Chapitre 3

La protection des personnes

dans l’univers numérique

Réponses aux questions sur les documents

Document d’introduction. Quelles applis partagent le plus les données personnelles
de leurs abonnés ? p. 33

1. Quel est l’intérêt pour les plateformes de collecter des données sur leurs
utilisateurs ?
La collecte des données personnelles permet aux plateformes d’identifier les centres d’intérêt,
les goûts et les préférences de leurs utilisateurs, afin de pouvoir vendre ces données à des tiers
et de faire du ciblage publicitaire.

2. Les utilisateurs d’Internet ont-ils les moyens de contrôler cette collecte de leurs
données ?
Les applications demandent aux utilisateurs l’autorisation de collecter leurs données, mais peu
d’internautes lisent les conditions générales, généralement longues, afin de pouvoir accéder
rapidement au site ou à l’application.

3. Arriveriez-vous à lister les informations personnelles que vous avez révélées sur
un réseau social ou sur un autre site Internet ? Que pouvez-vous en conclure ?
Photos, numéros de téléphone, de carte bleue, date et lieu de naissance, localisation, voyages,
activités personnelles (sportives, par exemple), déplacements… : il est impossible de déterminer
précisément les informations personnelles que nous révélons sur les réseaux sociaux. Nous
dévoilons, de nous-mêmes, un grand nombre d’informations relatives à notre vie privée.
Il est donc nécessaire de protéger ces données, pour protéger sa vie privée : savoir quelles sont
les données collectées et maîtriser leur utilisation.

38
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
1. Repérer les enjeux de la protection des données à caractère
personnel

A. Le besoin de protection des données à caractère personnel

Document 1. Données personnelles : nos combats et conseils pour les protéger, p. 34

Document 2. Objets connectés et algorithmes : suivre au plus près les assurés p. 34

1. Qu’est-ce qu’une donnée à caractère personnel ?

Toute information qui permet, directement ou indirectement, d’identifier une personne est une
donnée à caractère personnel : adresse IP, localisation, nom, numéro de téléphone, âge, sexe,
empreinte digitale, numéro de carte bleue…

2. Donnez des exemples de dérives ou d’abus dans l’usage des données personnelles.
On peut citer les sollicitations répétées par des messages ou des appels téléphoniques au
prétexte de présenter une offre adaptée aux besoins de la personne. On peut même craindre un
fichage à des fins politiques. Dans certains cas, il peut y avoir usurpation de l’identité d’une
personne à des fins malhonnêtes, comme procéder à un achat en son nom, contracter une
dette…

Pour aller plus loin sur l’identité numérique

– [Link]
– [Link]
questions-1322434

APPROFONDISSEMENT

3. Comment la collecte de données personnelles impacte-t-elle le domaine de

l’assurance ?
La logique de l’assurance repose sur la mutualisation du risque : les primes versées par les
assurés constituent un fonds permettant de réparer les conséquences dommageables en cas de
survenance du risque pour l’un d’entre eux. Ainsi, l’assurance complémentaire santé (souvent
appelée « mutuelle ») est un contrat d’assurance dont l’objet est de compléter les prestations
versées par la Sécurité sociale. Ce contrat permet de couvrir tout ou partie du reste à charge de
l’assuré, en mutualisant les risques de frais de santé (consultation de médecins,
hospitalisation…) pour chacun des membres de ce groupement, dans une logique de
solidarité. Il en va de même pour l’assurance automobile : les primes versées par les assurés
financent les coûts subis par certains d’entre eux suite à des accidents de circulation.
La collecte des données à caractère personnel relatives à la santé ou la conduite automobile, à
l’aide d’objets connectés (montres connectées, boîtiers télématiques installés dans les
voitures…), présente un grand intérêt pour les mutuelles et les assurances. En effet, au lieu de
répartir équitablement le risque entre les assurés, il est alors possible d’individualiser le risque
en fonction du comportement de chaque assuré (pratique sportive ou non, habitudes
alimentaires, comportement au volant, respect du Code de la route…) et donc de déterminer
les primes payées par chaque assuré en fonction de son comportement, voire peut-être
accepter ou refuser la prise en charge de l’indemnisation.

