effectué en ligne (article 222-33-2-2, Code pénal) ; - de 2 ans de prison et 30.000 d’amende s’il a causé une ITT supérieure à 8 jours (article222-33-2- 2, Code pénal) ; - de 3 ans de prison et 45.000€ si on cumule plusieurs circonstances aggravantes (enligne + ITT > 8 jours ; en ligne + victime mineure) (article 222-33-2-2, Code pénal) ; - Harcèlement scolaire (article 222-33-2-3, Code pénal) ; ou sur conjoint (article222-33-2- 1, Code pénal) ;(ou ex-conjoint, concubins, partenaire pacsé…) : - de 3 ans de prison et 45.000€ si ITT ≤ 8 jours - 5 ans de prison et 75.000€ d’amende si ITT > 8 jours - 10 ans de prison et 150.000€ d’amende si les faits ont conduit la victime à sesuicider ou tenter de se suicider. 3) Prescription Le harcèlement étant un délit, il se prescrit au bout de trois ans à compter de ladernière occurrence du harcèlement 12 sur 17 Happy Slapping 1) Définition de l’infraction : Article 222-33-3 du code pénal : Alinéa 1er : renvoi aux articles 222-1 à 222-14-1 et 222-23 à 222-33 => Il faut aller voir ces articles pour savoir : 1) qu’est-ce qu’il est interdit de filmer 2) la sanction => Art. 222-1 à 222-6-4 : actes de tortures et barbaries => Art. 222-7 à 222-16-3 : violences => Art. 222-23 à 222-26-2 : viol => Art. 222-27 à 222-31 : Agression sexuelle Il est donc interdit de filmer ou photographier des scènes de violence,d’actes de torture et de barbarie, de viols ou d’agression sexuelle. 2) Sanctions - le fait de filmer est puni des mêmes peines que l’infraction principale (alinéa 1) - le fait de diffuser est puni de 5 ans de prison et 75.000 d’amende (alinéa 2). 3) Exceptions à l’infraction : Alinéa 3 : - cela résulte de l’exercice normal de sa profession (journaliste) - c’est fait afin de servir de preuve en justice 4) Infractions connexes : - l’enregistrement de l’image d’une personne sans le consentement de celle-ci (art. 226-1 du Code pénal) ; 13 sur 17 - l’absence d’empêchement d’autrui à commettre un délit ou un crime contre l’intégritécorporelle d’une victime (article 223-6, al. 1er, Code pénal) ; - Le défaut d’assistance à personne en péril (article 223-6, al. 2, Code pénal). 5) Complicité du serveur : Là encore, il faudra apporter la preuve qu’il avait forcément connaissance de laprésence d’un contenu illicite sur son réseau. 14 sur 17 Darknet A l’origine, le Darkweb a été développé pour permettre aux internautes des paystotalitaires, d’échanger librement. Mais il est également utilisé pour toute sortes de trafic : drogues, êtres humains,trafics d’organe, homicides … Selon une étude de 2015, 59% du marché noir du Darkweb concerne la revente dedrogue, 26% la revente de données et logiciels, 2% la revente de contrefaçon de médicament. Meurtre commandité sur internet 1) Responsabilité du commanditaire : Lorsque la provocation est suivie d’effet (le meurtre a été commis ou tenté) : => Le commanditaire est complice de l’assassinat (préméditation) = puni de la mêmepeine que l’auteur = réclusion criminelle à perpétuité (article 221-1 du code pénal) La différence entre un homicide et un assassinat réside dans l’existence d’une préméditation pour le second. en pratique, le commanditaire d’un meurtre ne peut quepréméditer l’assassinat et sera par conséquent condamnée conformément aux dispositions de l’article 221-1 du Code pénal (assasinat). Lorsque la provocation n’est pas suivie d’effet (le meurtre n’a pas été ni commis ni tenté) : Est sanctionné le fait d’effectuer une offre d’avantages quelconques en échanged’un assassinat. 2) Responsabilité du tueur à gage Les tueurs à gages engageront leur responsabilité pour assassinat (réclusioncriminelle à perpétuité) dès lors qu’il y a un commencement d’exécution, et ce 15 sur 17 indépendamment des modalités de l’assassinat (arme, poison etc); 3) Responsabilité du serveur en ligne : Là encore, il faudra apporter la preuve qu’il avait forcément connaissance de la présenced’un contenu illicite sur son réseau. 