Cybercriminalité PDF

Summary

This document discusses cybercrime, including definitions, examples, and different types such as DDoS attacks and phishing. It covers the techniques used by cybercriminals and the potential consequences.

Full Transcript

Deuxième partie : La Cybercriminalité s'agirait d'une tentative de chantage à la
loterie nationale.
EXEMPLE : le mouvement ANONYMOUS
I- Définition la mouvance « hacktiviste » ou
la cybercriminalité est considérée Anonymous : En mars 2011, suite à
comme une violation du droit pénal l'accident nucléaire de Fukushima, des
impliquant la technologie de l’information. collectifs « Anons » souhaitent exprimer
En termes généraux, la cybercriminalité est leur indignation face à l'industrie nucléaire.
un délit commis en utilisant un réseau Pour ce faire, ils vont recourir à mode
informatique ou l’Internet. Cela peut d'action politique qui revient sur le devant
couvrir un large éventail d’activités, y de la scène depuis quelques mois : les
compris les activités terroristes et attaques distribuées par déni de service
l’espionnage menés à l’aide d’Internet et le (DDoS)
piratage illégal de systèmes Une action de DDoS consiste à inonder un
informatiques. serveur web de requêtes afin de le rendre
La plupart des cyber crimes sont commis temporairement inaccessible.
par des cybercriminels ou des pirates
informatiques qui cherchent à gagner de 2-Hameçonnage
l'argent. La cybercriminalité est très bien On parle de campagne de phishing, ou
organisée et très professionnelle. Elles d'hameçonnage, lorsque des courriers
peuvent être d'ordre politique ou indésirables, ou d'autres formes de
personnel ions liées au contenu, le vol et la communication, sont envoyés dans
manipulation de données. Elle peut l'intention de pousser les destinataires à
prendre plusieurs formes faire quelque chose qui porte atteinte à
II- LES TYPES DE CYPERCRIME leur sécurité.
Les messages des campagnes de phishing
1-Attaques par déni de service distribué peuvent contenir des pièces jointes
Les attaques par déni de service distribué infectées ou des liens vers des sites
(DDoS) sont un type d'attaque utilisé par malveillants, ou encore demander au
les cybercriminels pour provoquer la destinataire de répondre en fournissant
panne d'un système ou d'un réseau. des informations confidentielles.
*Comment : des appareils de l'Internet des
objets (IoT) connectés sont utilisés pour Exemple célèbre d'escroquerie par
lancer des attaques par DDoS. hameçonnage a eu lieu pendant la Coupe
*Une attaque par DDoS submerge un du Monde de 2018. Selon notre
système en utilisant l'un des protocoles de rapport, 2018 Fraud World Cup,
communication standard qu'il utilise pour l'escroquerie par hameçonnage lors de la
le spammer avec des demandes de Coupe du Monde a impliqué des e-mails
connexion. qui ont été envoyés à des fans de football.
Exemple : L'attaque par DDoS de 2017 sur Ces spams ont essayé d'attirer les fans avec
le site Web de la loterie nationale du de faux voyages gratuits à Moscou, où la
Royaume-Uni est un exemple connu de ce Coupe du Monde était organisée. Les
type d'attaque. Le site Web et l'application données personnelles des personnes qui
mobile de la loterie ont été mis hors ligne, ont ouvert et cliqué sur les liens contenus
empêchant les citoyens britanniques dans ces emails ont été volées.
d'effectuer des paiements. La raison de Notez : Contrairement aux campagnes de
cette attaque reste inconnue, mais il phishing de masse, qui sont très
générales, les messages du phishing ciblé Évitez de divulguer des
sont généralement conçus pour informations personnelles : si vous
ressembler à des messages envoyés par recevez un appel, un message texte
une source fiable. Par exemple, ils sont ou un email d'une source non fiable
rédigés pour donner l'impression d'être vous demandant des informations
envoyés par le PDG ou le responsable personnelles, n'y répondez pas.
informatique. Ils peuvent ne pas contenir Les cybercriminels qui préparent
d'indices visuels dénonçant qu'il s'agit de une attaque par ransomware
contrefaçons. peuvent essayer de collecter à
l'avance des informations
3-un ransomware personnelles, qui sont ensuite
Dit aussi un cheval de Troie de utilisées pour adapter les messages
chiffrement s'installe sur votre ordinateur, de phishing à la victime. En cas de
il chiffrera vos données ou verrouillera vo doute sur la légitimité du message,
tre système d'exploitation. Dès que le contactez directement l'expéditeur.
ransomware s'empare d'un « otage N'ouvrez aucune pièce jointe
numérique », il exige une rançon en douteuse : les ransomwares
échange de sa libération. peuvent également s'introduire
Le but : d’obtenir des rançons et le mode dans votre appareil à travers les
de payement à évoluer : pièces jointes d'un email. Évitez
d'ouvrir toute pièce jointe à l'aspect
Si le concept de base des attaques par douteux.
ransomware, c'est-à-dire le chiffrement Pour vous assurer que l'email est
des données et l'extorsion de fonds par digne de confiance, prêtez une
rançon, reste fondamentalement le même, attention particulière à l'expéditeur
les cybercriminels modifient régulièrement et vérifiez que l'adresse est
leur mode opératoire. correcte.
N'ouvrez jamais de pièces jointes
De PayPal à Bitcoin : les demandes de qui vous invitent à exécuter des
rançon des cybercriminels se font macros pour les visualiser.
désormais en Bitcoin, car elles sont plus Si la pièce jointe est infectée, son
difficiles à tracer de cette façon. Dans le ouverture entraînera l'exécution
passé, les cybercriminels utilisaient d'une macro malveillante qui
principalement PayPal pour arriver à leurs permettra à l'application
fins. malveillante de prendre le contrôle
de votre ordinateur.
Protection contre les ransomwares : Ne répondez pas à des
comment prévenir une infection ? fausses offres d’emplois :
Ne cliquez jamais sur des liens Les fraudeurs peuvent également
dangereux : évitez de cliquer sur les se faire passer pour des recruteurs
liens contenus dans les messages ou des RH à la recherche de
de spam ou sur des sites Web demandeurs d’emploi. Si votre CV
inconnus. Si vous cliquez sur des est accessible en ligne, vous
liens malveillants, un pouvez recevoir une « offre
téléchargement automatique peut d’emploi » alléchante. En règle
être lancé, ce qui peut entraîner générale, les fraudeurs demandent
l'infection de votre ordinateur. un paiement en cryptomonnaies
 avant le début d’une formation
professionnelle. Ou ils peuvent
chercher des crypto-investisseurs
ou des gestionnaires de fonds. Dans
tous les cas, vous effectuerez un
paiement en Bitcoin et ne recevrez
rien en retour.