39
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
Document 3. Affaire Pegasus : la nouvelle ère de l’espionnage, p. 35

4. Au regard des personnes visées par le logiciel espion, expliquez les risques
économiques et politiques de l’utilisation des données personnelles.
Le logiciel a d’abord permis d’espionner des militants, des journalistes et des opposants
politiques : il existe ainsi le risque qu’un État exploite à des fins politiques les données
personnelles collectées sur ses citoyens (influencer des élections, contrôler des citoyens,
porter atteinte à la diversité d’opinions et à la liberté d’expression…). Ensuite, le logiciel a
ciblé des chefs d’État, ce qui montre qu’un État peut avoir intérêt à espionner des États alliés
ou ennemis, afin de perturber les négociations de traités ou de contrats commerciaux
internationaux, voire d’influencer les élections dans un autre pays.

B. Les règles juridiques protégeant les données à caractère personnel

Document 4. Notion. Le règlement général sur la protection des données, p. 35

Document 5. Ce qu’impose le RGPD pour la protection des données personnelles, p. 35

5. Expliquez pourquoi le RGPD permet d’unifier la protection des données au sein

de l’UE.
Le RGPD est un règlement : il s’agit d’une loi de l’Union européenne directement applicable
dans tous les pays membres de l’UE. Les mêmes règles s’appliquent donc dans tous les États.

Complément
On peut distinguer ici le règlement européen, directement applicable, de la directive
européenne, qui fixe des objectifs communs que chaque État doit transposer, par ses
propres moyens, dans son droit interne.

6. En quoi le champ d’application du RGPD permet-il une protection efficace des

données à caractère personnel ?
Le champ d’application du RGPD est étendu, ce qui permet de protéger efficacement les
données à caractère personnel des citoyens européens :
– toutes les organisations qui utilisent de telles données y sont soumises (entreprises,
associations, administrations publiques) ;
– quel que soit leur lieu d’établissement, au sein ou hors de l’Union européenne.

APPROFONDISSEMENT

7. Comment le RGPD permet-il de mieux maîtriser ses données personnelles ?

Tout d’abord, grâce au RGPD, les personnes disposent d’une meilleure information sur la
collecte et l’utilisation de leurs données à caractère personnel (information sur les données
collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et information
en cas de piratage).
Ensuite, le RGPD renforce les prérogatives des individus sur leurs données à caractère
personnel : ils doivent autoriser les entreprises à les utiliser (ces dernières doivent recueillir
leur consentement), ils peuvent demander une copie des données détenues, leur rectification,
leur suppression, leur transfert vers un autre service (« droit à la portabilité ») et s’opposer à
leur utilisation.

40
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
Pour aller plus loin
– [Link]
– [Link]
pour-les-professionnels
– [Link]

Document 6. Notion. Quelles sont les 3 règles juridiques à retenir sur les cookies ? p. 36

8. Qu’est-ce qu’un cookie ?

Un cookie est un fichier informatique qu’un site Internet dépose sur l’ordinateur, lors de sa
consultation, et qui permet, grâce à la collecte de données sur l’internaute, de faire fonctionner
le site (mémorisation d’un panier d’achat, par exemple) mais aussi d’identifier les préférences
et les goûts de l’internaute pour procéder au ciblage publicitaire.

9. Comment les règles actuelles protègent-elles les internautes face aux cookies ?
Les internautes se voient reconnaître plusieurs prérogatives pour protéger leurs données
personnelles et maîtriser leur collecte par les cookies. D’abord, ils disposent d’un droit
d’information : les sites qui déposent des cookies doivent les informer de l’utilisation qui sera
faite des données collectées. Ensuite, il doit être aussi simple de refuser le dépôt de cookies
que leur acceptation (un parallélisme des modalités d’acceptation et de refus est nécessaire).
Enfin, les internautes peuvent saisir la CNIL en cas de non-respect des règles relatives aux
cookies.