16 sur 17 Viol à distance 1) Définition du viol et de l’agression sexuelle : Le viol est constitué par tout « acte de pénétration sexuelle, de quelque nature qu’il soit, commis sur la personne d’autrui ou sur la personne de l’auteur par violence, contrainte menace ou surprise » (art. 222-23 du Code pénal). Il est puni de 15 ans de prison ; 30 ans lorsqu’il est commis sur un mineur de moins de 15 ans ; 30 ans également lorsqu’il a été commis via internet Le viol est puni dela réclusion criminelle à perpétuité lorsqu’il est précédé, accompagnée ou suivi de tortures ou d’actes de barbarie (art. 222-26 du Code pénal). Constitue une agression sexuelle toute atteinte sexuelle commise avec violence,contrainte, menace ou surprise (article 222-22 du Code pénal). L’agression sexuelle est punie de 5 ans de prison et de 75.000€ d’amende, lorsqu‘elle est commise via internet ; 10 de prison et 150.000€ d’amende lorsqu’elles sont imposée à un mineur de moins de 15 ans. Enfin, le fait de faire à une personne une proposition d’avantages quelconques afinqu’elle commette un viol, est puni de 10 ans de prison et de 150.000€ d’amende même sile viol n’a été ni commis ni tenté (art. 222-26-1 du Code pénal) 2) Complicité du serveur : Là encore, il faudra apporter la preuve qu’il avait forcément connaissance de laprésence d’un contenu illicite sur son réseau. 17 sur 17 Pédopornographie en ligne Le Code pénal condamne la pédopornographie à l’article 227-23 en distinguantentre les fournisseurs et les consommateurs de contenus pédopornographiques. 1) Fournisseurs de contenus pédopornographiques : L’image peut être une photographie, un dessin, un film voire une sculpture. Le sujet n’est pas nécessairement un véritable enfant : c’est l’attitude de l’agentqui est incriminée et non pas l’atteinte au mineur. La mise à disposition de contenus pédopornographiques peut être constituée parune représentation d’un mineur même imaginaire et recréée par ordinateur par exemple. Il sera nécessaire de caractériser des attitudes particulières, un rôle auprèsd’autres sujets mineurs ou majeurs, le cadre général, etc. La loi distingue entre les mineurs de moins de 15 et les mineurs ayant entre 15 et 18 ans. Pour ces derniers, seule la création de contenus sexualisés ayant pour objectif deles diffuser sera réprimandées. En revanche, pour les mineurs de moins de 15 ans, le délitsera constitué même si la production n’avait pas pour objectif la diffusion du contenu. Sanction : 5 ans de prison et 75.000€ d’amende 2) Consommateurs de contenus pédopornographiques L’internaute sera condamné dès lors qu’il consulte un site proposant des contenus pédopornographiques régulièrement ou si les contenus sont payants. Sanction : 5 ans de prison et 75.000€ d’amende 3) La complicité du serveur Là encore, il faudra apporter la preuve qu’ils avaient forcément connaissance de laprésence d’un contenu illicite sur son réseau. 18 sur 17 I) Les nouvelles technologie et les enjeux en matière privée Par les cookies (ex : acceptent les cookies sur un site). Nos données sont vendues. Mais on communique nos infos que pour recevoir un colis pas pour recevoir du démarchage tél. - Droit vie privé implique droit de se déplacer librement mais date Navigo enregistre tous nos passages. - Les objets connectés (montre, alexa) on estime à plus de 20 milliards d’objet connectés en circulation On estime 40 milliards d’objets connectés en 2025 = enregistre nos données persos. - Si on active siri, il nous enregistre tout le temps. Ces objets connectés impliquent collecte massive de toutes nos données mais c’est une condition pour utiliser ces objets. Comment protéger la vie privée et les données des utilisateurs ? Donnée vie privée et donnée perso sont intrinsèquement liés mais pas synonyme. Droit au respect de la vie privée prévu à l’art 9-1 du code civil, cet article dispose « … » Atteinte à la vie privée sanctionné par l’article 226-1 et suivant du code pénal. « … » Droit respect vie privée : art 8 CESDH (convention de sauvegarder des droits de l’Homme signé par tous les pays membres du conseil de l’Europe) le respect est assuré par la CEDH (cour européenne des droits de l’Homme) Jurisprudence ensemble arrêts et jugements But juge : interprété les textes de loi pour les appliquer à la vie de tt les jours et aux affaires qu’ils ont sous les yeux Les jurisprudences posent un principe pour compléter la loi que les