• Français -fr 

Droit pénal

‘French parents ‘could be jailed’ for posting children’s photos online’

Lisez l’article du Telegraph pour lequel Maître Viviane Gelles a été interrogée en suivant ce lien.

Médecins : comment préserver votre e-réputation

Il n’est jamais agréable de découvrir, sur Internet, des propos désagréables postés par un patient mécontent. Ca l’est encore moins lorsque rien ne justifie, au vu des actes effectués par le praticien, une telle attitude ou, même parfois, lorsque les commentaires sont le fait de médecins concurrents.

Face à ce risque, comment s’organiser pour préserver sa réputation en ligne? Vous trouverez ci-dessous quelques conseils, non exhaustifs, et qui devront être adaptés à chaque cas.

Premier conseil : faire de la veille (sur les principaux moteurs de recherche, en tapant ses nom et prénom, sur les réseaux sociaux, en créant un compte permettant, le cas échéant, de répondre directement aux propos gênants). Cette vigilance régulière permet également de s’assurer qu’il n’a pas été créé, sans votre accord, de fiche vous concernant sur des outils tels que « Google my Business ».

Deuxième conseil : conserver la trace des messages, commentaires ou propos litigieux en les faisant, le cas échéant, constater par un huissier de justice. Ca pourra servir en cas de contentieux judiciaire.

Troisième conseil : réagir vite. En effet, le délai de prescription en matière d’infractions relevant du droit de la presse (injures, diffamation…) est de 3 mois à compter de la publication! Néanmoins, il faut conserver à l’esprit que, parfois, la meilleure défense peut être le silence, afin de laisser « le soufflet » retomber.

Retrouvez plus de détails dans le guide pratique publié par l’Ordre national des Médecins pour « préserver sa e-réputation ».

Le « upskirting » dans Libération

Retrouvez mon interview dans le quotidien Libération, au sujet de la loi contre les violences sexuelles et sexistes adoptée le 31 juillet dernier par le Parlement.

M6 : « Les auteurs d’upskirting bientôt punis par la loi. »

Maître Viviane GELLES a été interrogée ce 23 juillet 2018 par M6 pour le journal d’informations 1945, sur leur sujet « Les auteurs d’upskirting bientôt punis par la loi. »

Regarder le reportage à 10’04 via le lien.

L’encadrement juridique des failles de sécurité.

Une faille de sécurité est une vulnérabilité au sein d’un système informatique pouvant être exploitée afin de porter atteinte à l’intégrité de ce système. L’atteinte en question peut constituer une altération du fonctionnement du système, mais elle peut également concerner les données contenues dans ce système. Dans le cas des données personnelles, on parle de violation des données personnelles, à savoir la perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, de manière accidentelle ou illicite.

1- La problématique des données personnelles : les obligations légales.

Parallèlement à l’importance croissante des données personnelles, nous subissons tous de plus en plus de pratiques illégales voire criminelles telles que le ransomware visant à chiffrer les données d’un utilisateur et à exiger une rançon auprès de lui pour obtenir le déchiffrement de celles-ci.

Avec l’entrée en application du Règlement Général à la Protection des Données (RGPD), les mesures relatives à la sécurité des traitements de données personnelles s’accentuent en Europe.

a- L’obligation d’assurer la sécurité du traitement

L’article 32 prévoit désormais une obligation pour le responsable du traitement ou le sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de divers facteurs tels que la nature et les finalités du traitement, les risques et les coûts de mise en œuvre de ces mesures. Ce texte évoque notamment la pseudonymisation et le chiffrement comme pouvant représenter des mesures techniques et organisationnelles appropriées.

Pour autant, des failles de sécurité peuvent également être détectées dans les protocoles de chiffrement, comme le montre l’exemple récent des protocoles PGP et S/MIME, utilisés dans le chiffrement des mails.

