TH4 Droit : Dans quelle mesure le droit intègre-t-il les questions liées au développement du numérique ?

Une DCP : Données à Caractère Personnel est une donnée numérique qui permet d’identifier directement ou indirectement une personne physique.

La navigation sur Internet, les applications pour smartphone et les outils digitaux utilisés par les entreprises conduisent les personnes à livrer de plus en plus d'informations qui permettent, directement ou indirectement, de les identifier. Ces données, dites « à caractère personnel » (adresse IP, prénom, nom, coordonnées, localisation, goûts, habitudes...) révèlent une part importante de la vie privée des individus et doivent, à ce titre, être protégées. En effet, le traitement de ces données par d'autres personnes comporte plusieurs risques :

– le risque d'une exploitation commerciale par des entreprises, en vue de procéder à un profilage publicitaire ;

– le risque d'une exploitation politique par des pouvoirs publics, afin d'influencer l'opinion publique à l'occasion d'élections ;

– le risque d'une exploitation frauduleuse par des pirates, qui pourraient, grâce aux données collectées, reconstituer l'identité numérique d'une personne afin de l'usurper dans un but malveillant.

Le droit a donc dû intervenir pour protéger ces données à caractère personnel, et ainsi la vie privée des individus.

Actuellement, la protection des données à caractère personnel est assurée par le règlement général sur la protection des données (RGPD). Le RGPD Réglement Général sur la Protection des Données est entré en vigueur le 25 Mai 2018 dans l’ensemble des 28 états membres de l’Union Européenne. Il remplace la Directive Européenne de 1995, sur la protection des DCP.Le RGPD met fin à la fragmentation juridique entre les états membres.

Le RGPD a renforcé les droits des personnes sur leurs données à caractère personnel.

Il remplace la Directive Européenne de 1995, sur la protection des DCP.

Avec l’ampleur du numérique, les gouvernements cherchent à protéger les citoyens faces aux différents risques concernant leurs DCP.

En premier lieu, il a amélioré les moyens d'information des personnes sur la collecte et l'utilisation de leurs données personnelles (information sur les données collectées, sur la durée de leur conservation, sur l'utilisation qui en sera faite, et information en cas de piratage).

En second lieu, il permet aux individus de maîtriser davantage leurs données à caractère personnel : ils doivent autoriser les entreprises à les utiliser (ces dernières doivent recueillir leur consentement), ils peuvent demander une copie des données détenues, leur rectification, leur suppression, leur transfert vers un autre service (« droit à la portabilité ») et s'opposer à leur utilisation.

En cas de manquement par une entreprise à des règles du RGPD, les personnes victimes d'un préjudice similaire peuvent agir en justice ensemble pour obtenir réparation au moyen d'une action de groupe.

LA RGPD est un règlement européen qui vise à accroître la sécurité des DCP, en renforçant les droits des utilisateurs et les obligations des organisations. Il s’applique à toute organisation du moment qu’elle traite des données concernant un ressortissant européen.

Le RGPD a permis plusieurs contraintes règlementaires :

• Concentement
• Droit à la transparence
• Droit d’accès
• Droit de rectification
• Droit à l’oubli
• Droit de portabilité
• Minimisation
• Droit à la sécurité

En France, c'est la Commission nationale de l'informatique et des libertés (CNIL) est un organisme (créé le 06 Janvier 1978) qui garantit le respect du RGPD par les entreprises et les administrations. La CNIL dispose de missions lui permettant d'assurer l'effectivité du RGPD de manière préventive (information des individus sur leurs droits, accompagnement des entreprises pour se mettre en conformité avec les règles) et de manière curative (réception des plaintes émises par les personnes, sanctions des organisations ne respectant pas le RGPD).
Autrement dit, la CNIL veille à la protection des DCP et qui fonctionne les infractions le cas échéant.

La CNIL a vu ses pouvoirs de sanction renforcés :

– Elle sont administratives mais peuvent également être pénales :

Les sanctions administratives sont très dissuasives : jusqu’à 20 Millions d’Euros ou dans le cas d’une entreprise : 4% du CA annuel mondial pour manquement au droit d’accès, de rectification, de suppression, droit à l’oubli…
► C’est le montant le plus élevé qui est pris en compte

– Ne pas être en conformité avec le RGPD peut se révéler désastreux :

Atteinte à l’image de marque, perte de confiance de la clientèle

– Une nouvelle gradation des sanctions a été mise en place :

Selon l’article 84-1° du RGPD : Les Etats peuvent déterminer le régime des sanctions appli-cables en cas de violation des obligations, autres que des sanctions administratives. Des sanctions pénales peuvent donc être établies. En droit français, les sanctions pénales en cas de manquement aux règles du RGPD pré-voient jusqu’à 300 000€ d’amendes et jusqu’à 5 ans de prison. La CNIL a le pouvoir de les faire appliquer.

En France, c'est la Commission nationale de l'informatique et des libertés (CNIL), organisme (créé le 06 Janvier 1978) qui garantit le respect du RGPD par les entreprises et les administrations. La CNIL dispose de missions lui permettant d'assurer l'effectivité du RGPD de manière préventive (information des individus sur leurs droits, accompagnement des entreprises pour se mettre en conformité avec les règles) et de manière curative (réception des plaintes émises par les personnes, sanctions des organisations ne respectant pas le RGPD).
Autrement dit, la CNIL veille à la protection des DCP et qui fonctionne les infractions le cas échéant.

La CNIL a vu ses pouvoirs de sanction renforcés :

– Elle sont administratives mais peuvent également être pénales :

Les sanctions administratives sont très dissuasives : jusqu’à 20 Millions d’Euros ou dans le cas d’une entreprise : 4% du CA annuel mondial pour manquement au droit d’accès, de rectification, de suppression, droit à l’oubli…
► C’est le montant le plus élevé qui est pris en compte

– Ne pas être en conformité avec le RGPD peut se révéler désastreux :

Atteinte à l’image de marque, perte de confiance de la clientèle

– Une nouvelle gradation des sanctions a été mise en place :

Selon l’article 84-1° du RGPD : Les Etats peuvent déterminer le régime des sanctions appli-cables en cas de violation des obligations, autres que des sanctions administratives. Des sanctions pénales peuvent donc être établies. En droit français, les sanctions pénales en cas de manquement aux règles du RGPD pré-voient jusqu’à 300 000€ d’amendes et jusqu’à 5 ans de prison. La CNIL a le pouvoir de les faire appliquer.

L'usurpation de l'identité numérique consiste, pour une personne, à collecter toutes les données à caractère personnel d'une autre personne afin de se faire passer pour cette dernière dans un but malveillant (contracter une dette, tenir des propos infamants ou dégradants...).

Elle est sanctionnée pénalement (peine d'emprisonnement et amendes). La victime de l'usurpation peut également obtenir des dommages-intérêts en réparation du préjudice subi.
Article 226-4-1 du code pénal : Le fait d’usurper l’identité d’un tiers, …, est puni de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”