arrêts de principes (déf, règle de droit, sanction…) C’est la jurisprudence de la CEDH qui nous donne la définition du droit au respect de la vie privée donnée dans un arrêt du 29 avril 2002, Pretty contre Royaume Unis. Les juges de la CEDH ont estimé que le droit pour une personne d’être libre de mener sa propre expérience avec le minimum d’ingérence extérieure. La CEDH a ainsi très nettement affirmé la primauté de la liberté d’expression et du droit à l’information sur le respect de la vie privée, ajoutant dans ce dernier arrêt que (§ 42) : « Si la presse ne doit pas franchir certaines limites, concernant notamment la protection de la réputation et des droits d’autrui, il lui incombe néanmoins de communiquer, dans le respect de ses devoirs et de ses responsabilités, des informations et des idées sur toutes les questions d’intérêt général et de publier des photos. À cette fonction s’ajoute le droit, pour le public, d’en recevoir ». 19 sur 17 Définition droit au respect de la vie privée ? Définition de données personnelles à évoluer avec le temps en fonction de l’évolution des nouvelles technologies, chaque nouvelle technologie doit être inclus dans la loi. L’évolution du droit applicable : Français 1er état européen à se doter d’une législation concernant le numérique et l’informatique. Cette 1ère loi 6 janvier 1978 s’appelle « informatique et liberté ». Selon cette loi « l’informatique doit être au service de chaque citoyen mais elle ne doit porter atteinte ni à l’identité humaine, ni au droit de l’Homme, ni à la vie privée, ni aux libertés publiques. ». Selon cette loi les seules données à être protégé sont les données nominatives définit par l’article 4 de la loi du 6 janvier 1978 = les données personnelles protégées (= « données nominatives ») sont le nom,le prénom, la date de naissance Directive européenne (= texte de loi, ensemble de disposition normative prise par les institutions de l’UE) du 24 octobre 1995 RGPD : Règlement général sur la protection des données Directive européenne pas d’application immédiate en droit interne il faut une loi de transposition dans le droit Français. Directive européenne transposé par une loi du 6 aout 2004 ie jusqu’en 2004 cette directive ne s’appliquait pas encore avant y avait que le nom prénom protégé. Après cette loi 2004 ce qui est protégé : nom prénom, date naissance, numéro d’identification (carte identité, sécu), voix, image, adresse IP et les cookies Enfin y a eu règlement euro du 27 avril 2016 « RGPD », qui s’est appliqué direct Règlement européen : ensemble de disposition normative prise par les institutions de l’UE, application directe et immédiate RGPD élargit notion données personnelles il faut vraiment trouver une donnée pas protégée n’y en a pas. LE RGPD protège toutes informations qui se rapporte à une personne physique identifié ou identifiable (en gros tout : Inclut toutes les données d’identification (nom prénom adresse postale, adresse mail, santé…) + statut matrimoniale + nbr enfant, donnée relative à la vie professionnelle et donnée de connexion (date connexion, cookies) … II) Le régime (comment ça se passe en pratique ) Lorsqu’il s’agit de protéger les données personnelles d’une personne physique. Si on publie photo avec un mec derrière sans le flouté, la personne peut porter plainte devant tribunal civile ou pénale. Des e collectent données utilisateurs sont appelés en droit des « responsables de traitement » ils 20 sur 17 sont soumis à des obligations pour assurer protection donnée perso (ex : twitter) Traitement de donnée perso : est définit par l’art 4,7° du RDGPD Déf du responsable de traitement : est définit par l’art 4,7° du RGPD Les obligations du responsable de traitement : - est garant de la légalité - est garant de la conformité du traitement des données personnelles Légalité : motif ou situation on les droits d’exister Dans la vie de tous les jours ce qui n’est pas interdit est autorisé or là c’est le contraire si c’est pas autorisé c’est interdit 6motifs de légalité de traitement de données prévu à l’art 6 RGPD : (voir art) Si personne ok pour collecter les données c’est ok - Consentement de la personne - Traitement