Utilisez uniquement des sources
de téléchargement connues : pour
minimiser le risque de
téléchargement de ransomwares,
ne téléchargez jamais de logiciels ni
de fichiers multimédias à partir de
sites inconnus. III- LE CADRE JURIDIQUE RELATIF A LA
Faites confiance aux sites vérifiés et CYBERCRIMINALITE EN TUNISIE
dignes de confiance pour effectuer
des téléchargements. Les sites Web Présentation du décret loi n°2022-54 en
de ce type sont reconnaissables aux date du 13 septembre 2022 relatif à la
certificats numériques. Assurez- lutte contre les infractions se rapportant
vous que la barre d'adresse du aux systèmes d’information et de
navigateur de la page que vous communication
visitez indique « https », et non
Les infractions se rapportant aux systèmes
« http ».
d'information et de communication et des
Un bouclier ou un symbole de
peines
cadenas dans la barre d'adresse
peut également indiquer que la
page est sécurisée.
Art. 17 – Est puni de trois ans
d’emprisonnement et d'une amende de
vingt mille dinars, quiconque
sciemment…, approvisionne, …
obtient..Un mot de passe, un code
d’accès ou toutes données
informatiques similaires permettant
d’accéder, en totalité ou en partie, à un
système d’informations en vue de
commettre les infractions régies par le
présent décret-loi