C. L’organe de protection des données à caractère personnel

Document 7. Notion. La CNIL, p. 36

10. Expliquez comment les missions de la CNIL lui permettent de protéger

efficacement les données personnelles.
C’est parce qu’elle intervient en amont et en aval du traitement des données à caractère
personnel que la CNIL protège efficacement ces données et garantit le respect des libertés
individuelles dans l’environnement numérique.
En premier lieu, la CNIL protège, de manière préventive, les données à caractère personnel en
menant des actions d’information sur leur protection à destination des citoyens, des actions
d’accompagnement des organisations utilisant des données personnelles, et en anticipant les
nouveaux risques d’atteinte à la vie privée qui résultent des innovations constantes dans le
secteur du numérique.
En second lieu, la CNIL intervient de manière curative pour protéger les données à caractère
personnel : elle reçoit les plaintes des personnes, peut contrôler les organisations qui
collectent des données personnelles et, si nécessaire, les sanctionner.

Document 8. Notion. Les sanctions de la CNIL, p. 36

Document 9. La CNIL prononce dix nouvelles sanctions dans le cadre de sa procédure
simplifiée, p. 37
Document 10. Des sanctions record prononcées contre Google et Facebook, p. 37

11. Quel est l’intérêt de la procédure de sanction simplifiée de la CNIL ?

Grâce à cette procédure, un plus grand nombre d’infractions, éventuellement peu importantes,
pourront être examinées. De plus, cette procédure est plus rapide que la procédure ordinaire et
les sanctions qu’elle peut entraîner sont adaptées aux situations de violations parfois mineures
des règles du RGPD.

41
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
 12. Dans les différents cas exposés, expliquez pourquoi la CNIL a prononcé une sanction.
Les dix sanctions infligées dans le cadre de la procédure simplifiée sont justifiées par des
manquements divers : refus de répondre aux demandes de la CNIL, non-respect de
l’obligation de minimisation des données (à l’occasion de la mise en œuvre de géolocalisation
et de vidéosurveillance de salariés), manquements à l’information sur le traitement des
données effectué et non-respect des droits des personnes, notamment de l’obligation de
répondre à une demande d’opposition.
Par ailleurs, la CNIL a sanctionné Google et Facebook car ces sociétés ne respectent pas les
règles relatives aux cookies : la procédure pour refuser les cookies est plus complexe que celle
permettant de les accepter. Concernant Facebook, la procédure est en outre ambiguë.

D. La protection contre l’usurpation de l’identité numérique

Document 11. « Ils m’ont dit qu’il y avait une dizaine d’amendes à mon nom », p. 37
Document 12. Notion. Usurpation d’identité, comment s’en protéger ? p. 37

13. Comment, dans la situation du document 11, l’usurpation d’identité numérique

était-elle caractérisée ?
Dans la situation rapportée, il y a eu utilisation des données personnelles d’une étudiante pour
commettre des actes répréhensibles à bord de trains de la SNCF. Il s’agit sans doute de
voyages dont le prix n’a pas été correctement acquitté.

14. Indiquez les sanctions encourues par l’auteur des faits.

Les sanctions prévues par l’article 226-4-1 du Code pénal ont pour but de punir l’auteur de
l’usurpation : toute personne qui a usurpé l’identité d’une autre personne encourt un an
d’emprisonnement et 15 000 € d’amende. L’alinéa 2 de l’article précise que cette infraction
est sanctionnée de la même manière lorsque cette usurpation a été commise sur Internet.

15. À quel problème pratique la répression de ce délit se heurte-t-elle ?

Concrètement, une fois que l’usurpation d’identité a eu lieu, il est très difficile de
« remonter » jusqu’à l’auteur des faits, puisqu’il « disparaît » derrière l’identité volée. La
victime peut avoir du mal à établir qu’elle n’est pas à l’origine des actes opérés en son nom.