légal s’il est nécessaire à l’exécution d’un contrat conclu avec la personne - Traitement légal si nécessaire à l’exécution d’une obligation légale - Traitement légale s’il est nécessaire à la sauvegarde des intérêts vitaux d’une personne physique - Traitement donnée légale s’il est nécessaire à l’exécution d’une mission d’intérêt public - Nécessaire à la poursuite d’intérêt légitime La conformité : traitement donnée doivent en plus respecter certaines règles de conformité Énuméré à l’art 5 RGPD (6 règles) - Données doivent être traité de manière licite, loyale et transparente - Données doivent être collecté pour des finalités déterminées, explicite et légitime - Données collectées doivent être adéquate, pertinente et limité à ce qui est nécessaire - Données collectées doivent être exacte et tenue à jour - Données collectées doivent être conservé sous une forme permettant l’identification de la personne concernée - Responsable traitement doit garantir sécu des données, limité risque de se faire hacker et d’avoir nos données dans la nature Quels sont nos droits face à Facebook, google… ? Les prérogatives des utilisateurs c nos droits contre Google, Facebook… pour protéger nos données. Loi donné 8 prérogatives/droits : - Droit à l’information : le responsable du traitement doit informer les utilisateurs de new techno de son identité, de la finalité du traitement et de leurs droits (voir conditions générales) - Droit d’accès : toute personne a le droit de demander au responsable de traitement si des données personnelles la concernant sont traitées, si la réponse est oui, possible de demander les données captées sur nous 21 sur 17 - Droit de rectification : permet à tte personne de demander au responsable de traitement de rectifier les données si elles sont inexactes ou incomplète suite au droit d’accès quand on se rends compte que nos données sont inexactes ou incomplètes - Droit à l’effacement : permet de demander l’effacement des données inexactes ou incomplètes et si le traitement n’a pas respecté les conditions (illégale ou inconforme) - Droit au déférencement : supprimer la référence sur un moteur de recherche (ie le site qui pose prob est tjrs accessible mais on peut plus y accéder par google). Droit déférencement pas automatique, c juge qui décide si oui ou non on l’accorde, pour ça le juge prend en considération plusieurs arguments Arguments pour déférencement : Site litigieux apparait quand on tape son nom Demandeur personne physique et a fortiori mineur Les données sont inexactes, excessives ou constitutive d’une injure/diffamation L’info comporte des données sensible sou relative à des infractions L’info cause un préjudice disproportionné sur la vie du demandeur Arguments contre déférencement : Demandeur joue un rôle dans la vie public (Sarkozy connu) L’info est relative à l’act professionnel du demandeur L’info a été rendue publique à des fins journalistiques - Droit à la limitation du traitement : permet de geler les données (pdnt ce temps pas le droit d’utiliser ses données par le responsable de traitement) - Droit à la portabilité des données : permet de s’extraire d’un traitement de donnée avec ses données (on nous rend nos données) - Droit d’opposition : tt perso physique à le droit de s’opposer pour des motifs légitimes que nos données persos ne fassent pas l’objet du traitement Mise en œuvre des règles de protection des données perso : La 1ère chose à faire c’est d’effectuer une réclamation directement d’une réclamation auprès des responsables de traitement si sa fonction pas seul les tribunaux ou l’autorité de contrôle numérique. Pour cette réclamation aucun formalisme (impose une forme pour qq chose) on peut faire directement sur place ou par mail, tel, formulaire en ligne. Si responsable de traitement ne réponds pas au bout d’un mois ou si réponds non on peut saisir l’autorité de contrôle numérique ou les tribunaux. Saisi CNIL = commission national informatique et liberté, créé par loi info et liberté du 6 janv 1978. CNIL exerce en toute indép les missions et pouvoir qui lui sont conférés. CNIL est AAI = autorité administrative indépendante (pas sous tutelle état). CNIL a 3 missions