Faites également preuve de La tentative est punissable
prudence lorsque vous téléchargez
quoi que ce soit sur votre appareil Art. 20 – Est puni de trois ans
mobile. d’emprisonnement et d'une amende de
trente mille dinars, quiconque entrave
sciemment et d'une manière illégale le
fonctionnement d’un système
informatique,
en y introduisant des données grande partie des postes de travail et des
informatiques serveurs. de quoi s’agit il ?
Ou les envoyées,
Les endommagées,
les modifiées, les supprimées, les
annulées, les détruire, ou en y utilisant
d’autres moyen électronique.
La tentative est punissable.

Art. 36 – Il est ajouté un nouveau tiret
au deuxième paragraphe de l'article 15
bis du code pénal inséré
immédiatement après le dernier tiret
intitulé « Les infractions militaires »,
intitulé « Infractions se rapportant aux
systèmes d'information et de
communication» comme suit :

«- Les infractions se rapportant aux
systèmes d'information et de
communication :

L’accès illégal.
L’interception illégale.
Le détournement de données
informatiques.
Endommagement, altération,
effacement, suppression ou
destruction de données
informatiques.
Utiliser du matériel, des logiciels ou
des données pour commettre une
infraction se rapportant au système
d'information et de
communication. »

Exercice
Le 15 novembre 2019, à la veille du
week-end, un médecin des services
d’urgence de l’hôpital (X) , après avoir
consulté son mail personnel sur le poste
de travail , constate un problème
d’accès à une application qui lui permet
de consulter les fiches des malades. Peu
après, il constate le chiffrement d’une
DONNEES PERSONELLES : le droit à l'image

Selon la loi de 2004, le droit à l’image est fondé sur le principe du respect des données à caractère
personnel.

En effet, les données à caractère personnel peuvent prendre la forme d’une image, d’une séquence
vidéo, d’un enregistrement vocal, d’un numéro de carte d’identité nationale et tout ce qui permet
d’identifier directement ou indirectement une personne physique.

La divulgation des données à caractère personnel peut nuire aux droits de la personnalité
dont,notamment, le droit à l’image.

Chaque jour, des millions de photos personnelles et des séquences vidéo sont partagées sur la toile.
Dans plusieurs cas, ces données à caractère personnel ont été diffusées sans l’accord préalable de la
personne concernée, ou même à son insu.

La prolifération des appareils photos numériques, et notamment ceux qui sont intégrés dans les
téléphones portables, a facilité la prise d’images qui sont parfois outrageantes. Certaines images sont
même retouchées avec des logiciels facilement téléchargeables sur interne.

I-l’image et la photographie

1- Le principe

En droit tunisien, La loi organique du 27 juillet 2004 relative à la protection des données à
caractère personnel instaure un régime juridique rigoureux, visant à protéger le droit à l’image.

Cette loi, dans l’article 27 exige le consentement pour le traitement des données personnelles et les
images. Le consentement de la personne doit être exprès.

*Une autorisation est a priori nécessaire quel que soit le lieu, public ou privé, dans lequel l’intéressé
a été pris en photo ou filmé. Peu importe le nombre de personnes inclus dans un cliché, que le visage
soit ou ne soit pas visible.

*Le consentement de la personne doit être exprès. Il est donc nécessaire de recueillir par écrit son
autorisation. Lorsque cette personne est mineure ou majeure incapable, cette autorisation doit être
obtenue auprès des parents ou tuteurs.

*L’autorisation donnée doit en outre être suffisamment précise (pour tel évènement, pendant tel
laps de temps…) pour savoir si l’intéressé a bien été informé de l’utilisation (buts, finalités) qui allait
en être faite. Il est de ce fait interdit de faire de l’image un usage différent de la diffusion consentie.

2-Exceptions :

Ce sont les cas dans lesquels l’autorisation préalable expresse d’utilisation de l’image n’est plus
nécessaire.