Il conviendra donc pour les responsables de traitement de se montrer particulièrement vigilant quant à la sécurité effective de leurs traitements et aux démarches entreprises afin de s’assurer de l’adéquation entre les données détenues, les opérations qui en sont faites et le niveau de sécurité mis en place. Une démarche réfléchie, concertée, testée et documentée devra être partagée dans l’entreprise.

b- Les obligations de notification et de communication

Le RGPD (articles 33 et 34) a instauré une obligation de notification, obligeant les responsables de traitement à notifier toute violation de données personnelles à l’autorité de contrôle compétente, et ce dans un délai de 72 heures à compter de sa découverte.

Cette obligation est doublée d’une obligation de communiquer dans les meilleurs délais cette violation auprès de la personne concernée en cas de risque élevé pour les droits et libertés d’une personne physique. En cas de doute, il est conseillé de notifier à l’autorité de contrôle, qui appréciera alors la nécessité d’informer les personnes concernées.

Le responsable de traitement doit donc être en mesure d’identifier rapidement une faille de sécurité et les risques qu’elle représente, grâce à des outils techniques appropriés. Il doit ensuite procéder à la notification selon la procédure déterminée par l’autorité de contrôle compétente, et devra impérativement justifier tout retard éventuel dans cette notification.

Plusieurs autorités de contrôle (CNIL, ICO1 ,…) ont établi des formulaires-types de violation de données. La CNIL a également mis en place un télé-service de notification de violations, et a d’ores et déjà indiqué que le document récapitulatif de la notification à la CNIL permettait de répondre à l’obligation de documentation interne.

2- La mise en place d’une politique interne face aux failles de sécurité

Au vu des obligations qui leur incombent, les responsables de traitement devront être en mesure de justifier leur politique en matière de sécurité, qui devra prévoir l’organisation interne de l’entreprise (mise en place de process en cas de découverte d’une faille de sécurité, la gestion des habilitations, le niveau de sécurité selon le type de données ou l’opération concernée, la sécurité physique, matériel, les politiques de suppression des données, etc.), les modalités de communication vis-à-vis des utilisateurs, mais aussi les relations contractuelles conclues avec des acteurs extérieurs.

Rappelons que tous les contrats conclus avec les sous-traitants doivent comporter certaines mentions obligatoires, détaillées à l’article 28 du RGPD.

Enfin, la preuve du respect des obligations liées à la sécurité des traitements impliquera notamment la mise en place d’un cahier des incidents (distinct du registre des traitements) comprenant l’ensemble de la documentation relative à ces incidents. Cette documentation doit comprendre la nature de la violation, les catégories et le nombre approximatif des personnes concernées par la violation et des enregistrements de données personnes concernés, les conséquences probables de la violation de données, et les mesures prises ou envisagées pour atténuer les éventuelles conséquences négatives ou pour éviter que l’incident se reproduise.

3- Sanctions légales

En cas de non-respect des obligations précitées, les autorités de contrôle (CNIL2 en France) ont la possibilité de sanctionner tout responsable de traitement par le biais d’amendes administratives, pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaire annuel mondial (Article 83-4 a) du RGPD).

Par ailleurs, en droit français, le législateur a sanctionné pénalement tout accès ou maintien frauduleux dans un « système automatisé de traitement de données » (STAD), dont la définition est interprétée largement, de deux ans d’emprisonnement et 60 000 € d’amende (Article 323-1 du Code Pénal).

Cette peine est portée à 3 ans d’emprisonnement et 100 000 euros d’amende lorsqu’il s’ensuit une modification ou suppression de données, ou une altération du fonctionnement de ce système.

Blandine Poidevin
Avocat associé
Cabinet Jurisexpert
www.jurisexpert.net

1.Information Commissioner’s Office
2.Commission Nationale de l’Informatique et des Libertés

Avertisseurs de radars : le chat et la souris

 

Le temps des appels de phares semble bien loin et désormais, ce sont les Coyotes et autres groupes Facebook qui sont privilégiés par les automobilistes pour avertir leur pairs des emplacements des radars routiers positionnés par les forces de l’Ordre.

 

L’article R413-15 du Code de la route interdit « le fait de détenir ou de transporter un appareil, dispositif ou produit de nature ou présenté comme étant de nature à déceler la présence ou perturber le fonctionnement d’appareils, instruments ou systèmes servant à la constatation des infractions à la législation ou à la réglementation de la circulation routière ou de permettre de se soustraire à la constatation desdites infractions ».