principales : - Mission d’accompagnement et de suivi (on peut demander avis, donner conseils, propose fiche et tuto, fournit des packs conformité 22 sur 17 - Mission de recherche : pls membres de la CNIL effectuent des débats sur enjeux éthiques liés au numérique - Mission de contrôle et de sanction : après avoir fait réclamation au responsable traitement si y réponds pas au bout 1 mois ou dit non on saisit la CNIL par son formulaire au ligne (fournir nom adresse, son problème) à l’issu de l’examen du litige peut prendre pls sanctions (avertissement public, sanction pécuniaire (amende jusqu’à 20 millions € ou 4% chiffre annuel mondial de l’e, 21 janv 2019, la CNIL a sanctionné google a payer amende de 50 millions d’€ pour manquement au principe essentiel de transparence, d’info et de consentement), (dénonciation au procureur de la Rép), (injonction de mise en conformité avc délai impartie et sous astreinte ou injonction de cesser le traitement et sous astreinte) astreinte peut dire CNIL va jusqu’à 100k/jour Quand on saisit tribunaux = recours juridictionnel (devant juridiction ie tribunaux) Perso peut faire choix recours contre responsable de traitement au civil/pénal ou contre la CNIL direct si la réponse de la CNIL ne lui plait pas. /Recours contre CNIL / Si réponds pas dans délai 3mois on peut faire recours contre sa non-réponse et on peut faire recours juridictionnels si la décision ne convient pas au plaignant. 2 mois pour effecteur un recours a compte de la décision du CNIL. Le recours contre CNIL s’effectue devant conseil d’état. Recours sois civil sois pénal, peut s’effectuer de manière individuelle (moi vs google) ou collectif (mandater asso à but non lucratif d’effectuer le recours à sa place). Le juge peut décider des sanctions civiles ou pénales au civil sanction c dommage et intérêt (responsabilité civile) et recours juridictionnels peut donner lieu à des sanctions pénales (art 226-16- 1 code pénal interdit d’effectuer un traitement de donnée avec notre numéro de carte d’identité, on ne demande pas JD sport notre carte identité car trop facile de falsifier l’identité.) (art 226-17 code pénal, sanctionne le fait de procéder un traitement de donnée sans assurer la sécu des données) (art 226-17-1 code pénal, sanctionne le fait pour le responsable de traitement de ne pas avertir lorsqu’il s’est fait pirater) (art 226-19 sanctionne traitement de donnée sensible sans le consentement de la personne, donnée sensible : raciale, opinion pol, philo ou religieuse, appartenance syndicale, donnée relative à la sante ou vie sexuelle, données biométrique…) toutes ces infractions sont punit 5 ans prison et 300k € amende Les injures en ligne : Liberté d’expression est un droit fondamental mais c’est limité lorsque ça peut nuire à autrui art 4 DDHC. Tt ce qui concerne délit lib d’expression (injure en ligne, diffamation…) régit par loi 29 juillet 1981 relative lib presse (art 29). Une injure est une parole/écrit/expression qq de la pensée adressée à une personne dans le but de l’offenser ou la blessée (un tableau Macron avec doigt donneur est une injure). Sanctions : - Injure privée (ie non public) est puni amende 38€ - Injure publique : 12k€ Important différencier injure publique et privée. Sur internet (forum, mur, Facebook) va dépendre qui peut voir la publication. Si publication mentionnée publique injure publique. Si publication mentionnée amie de mes amis (=public). Si 23 sur 17 publication mentionnée ami uniquement (=privé) mais si c une star c public. - Propos injurieux sur Facebook accessible que par les salaries (a mis que les noms des perso avc 14 perso) on a considéré injure publique. - Publication visible par toute la société considérée publique Dans messagerie électronique (mail, Messenger, WhatsApp) : - Si injure entre 2 messages = privé - Si conversation entre pls perso lié par intérêt commun (grp ami, famille) : privé - Si conversation entre pls perso non lié par intérêt commun (fac) : publique En + amende victime peut demander dommage et intérêt. Amende sanction pécuniaire au pénal vient sanctionner responsabilité pénale, l’argent va à l’état. Délai de prescription : Période au-delà