A) L'image d’un groupe de personne captée dans un lieu public
 Par dérogation au principe général d’interdiction de publication sans autorisation, on considère que
s’agissant d’un groupe de personnes dans un lieu public ou de scènes de rue, il n’est pas nécessaire
d’obtenir le consentement des personnes photographiées pour la publication de leur image.

Cette dérogation doit néanmoins répondre aux conditions cumulatives suivantes

a) il doit s'agir d'un lieu public : Ex : voie publique, rue, plage privée, université…(en revanche,
une prison est un lieu privé).

b) L’image de personnes publiques

Cela concerne les personnes ayant une vie publique pourvu que l’image qui en est prise y soit
étroitement liée c'est-à-dire les représente dans l’exercice de leur activité professionnelle. Il a été
jugé que la vie professionnelle pouvait relever de la vie publique. La possibilité de publier l’image
d’une personne publique (hommes politiques, magistrats, célébrités …) sans son autorisation
nécessite donc que cette personne soit dans l’exercice de ses fonctions ,et ce, à l’exclusion de toute
de finalité commerciale par exemple (l'utilisation à des fins publicitaires).

II- les images des camera de surveillance

Il s'agit de l''utilisation de caméras de surveillance dans les lieux publics pour assurer la sécurité des
citoyens. Toutefois, l'installation de ces caméras doit être justifiée et proportionnée, et leur
utilisation doit être limitée dans le temps. L’usage de caméras de surveillance est permis sous
certaines conditions.

La loi de 2004 dans les articles 67 et suivants prévoit que que les données collectées par les caméras
de surveillance soient traitées conformément aux règles de protection des données personnelles.

Les enregistrements doivent être stockés en toute sécurité et leur accès doit être limité aux
personnes autorisées.

De plus, les propriétaires de caméras de surveillance ne doivent pas collecter des données qui
pourraient porter atteinte à la vie privée des individus. Cela signifie qu'il est interdit de filmer les
zones privées, telles que les chambres dans le hôtels ,les salles de bains et les vestiaires.

Egalement, les particuliers ne peuvent filmer que l’intérieur de leur propriété (par exemple,
l’intérieur de la maison ou de l’appartement, le jardin, le chemin d’accès privé). Ils n’ont pas le droit
de filmer la voie publique, y compris pour assurer la sécurité de leur véhicule garé devant leur
domicile.
 Le cyber harcèlement
I- Définition :
Le cyber-harcèlement est le fait d’utiliser les nouvelles technologies d’information et de
communication (mails, réseaux sociaux...) pour humilier ou intimider quelqu'un, de
manière répétée dans le temps.
⮚ C'est la fréquence des propos et leur teneur insultante, obscène ou menaçante
qui constitue le harcèlement.