2. Caractériser les conséquences juridiques de la protection

des données personnelles pour l’entreprise

A. Les obligations issues du RGPD pour l’entreprise

Document 13. Notion. « Privacy by design » et « Privacy by default » : assurer des

mesures préventives, p. 38

1. Définissez les principes de « Privacy by design » et de « Privacy by default ».

Le principe de « Privacy by design » (respect de la vie privée dès la conception) vise
l’obligation pour l’entreprise de réfléchir aux moyens nécessaires à la protection des données
à caractère personnel dès qu’elle envisage de créer un nouveau produit (qu’il s’agisse d’un
bien ou d’un service) qui nécessitera l’exploitation de données personnelles. L’entreprise doit,
tout au long du processus de production, réfléchir à l’impact de ce processus sur les données à

42
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
caractère personnel qui sont collectées, en vue de mettre en place les moyens de protection
adéquats.
Le principe de « Privacy by default » (protection de la vie privée par défaut) oblige
l’entreprise à définir, par défaut, un haut degré de protection des données à caractère
personnel collectées. L’entreprise doit donc proposer la meilleure protection possible, si bien
que les utilisateurs ne devraient pas avoir besoin de changer les paramètres proposés.

2. En quoi ces principes assurent-ils une protection efficace des données personnelles ?
Ces deux principes obligent les entreprises à anticiper la protection des données à caractère
personnel qu’elles collectent. Le RGPD incite donc les entreprises qui exploitent des données
personnelles à mettre en place des mesures préventives, plutôt que d’attendre la survenance
d’un défaut de sécurité pour corriger et améliorer leur système de protection.

Document 14. Notion. Le principe d’accountability, p. 38

3. Listez les moyens par lesquels les entreprises peuvent assurer leur conformité aux
règles de protection des données personnelles.
Pour assurer leur conformité aux règles de protection des données personnelles, les entreprises
disposent des moyens suivants :
– désignation d’un délégué à la protection des données (DPO, Data Protection Officer) ;
– respect des différentes obligations du RGPD (usage des données, transparence sur leur
traitement, respect des droits des utilisateurs, délai de conservation) ;
– actions de sensibilisation des collaborateurs sur le respect et les enjeux de la protection des
données à caractère personnel.

APPROFONDISSEMENT

4. À partir des documents 13 et 14, expliquez comment le RGPD institue une logique
de responsabilisation (« accountability ») des entreprises en la matière.
C’est à l’entreprise qui collecte et traite des données à caractère personnel de prouver qu’elle
respecte les obligations issues du RGPD.
Avant le RGPD, l’entreprise devait déclarer à la CNIL qu’elle collectait des données à
caractère personnel puis obtenir son autorisation. Désormais, elle doit pouvoir démontrer, à
tout moment, qu’elle est en conformité avec le RGPD et qu’elle a pris toutes les mesures
nécessaires pour protéger les données à caractère personnel collectées et analysées.

Document 15. 5 ans après l’entrée en vigueur du RGPD, où en sommes-nous ? p. 39

5. Indiquez quelle est la mission principale d’un délégué à la protection des données
(DPO).
Un DPO garantit le respect du RGPD par l’organisme ou l’entreprise qui l’a désigné. Il
informe et conseille : il est l’interlocuteur référent pour les questions qui se rattachent à la
protection des données personnelles ; éventuellement, il collabore avec la CNIL.

APPROFONDISSEMENT

6. Quel bilan critique peut-on faire de 5 ans d’application du RGPD dans les
entreprises ?
Le point nettement positif est la désignation quasi générale d’un DPO dans les organisations et
entreprises concernées qui ont toutes un budget dédié à la conformité RGPD.