de laquelle plus possible d’agir en justice. Pour injure délai de 3 mois à compter de la publication. Mais si a chaque fois que qq reposte/commente crée hyper lien, le délai de 3 mois recommence. Complicité du serveur : Facebook a serveur info et c sur ça qu’infraction créé. Serveur est-il responsable ? Possible engager responsabilité ? : on va considérer que serveur pas responsable s’il se contente de jouer un rôle pacif, pour engager sa responsabilité nécessaire d’engager la preuve qu’il avait forcément connaissance de la présence d’un contenu illicite sur son réseau. Raciste/homophobe/sexiste/antisémite = injure Si ça touche caractère discrimination. 2021 : 8 internautes condamnés pour injure raciale, propos antisémite sur la Miss Provence. 2022 : injure raciale contre Mbappé pour l’avoir traité de « sale nègre ». Sanction distinguée si public ou privée. - Si privée : 1500€ amende injure discrimination - Si public : 1 an prison et 45k€ amende Délais prescription 1 an, si hyper lien délai prescription d’un an se rallonge. Diffamation : Infraction proche de l’injure, infraction lib d’expression. On va reprocher à qq d’avoir fait qq chose qui porte atteinte à l’honneur on l’impute de ce fait. 3 conditions pour qualifier diffamation : - Personne sois précisément ciblé (tt prof de la fac pas ciblé) - Personne ciblé doit être vivante - Propos doit porter atteinte à l’honneur de la personne En 2020 : internaute condamné pour avoir prétendu sur réseau que institut pasteur avait créer covid. En matière artistique et littéraire, juge accepte grande liberté d’expression et la diffamation accordée si la critique dégénère en critique perso. Affaire Fanfan la tulipe : conclusion propos 24 sur 17 xenophobe/raciste mais visait perso donc pas condamner. Sanction de diffamation : - Non public : 38€ d’amende - Si raciste… non public 1500€ amende - Public : 12k€ - Si public raciste… 45k€ + 1 an de prison Cyberharcèlement : Harcèlement existe depuis tjrs. Mais internet l’a x les possibilités. Harcèlement internet à tte heure et empêche fuite de la victime. Booba poursuivit pour cyberharcèlement contre Magali Berdah. 2 conditions pour constituer harcèlement : - Propos ou comportements répétés - Faut que propos répétés est engagés dommage sur victime Affaire Mila : 2021, en plein covid, 11 persos condamnés pour cyberharcèlement et menace de mort pour un ou deux messages. Harcèlement morale art 222-33-2-2 code pénal : punit d’1 an de prison et 15k€ si à cause ITT inférieur ou égal à 8 jours mm si c 0 jours Punit 2 ans prison et 30k€ si victime mineure ou si le harcèlement a été effectué en ligne ou si a cause ITT supérieur à 8 jours. 3 ans prison et 45k€ amende si on cumule pls circonstance aggravante Art 222-33-2-3 : régit harcèlement morale dans le cadre harcèlement scolaire Art 222-33-2-1 : harcèlement dans cadre du couple (concubin, ex conjoint, marié, pacs) Dans harcèlement scolaire et couple sanction diff. 3ans prison et 45k€ amende si ITT inférieur à 8 jours : 5 ans prison et 75k€ amende si ITT supérieur à 8 jours 10 ans prison et 150k€ si victime s’est suicidé ou tenté de se suicide ITT : interruption totale travail diff d’arrêt maladie chez médecin. Unité de mesure qui sert a estimer la gravité d’une infraction, on passe devant institut médical judiciaire (hôtel dieu à paris) et il détermine la gravité des dommages en nbr d’ITT. Pour qq marques d’étranglement : 8 jours ITT mais ça n’empêche pas d’aller au travail, ça ne nous permet pas de ne pas aller au travail c pas un arrêt maladie. Infraction de « happy slapping » = vidéo lynchage. Consiste de filmer l’agression physique d’une personne. 2017 : prof poignardé en plein cours au lycée, les élèves ont sorti le tél pour filmer condamner à 3 ans de prison ferme. Interdit de filmer ou photographié des scènes violences volontaires, viol, agression sexuelle, barbarie. Donc filmer un meurtre c possible vu que c pas dans le renvoi. Quand on a filmé, on va considérer qu’il est complice du crime filmés (mais pas meurtre car pas dans le vidéo lynchage). On considère que le filmeur complice du viol par ex. droit pénal le complice d’une 25 sur 17 infraction punit des mm peines que l’auteur principales (violeur). 