 

Le non-respect de cette interdiction est passible d’une contravention de 5ème classe (jusqu’à 3.000€ en cas de récidive).

 

Le législateur avait tenté, en 2012[1], d’ajouter dans le champ de l’interdiction les dispositifs et produits visant à avertir ou informer de la localisation des radars (GPS avec liste de radars et autres avertisseurs de radars).

 

Le Conseil d’Etat, saisi d’une demande d’annulation de ce texte, avait rendu une décision privilégiant la liberté en rappelant que seuls la détention, le transport et l’usage de dispositifs et produits ayant spécifiquement cette fonction, devaient être concernés[2].

 

Depuis quelques temps, ce sont moins les avertisseurs de radars type Coyote qui font l’objet de débats juridiques que les groupes créés sur les réseaux sociaux afin d’informer, en temps réel, les automobilistes sur la présence de tels dispositifs. La Cour de cassation vient de rejoindre l’analyse précédemment faite par le Conseil d’Etat.

 

Par un arrêt du 6 septembre 2016, elle a, en effet, confirmé la relaxe des utilisateurs d’un tel groupe Facebook en retenant que le réseau social en cause n’avait ni pour fonction unique de regrouper les informations relatives à l’existence de contrôles routiers en France, ni pour seul but de permettre d’éviter ces contrôles. Dans ces conditions, il ne pouvait constituer le dispositif réprimé par l’article R413-15 précité du Code de la route.

 

Force est, en effet, de constater à l’instar de la Cour d’appel de Montpellier[3] dont l’arrêt était contesté, qu’il existe de multiples exemples d’utilisation par les autorités publiques des réseaux sociaux pour informer les automobilistes de la localisation de contrôles de vitesse et d’alcoolémie. Les juges du fond avaient en effet retenu que « le réseau social Facebook, qui n’a ni pour fonction unique de regrouper les informations relatives à l’existence de contrôles routiers en France, ni pour seul but de permettre d’éviter ces contrôles, ne peut se voir qualifier de dispositif incriminé par le texte précité ».

 

En d’autres termes, si le groupe Facebook servait de facto à transmettre des informations permettant d’anticiper la présence de radars, il ne pouvait, pour autant, être réduite à cette seule fonction spécifique et devait, ce faisant, bénéficier de l’interprétation restrictive du Code de la route.

 

Cette victoire judiciaire ne doit néanmoins pas faire oublier que les avertisseurs de radars restent dans le collimateur du législateur. En témoigne la question écrite[4] posée par un sénateur en 2015 qui relevait, avec ironie que « l’avertisseur de radars devenait une aide à la conduite et un radar fixe une zone de danger. Le déploiement des voitures banalisées, mobiles, contrôlant les vitesses dans le flux de circulation a entraîné la création d’une zone à risque mobile, laissant penser que la zone de danger se déplace. Ces nouveaux messages confirment la perversité de ce système qui incite à rouler plus vite, affaiblit les comportements de prudence et permet des stratégies d’évitement sans craindre de sanction », avant de demander au Ministre de l’Intérieur s’il entendait « interdire ce genre de système ».

 

En attendant une interdiction pure et simple, comme en Allemagne ou en Suisse, des systèmes permettant d’indiquer la localisation des radars fixes et mobiles, les communautés d’automobilistes peuvent continuer à bénéficier de ces « aides à la conduite » en toute légalité…

[1] Décret n°2012-3 du 3 janvier 2012

[2] CE. 06/03/2013. N°355815

[3] CA Montpellier. Ch.Corr. n°3. 21/09/2015

[4] Question écrite n° 17557 de M. Jean-Pierre Grand, Sénateur – Publication au JO du 30 juillet 2015

Un journaliste fait face à des poursuites pénales pour les photos prises d’une victime des attentats à Paris

Interview de Blandine Poidevin par Amar TOOR du magazine « The Verge »

Lire l’article