43
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
La gestion du registre des traitements de données ainsi que l’information et la formation des
personnes concernées dans l’entreprise sont aussi des éléments favorables.
En revanche, le point de vue peut être plus nuancé sur l’impact du RGPD dans certains
domaines : un faible nombre de DPO disent avoir constaté une amélioration de la sécurité de
données personnelles ou disposé d’une meilleure vision des données collectées et traitées. De
même, la gestion et la mise en place des durées de conservation, le Privacy by design et le
Privacy by default, comme la réalisation d’analyses d’impacts sur la protection des données
(AIPD) ne semblent pas donner tout à fait satisfaction.
Enfin, les risques RGPD recensés sont multiples et affectent de nombreuses fonctions de
l’entreprise : la gestion des ressources humaines en premier lieu, puis la production, le
marketing et les systèmes d’information.
Pour finir, l’existence de la répression possible en cas de manquement au RGPD fait craindre
autant des atteintes à l’image et à la réputation que les amendes de la CNIL.

B. La protection des données personnelles des salariés

Document 16. La gestion de vos collaborateurs, p. 39

7. Quelles données personnelles un employeur peut-il détenir sur ses salariés ?

Un employeur ne peut détenir que les données à caractère personnel de ses salariés qui sont
nécessaires pour la gestion des ressources humaines (gestion de la paie, des carrières…) et
l’accomplissement de leurs missions dans l’entreprise.
Il lui est déconseillé de demander des informations qui ne sont pas en lien avec leur carrière
ou leur mission, notamment les informations sensibles (activité syndicale, opinions politiques,
religion, orientation sexuelle…).

8. Quelles sont les obligations des employeurs concernant les données personnelles
détenues sur les salariés ?
Les employeurs doivent protéger les données à caractère personnel détenues sur les salariés
(notamment, limiter les personnes pouvant y accéder et prévoir toutes les mesures de sécurité
nécessaires). Ils doivent informer les salariés des informations personnelles détenues afin que
ces derniers puissent exercer les droits que le RGPD leur reconnaît (droit d’accès, droit
d’obtenir une copie, droit de rectification…).

Document 17. Contrôler l’utilisation des outils informatiques par le salarié, p. 40

9. Pour quelles raisons, selon vous, l’employeur peut-il contrôler l’utilisation d’Internet
par ses salariés ?
L’employeur a le droit de contrôler l’utilisation d’Internet par ses salariés afin de sécuriser le
réseau de l’entreprise et d’éviter que les connexions à but personnel ne portent atteinte à la
mission des salariés (les abus sont sanctionnés) ou, pis encore, ne soient à l’origine de fuites
d’informations sensibles.

10. L’employeur peut-il librement consulter les mails de ses employés ?

En principe, l’employeur peut, avec ou sans la présence de ses salariés, prendre connaissance
de tous les mails envoyés par ceux-ci, sauf s’ils ont été explicitement déclarés comme
« personnels » ou « privés ». En effet, les salariés ont le droit au respect de leur vie privée et
au secret de leurs correspondances privées sur leur lieu de travail, même si leur employeur a
interdit l’utilisation d’Internet à des fins personnelles.

44
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
Document 18. Salariés : surfer sur Internet, oui, mais avec modération ! p. 40

11. Pourquoi la salariée a-t-elle été licenciée par son employeur ?

La salariée a utilisé Internet de manière abusive et excessive dans un but purement personnel
pendant son temps de travail.

12. Pourquoi la Cour de cassation a-t-elle confirmé la décision de la cour d’appel ?

La Cour de cassation a vérifié que l’utilisation abusive d’Internet à des fins personnelles
pendant le temps de travail avait bien été caractérisée par la cour d’appel : elle a relevé que
celle-ci s’était appuyée sur le nombre important de connexions et la nature
extraprofessionnelle des sites consultés.
La cour d’appel a donc pu caractériser une faute grave justifiant le licenciement de la salariée.