19 mai 2019 cour d’appel Douai : juge condamne 2 jeunes : 1er jeune pour violence volontaire pour l’avoir ligoté et enfermé dans chambre froide + 2ème jeune complicité violence volontaire et a filmé volontairement mais n’a pas publié la vidéo et a été condamné. Celui qui filme encourt sanction viol si c un viol + 5 ans prison et 75k€ car coupable de 2 faits. Alinéa 2 : S’il diffuse sans avoir filmé il se rends coupable de 5 ans prison et 75k€ Alinéa 3 : pas applicable si filmer résulte de but d’informer (journaliste) ou de servir preuve en justice. Infraction connex : Je fais qq chose mais je peux aussi me rendre coupable d’autres choses. Si je viole fille de ma femme + photo + diffusé : viol sur mineur, inceste, diffusion. Si témoin agression : censer d’empêcher l’auteur de commettre l’agression et l’aider sinon non- assistance n’a personne en danger. Dark Net : Nous on navigue sur clear web. Il existe face caché internet par logiciel Thor de base inventé pour des choses bien : pop qui vit dans régime totalitaire car pas accès internet qui puisse accéder à un internet libre (Russe, Chinois). Dark web principalement utilisé pour trafic organe… Meurtre commandité sur internet : 2019, 2 jeunes américains ont tué qq sur Moscou sur leur canapé ont commandité le meurtre contre des bitcoins, celui qui tue est le tueur à gage. - Responsabilité commanditaire : peut pas être poursuivi pour assassinat mais pour complicité d’assassinat ca ril a pas tué, prémédité. Punit mm peine que le tueur, réclusion criminelle à perpétuité. On peut poursuivre qu’un Fr ou crime fait par étranger en Fr. - Responsabilité tueur à gage : Si il est russe on peut pas le juger car on est en Fr. complicité pour assassinat, réclusion criminelle à perpétuité. Viol à distance : plusieurs centaines en France, des gens payent pour assister un stream où qq viole qq d’autres. Sur dark net et c direct. Quand direct terminé plus de trace. 1er français condamné pour ça 13 janv 2020, pilote de ligne 50 ans, condamné à 5 ans de prison pour avoir regardé. Une personne qui paye commandite un viol dc se rends complice de viol = commanditaire du viol sera condamné aux mm peines prévu pour le viol. - Viol art 222-23 code pénal. 15 ans prison pour viol « normal », 30 ans sur mineur -15 ans, 30 ans prison si viol commis via internet (internet circonstance aggravante). - Agression sexuel 222-22 code pénal. : 5 ans prison et 75k€… Facteur minorité + internet aggrave la peine. 26 sur 17 Pédopornographie en ligne : Fr 3ème pays qui héberge le + pédopornographie en ligne. 1er Etats-Unis, 2ème Pays Bas. Art 227-23 code pénal pour pédopornographie : distingue entre fournisseurs de contenu et les consos. - Fournisseurs : celui qui filme, photographie enfant et diffuse sur internet. Sanctionne de prendre les images et les diffuser. Par image porno c toutes images (dessin, film, sculpture…). Pas nécessaire que le sujet de la photo soit un véritable enfant si on fait film porno et on dit c un enfant c de la pédopornographie ce qui compte c l’intention de regarder du sexe avc des enfants. Aussi si c représentation imaginaire enfant par intelligence artificielle (manga, enfant). Seule nudité de l’enfant ne suffit pas il faut qu’il soit dans situation suggestive ici c pas nudité qu’on condamne c sexe. Enfant doit ê dans situation sexuel. - Conso de contenu pédopornographique : le conso est celui qui consulte régulièrement un site pédopornographique. Sera sanctionné si c que une fois s’il a dû payer. On considère droit d’erreur mais si on paye. Méthodologie et informatique Plus d’un tiers de la population mondiale est connecté à Internet, terrain propice aux fraudes. L’enjeu de la protection de la vie privé vis-à-vis des nouvelles technologies Comment on fait pour la vie privée des utilisateurs ? Comment le droit procède à résoudre un problème de société ? 1. On identifie un problème de société et un objectif. 