II-Les différentes formes du cyber-harcèlement
*les insultes, moqueries ou menaces en ligne ( en public ou via la messagerie privé)
*l’intimidation : Transmission de courriels non sollicités et/ou menaçants. Ainsi que
l’incitation d’autres personnes à transmettre à la victime des courriels non sollicités et/ou
menaçants ou à surcharger cette dernière par un très grand nombre de messages
électroniques.
*La création d’un sujet de discussion, d’un groupe ou d’une page sur un réseau social à
l’encontre d’une personne : elle est appelé le Le « doxing » c'est-à-dire le fait à exposer une
personne sur internet. Les photos et les vidéos se propagent très rapidement. Donc même si
l’agresseur supprime les images, elles sont probablement déjà entre les mains d’inconnus.
*la publication d’une photo ou d’une vidéo (authentique ou modifiée) embarrassante.
Le cyber-harcèlement peut se propager très vite et massivement Le coupable peut rester
anonyme Les messages peuvent rester en ligne même après l'arrêt du harcèlement (et donc
causer à nouveau du tort à la victime)
⮚ La victime peut agir dans un premier temps directement en cas de
cyberharcèlement en demandant le retrait immédiat du contenu Cette démarche
n'est pas une plainte officielle. Par exemple, auprès des responsables d'un forum ou
d'un réseau social. c’est pour cela es réseaux sociaux permettent de bloquer une
personne, c'est-à-dire d'empêcher toute mise en contact si elle procède au cyber
harcèlement
Le cyber-harcèlement ou harcèlement en ligne – qu’il soit sexuel ou moral – est devenu
véritable fléau depuis l’avènement des réseaux sociaux. Ce phénomène est plus prononcé
chez les adolescents qui ont de plus en plus accès aux moyens de communication
numérique.
Les femmes également sont victime de cyper harcèlement.
III- SANCTIONS :
Deux types de sanctions :
⮚ La première est prévue par le code pénal
Loi n° 2004-73 du 2 août 2004, modifiant et complétant le code pénal.
Article 226 (3§): « Est puni d un an d'emprisonnement et d'une amende de trois mille
dinars, celui qui commet le harcèlement sexuel.
Est considéré comme harcèlement sexuel toute persistance dans la gêne d'autrui par la
répétition d'actes ou de paroles ou de gestes susceptibles de porter atteinte à sa dignité ou
d'affecter sa pudeur, et ce, dans le but de l'amener à se soumettre à ses propres désirs
sexuels ou aux désirs sexuels d'autrui, ou en exerçant sur lui des pressions de nature à
affaiblir sa volonté de résister à ses désirs.
La peine est portée au double lorsque l'infraction est commise à l'encontre d'un enfant ou
d'autres personnes particulièrement exposées du fait d'une carence mentale ou physique
qui les empêche de résister à l'auteur du harcèlement
⮚ La deuxième est prévue par un texte spécial
La loi 58-2017 du 11 Aout 2017 sanctionne la violence en ligne et le harcèlement sexuel.
L'article 17 de cette loi, qui porte sur le cyber-harcèlement, dispose qu'une amende allant
de 500 à 1000 dinars sera infligée à toute personne qui harcèle une femme sur les réseaux
Obligations en matière de protection des
données personnelles
La collecte et le traitement de données personnelles (nom, prénom, adresse, numéro de sécurité
sociale, etc.) par les entreprises sont soumis à des obligations destinées à protéger la vie privée
et les libertés individuelles des personnes dont les données sont collectées.

Qu'est-ce qu'une donnée personnelle ?
Il s'agit de toutes informations se rapportant à une personne physique identifiée ou identifiable,
directement ou non, grâce à un ou plusieurs éléments permettant de le rattacher personnellement
à une donnée.

C'est le cas par exemple d'un nom, d'un prénom, d'un numéro de téléphone, d'une adresse
électronique, d'un numéro de carte d'identité et/ou de sécurité sociale, d'une adresse IP, d'une
photo, d'un profil sur un réseau social.

Les règles de protection des données personnelles s'appliquent en cas de collecte, d'utilisation
et de conservationquelque soit le support adopté (papier, numérique,...).

Qu'est ce que le traitement des données personnelles ?
Le traitement de données personnelles consiste en toute opération portant sur des données
personnelles, quel que soit le procédé utilisé (enregistrer, organiser, conserver, modifier,
rapprocher avec d'autres données, transmettre, etc...Ces données).

Le traitement des données à caractère personnel mentionnées par l’article 14 de 2004 est soumis à
l’autorisation de l’Instance Nationale de Protection des données à Caractère. L’instance doit donner
sa réponse concernant la demande d’autorisation dans un délai ne dépassant pas trente jours à
compter de la date de sa réception. Le défaut de la réponse dans ce délai vaut refus.

La violation de cette règle entraine d’un emprisonnement de deux ans et d’une amende de dix mille
dinar (article 87 loi de 2004).

Par exemple, il peut s'agir d'une intégration dans un mailing pour un démarchage commercial,
d'envoi d'informations ciblées ou d'une newsletter ou de cookies de navigation, etc.

À savoir

Un traitement de données à caractère personnel peut être informatisé ou non. Un fichier papier
organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de
candidatures classés par ordre alphabétique ou chronologique sont aussi des traitements de
données personnelles.