45
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
CAS Airbnb, p. 41
Document. Airbnb a trouvé la recette pour repérer et refuser les fêtards dès
la réservation, p. 41

1. Rappelez les règles générales du RGPD appliquées à Airbnb.

Le RGPD impose à Airbnb l’application des règles de protection des données personnelles
des personnes avec lesquelles elle traite.
La plateforme de réservation doit prévoir les mesures de sécurisation des données qui seront
collectées (Privacy by design), mettre à jour son registre des activités de traitement et prévoir,
par défaut, un haut degré de protection (Privacy by default).
Concrètement, il faut aussi qu’elle respecte les droits de ses clients (accès aux données
collectées, droit à l’information, droits de modification et de suppression des données…).
Airbnb doit respecter le principe d’accountability, c’est-à-dire qu’elle doit nommer un
référent protection des données ou un délégué à la protection des données (DPO), sensibiliser
ses salariés sur le respect et l’enjeu de la protection des données personnelles, récolter les
données personnelles en respectant les règles du RGPD, collecter les données uniquement
nécessaires aux finalités de l’entreprise, respecter la transparence sur le traitement des
données en respectant les droits des utilisateurs, conserver les données de manière sécurisée et
tenir un registre des traitements des données personnelles.

2. Exposez, par un raisonnement juridique, les raisons qui sembleraient a priori

s’opposer à l’exploitation automatisée des données personnelles des locataires
potentiels pour les écarter d’un contrat avec Airbnb.
En principe, une décision juridique, comme le choix d’un cocontractant – ici, un locataire
pour un logement géré par Airbnb –, ne doit pas se prendre exclusivement à partir d’un
traitement automatisé des données personnelles. C’est une règle édictée par le RGPD.
Au nom du refus d’accueillir des fêtards bruyants et dérangeants, ce traitement permettrait
d’écarter certaines demandes de location en exploitant et en traitant des critères aussi divers
que la durée envisagée du séjour, la distance entre le domicile et le bien loué, la date de
réservation. Il semble difficile d’imaginer que les personnes soient informées, comme le
RGPD le prévoit, de la finalité des données exigées d’elles.

3. Présentez les modalités qui permettent juridiquement à Airbnb de procéder au tri

des clients potentiels à partir d’un algorithme exploitant leurs données personnelles.
En droit, le contrat se conclut selon le principe de la liberté contractuelle, qui comprend la
liberté dans le choix de son cocontractant. Le RGPD semble bien prendre en compte ce
principe essentiel, puisqu’il énonce que, malgré la règle générale de l’interdiction de fonder
une décision juridique exclusivement sur un traitement automatisé de données personnelles, le
cas particulier de la passation d’un contrat peut parfaitement se fonder sur ce traitement.
Plusieurs conditions sont toutefois prévues :
– il faut d’abord que ces données soient nécessaires pour la conclusion de ce contrat ;
– une seconde condition est posée par le RGPD : la personne écartée du contrat doit être
informée des raisons qui l’ont exclue de l’accord et doit pouvoir contester le bien-fondé de
cette décision.

46
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
Dès lors que le client potentiel est écarté avec un avertissement du type « risque de fêtes » et
qu’il peut échanger avec Airbnb pour, éventuellement, apporter la preuve du contraire, il
semble bien que l’exploitation des données personnelles par l’algorithme de tri soit licite.

47
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
Activités

Testez vos connaissances

1. Quiz, p. 42
1. Seules les données qui permettent d’identifier directement une personne sont des données à
caractère personnel.
£ Vrai
R Faux
2. Les citoyens de l’Union européenne sont tous protégés par les mêmes règles relatives aux
données personnelles.
R Vrai
£ Faux
3. Le droit à la portabilité des données permet à toute personne de pouvoir obtenir une copie
des données personnelles que détient une organisation.
R Vrai
£ Faux
4. La CNIL a le pouvoir de :
R mettre en demeure les organisations qui ne respectent pas le RGPD.
R prononcer des sanctions financières contre une organisation qui ne respecte pas
le RGPD.
£ exiger la fermeture d’une organisation qui ne respecte pas le RGPD.
R faire des contrôles sur place.
5. L’usurpation de l’identité numérique est sanctionnée pénalement.
R Vrai
£ Faux
6. En vertu du principe du Privacy by design, les entreprises doivent garantir, dès le départ, le
plus haut degré de protection des données.
R Vrai
£ Faux
7. C’est toujours le chef d’entreprise qui gère la protection des données et la mise en
conformité au RGPD.
£ Vrai
R Faux
8. Le salarié bénéficie des droits reconnus par le RGPD à l’égard des données personnelles
détenues par son employeur.
R Vrai
£ Faux