2. La qualifications, on qualifie, on donne des définitions et des conditions d’applications 3. Appliquer un régime juridique à cette notion, il est composé de règles à suivre et d’une sanction ou de plusieurs sanctions si ces règles ne sont pas respectés. Les notions de vie privé et de données personnelles sont liées mais ne sont pas pareils. Droit au respect de la vie privée, vu par plusieurs textes de lois en France et à l’international. Article 9-1 du code civil 226-1 du code pénal, on retrouve des articles qui punissent l’enregistrement de parole de quelqu’un. Article de la convention européenne de sauvegarde des droits de l’homme CESDH, signé par tous les pays membre du conseil de l’Europe, cour européenne des droits de l’homme CEDH au Luxembourg C’est la jurisprudence qui donne une définition, de la notion de vie privé Déni de justice : atteinte grave à un droit fondamentale Article 4 du code civil : interdiction du déni de jugement, obligation que le juge doit interpréter la loi et compléter la loi. Si la loi est lacunaire le juge doit la compléter pour pouvoir juger. Compléter la loi et rajouter la loi=arrêt de principe Il peut rajouter une définition, une sanction. Il existe une hiérarchie entre tribunaux et cour, lorsqu’un arrêt de principe est décidé par la cour de cassation tout le reste doivent suivre. Les arrêts de principes fait par les cours supérieures sont suivies par les cours inférieurs. Revirement ou divergence de jurisprudence : 27 sur 17 Lorsque les juges changent d’avis, adoption d’un nouveau principe = Revirement Conflit entre plusieurs juridictions, de même niveau hiérarchique (deux cours d’appel)(cours de cassation, conflit entre deux chambres) Le législateur peut consacrer la décision d’une chambre civil et réfuter l’autre. CEDH : Définition de la vie privé : Arrêt du 29 avril 2002 : Pretty contre Royaume Unis « Le droit pour une personne d’être libre, de mener sa propre existence avec le minimum d’ingérence extérieur. » Donnée à caractère personnel La notion de données personnelles évoluent avec le temps. Et elle a évolué avec le progrès des nouvelles technologies. Dès qu’une nouvelle technologie peut capter une nouvelle donnée. Il faut une nouvelle loi pour la protéger. La France est le premier pays Européen à adopter une loi pour protéger les données à caractère personnel. 6 janvier 1978 : Loi informatiques et libertés L’informatique doit être au service de chaque citoyens, elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés publiques Article 4 de cette loi va donner la définition des données nominatives. Les données protégés en 1978 sont le nom, le prénom et la date de naissance. Directive européenne du 24 Octobre 1995, les directives européennes ne sont pas directement applicable. Pour qu’elle soit applicable, il faut une loi de transposition. Le 6 octobre 2004, loi de transposition en France, donc les français ont une neuf ans de protection en moins. Elle vient élargir la notion de données personnelles : évolution technologique. Toute information relative a une personne physique qui peut être identifiée directement une personne, son nom, son prénom, son image. Indirectement notre voix, numéro de téléphone, adresse, numéro sur les documents, l’adresse IP et les cookies(fichier généré par un serveur qui gère un site internet ou un serveur qui site une application mobile, ce fichier permet de reconnaitre un internaute par son adresse IP, il vous suit partout ou vous allez ensuite. Offre un contenu personnalisé) Règlement européen 27 avril 2016 : Règlement RGBPD Données d’identification protégé. Notions de droit au respect de la vie privée et desdonnées personnelles Définitions du droit au respect de la vie privé et dedonnées personnelles Définition droit au respect de la vie privée : Le droit au respect de la vie privée est prévu dans plusieurs textes de droit interneou international : - droit interne : - article 9-1 du Code civil ; - articles 226-1 et suivants du Code pénal - Droit international : article 8 CESDH 28 sur 17 Ces textes ne donne aucun définition du droit au respect de la vie privée. La jurisprudence de la CEDH vient interpréter l’article 8 de la CESDH et définir ledroit au respect de la vie privée : CEDH, 29 avril 2002, Pretty C/ Royaume-Uni : le droit au respect de la vie privée est : « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » 29 sur 17