Pour mettre en œuvre le traitement, le professionnel doit, le plus souvent, recueillir le
consentement de la personne dont les données sont collectées.
 Toutefois, le recueil du consentement n'est pas toujours exigé. C'est le cas notamment lorsque
le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne. Il
en va de même lorsque le traitement est imposé par un texte de loi.

Exemple :

En tant qu’employeur, un professionnel être amené à collecter des informations concernant ses
salariés pour procéder à des recrutements, calculer les horaires de travail ou encore établir la
fiche de paie.

De plus, les données personnelles doivent répondre aux conditions suivantes :

Traitées de manière licite, loyale et transparente
Collectées pour une ou plusieurs finalités précises (une connaissance client,
traitement plus efficace)
Adéquates, pertinentes et limitées aux finalités du traitement
Exactes et tenues à jour
Conservées de façon temporaire (elles doivent être supprimées au bout d'un certain
temps ou anonymisées pour un traitement statistique) et sécurisée (mesures de
protection prises pour l'accès à ces données, habilitation...).

À qui s'applique la réglementation protégeant les données
personnelles ?
Laréglementation s'applique à tous les organismes qui procèdent au traitement de données à
caractère personnel, quelle que soit leur implantation géographique.

Les personnes suivantes sont ainsi concernées :

Responsables de traitement et leurs sous-traitants (hébergeurs, intégrateurs de logiciels, agences
de communication entre autres) établis en Tunisie quel que soit le lieu de traitement des
données.

Responsables de traitement et leurs sous-traitants établis hors du territoire tunisien, quand ils
mettent en œuvre des traitements visant à fournir des biens ou des services à des résidents
tunisiens. C'est également le cas lorsqu'ils les ciblent avec des techniques d'intelligence
artificielle (par exemple : profilage).

En pratique, le règlement de protection des données s'applique donc à chaque fois qu'un résident
tunisien, quelle que soit sa nationalité, est directement visé par une collecte ou un traitement de
données. Y compris par internet ou par le biais d'objets connectés (appareils domotiques, objets
mesurant l'activité physique par exemple).

Quelles sont les obligations des entreprises en cas de
collecte ?
 Obligation générale de sécurité et de confidentialité

Le responsable du traitement des données doit mettre en œuvre les mesures de sécurité des
locaux et des systèmes d'information pour empêcher que les fichiers soient déformés,
endommagés ou que des tiers non autorisés y aient accès.

Il doit prendre toutes les mesures nécessaires au respect de la protection des données
personnelles dès la conception du produit ou du service.

Ainsi, il est obligé de limiter la quantité de données traitées dès le départ (principe dit de
minimisation) et doit démontrer cette conformité à tout moment.

L'accès aux données est réservé uniquement aux personnes désignées ou à des tiers qui
détiennent une autorisation spéciale et ponctuelle (service des impôts par exemple..

Le responsable des données doit fixer une durée raisonnable de conservation des informations
personnelles.

À savoir

les obligations déclaratives sont toutes supprimées, sauf exceptions prévues par le droit national
(certains traitements dans le secteur de la santé ou de la sécurité publique mis en œuvre pour le
compte de l'État).

Obligation d'information

L'entreprise qui détient des données personnelles doit informer la personne concernée des
informations suivantes :

Identité du responsable du fichier
Finalité du traitement des données
Caractère obligatoire ou facultatif des réponses
Droits d'accès, de rectification, d'interrogation et d'opposition
Transmissions des données
Utilisation des données de navigation (cookies)

La personne qui traite les données personnelles (un commerçant en ligne par exemple) doit
respecter certaines obligations. Notamment :

Recueillir l'accord préalable des clients
Informer les clients de leurs droits d'accès, de rectification, d'opposition et de suppression des
informations collectées
Veiller à la sécurité des systèmes d'information
Assurer la confidentialité des données
Indiquer une durée de conservation des données

L'objectif de la collecte d'informations doit être déterminé, et les données collectées doivent
correspondre à cet objectif.

À savoir
l'âge à partir duquel un mineur peut consentir seul au traitement de ses données personnelles
(majorité numérique) pour utiliser un service sur internet (les réseaux sociaux par exemple), est
fixée à 15 ans. L'autorisation des parents est nécessaire avant cet âge. L'information sur le
traitement de données du mineur doit être rédigée en termes clairs et simples.

Réalisation d'analyse d'impact

Dès lors que le traitement des données présente un risque pour les droits et libertés des
personnes, le responsable du traitement doit mener une analyse d'impact sur la vie privée.

Cette analyse d'impact vise à évaluer l'origine, la nature, la particularité et la gravité de ce risque
sur les droits et les libertés des personnes.

Si l'étude d'impact met en évidence un risque élevé (par exemple : utilisation de données
bancaires ou usurpation d'identité) pour les personnes malgré les mesures mises en place pour
en diminuer l'impact, l'instance nationale pour la protection des données à caractère
(INPDP) personnel doitêtre informée.

L'évaluation dans le cadre de l'analyse d'impact doit porter sur les éléments suivants :

Collecte d'Informations sensibles (origine, opinions politiques, religieuses,
syndicales, habitudes sexuelles, santé), biométriques ou génétiques notamment
Existence d'une évaluation des personnes (profilage par exemple)
Réalisation de fichiers ayant une finalité particulière

les transferts de données hors de la TUNISIE ne sont plus interdits, mais ils doivent respecter
plusieurs conditions, notamment que le pays tiers présente un niveau de protection adapté, selon
la Tunisie.

Quels sont les droits des personnes dont les données sont
collectées ?
Les personnes dont les données sont collectées bénéficient de plusieurs droits.

Elles peuvent les exercer auprès du responsable de traitement.

Le nom et l'adresse de ce dernier doivent figurer sur les sites visités et dans les contrats conclus.

Elles peuvent également engager une action de groupe devant les tribunaux.

Droit d'accès (article 32 et suivants, loi de 2004)

Les personnes dont les informations sont collectées et traitées peuvent demander l'accès aux
données les concernant à tout moment et sans limitation.

Droit de rectification et d'opposition

Les personnes dont les données sont collectées et traitées peuvent demander la rectification des
données conservées. Ils peuvent également s'opposer à leur utilisation.
Droit à la portabilité

Toute personne peut récupérer, sous une forme réutilisable, les données qu'elle a fournies, et
les transférer ensuite à un tiers (réseau social par exemple).

Droit à l'oubli

Toute personne a droit à l'effacement de ses données et au déréférencement (droit de demander
à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms).

Droit à notification

En cas de violation de la sécurité des données comportant un risque élevé pour les personnes,
le responsable du traitement doit les avertir rapidement, sauf dans certaines situations (données
déjà chiffrées par exemple).

Il doit également le notifier à l'instance nationale pour la protection des données à caractère
(INPDP).

Tel est le cas d'une banque, victime d'une intrusion dans son système informatique client. Elle
doit informer ces derniers que des tiers ont pu accéder à leurs données personnelles.

Droit à réparation du dommage matériel ou moral

Toute personne qui a subi un dommage matériel ou moral du fait de la violation du règlement
européen peut obtenir du responsable du traitement (ou du sous-traitant) la réparation de son
préjudice.

Tel est le cas par exemple d'une personne dont un problème de santé aurait été révélé.

Action de groupe

Toute personne peut mandater une association ou un organisme actif dans le domaine de la
protection des données pour faire une réclamation ou un recours et obtenir réparation en cas de
violation de ses données.

Quelles sont les sanctions auxquelles s'exposent les
entreprises ?
En cas de violation du règlement, l'instance nationale pour la protection des données à
caractère (INPDP)peut prononcer des amendes administratives.

C'est l'INPDPqui adresse un courrier au responsable de traitement lui indiquant la sanction.

Des sanctions pénales peuvent également s'ajouter à ces sanctions administratives. C'est le cas
des infractions liées à la discrimination, des infractions de mise en danger en cas de mesures de
protection insuffisantes (exemple : révélation de l'adresse d'une personne).
Enfin, les victimes peuvent demander des dommages et intérêts devant les juridictions civiles
ou pénales.