48
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
2. Maîtrise des notions juridiques concernant l’univers numérique, p. 42

• Indiquez si les affirmations suivantes sont vraies ou fausses.

1. Les données personnelles sont constituées par le nom et le prénom
d’une personne. £ Vrai R Faux
2. Le RGPD a été établi par un règlement de l’Union européenne
du 25 mai 2018. R Vrai £ Faux
3. La CNIL est une juridiction spécialisée rattachée au tribunal judiciaire. £ Vrai R Faux
4. Un DPO est la personne qui garantit le respect du RGPD
dans une entreprise. R Vrai £ Faux
5. L’employeur peut contrôler le contenu des fichiers informatiques
et les courriels de ses salariés dans tous les cas où il le juge utile. £ Vrai R Faux

Travaillez la méthodologie (QR Code), p. 42

Analyser les motivations d’une sanction

• Justifier la décision de la CNIL au regard du RGPD.

2. Examen de la situation juridique : parties concernées, faits, reproche formulé par
la CNIL
Parties concernées et faits :
La CNIL a examiné les dispositifs utilisés par la société CITYSCOOT, spécialisée dans la
location de scooters électriques. Les clients sont concernés par trois bases de données
exploitées par l’entreprise :
– une « base de données scooter », qui contient les données remontées par les capteurs fixés
sur le scooter ;
– une « base de données réservation », qui contient les dates et heures de début et de fin de
chaque location ainsi que l’état du scooter au début et à la fin de sa location ;
– une « base de données client », qui comprend les données permettant de gérer la facturation.
Reproche formulé par la CNIL : la CNIL relève que le système de géolocalisation mis en
œuvre par la société draine des données personnelles durant l’utilisation des véhicules par les
clients.
3. Analyse des griefs au regard des connaissances du contenu du RGPD
Pour l’autorité administrative, cette pratique constitue un manquement à la règle de
minimisation des données à caractère personnel prévue par le RGPD.
4. Relevé des éléments de la décision de la CNIL et explication au regard de sa mission
L’intervention de la CNIL ne peut plus être préventive puisque la société CITYSCOOT a
adopté une pratique illégale depuis quelque temps déjà. Il faut donc la sanctionner, ce qui se
traduit ici par une amende et par une publicité de la condamnation sur le site de Légifrance.
Cette seconde sanction peut avoir des vertus préventives pour d’autres entreprises qui seraient
tentées d’agir comme la société poursuivie ici.

49
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
Vers l’examen, p. 43

Respecter le RGPD… ou subir les conséquences des violations de la loi !

Document 1. Données personnelles – TikTok rappelé à l’ordre, p. 43

Document 2. Cookies : la CNIL sanctionne TikTok à hauteur de 5 millions d’euros, p. 43

1. Analysez la situation qui a amené l’UFC-Que Choisir à menacer TikTok.

L’UFC-Que Choisir a relevé que, sur la page de son application de Google Play Store,
TikTok prétendait ne partager aucune information avec des tiers. Pourtant, les informations
fournies par le réseau social dans sa politique de confidentialité sont en contradiction avec
cette assertion. En effet, TikTok avoue partager avec ses prestataires les informations relatives
au profil des utilisateurs, le contenu publié et même les messages échangés avec d’autres
utilisateurs. De plus, il partage aussi les informations automatiquement recueillies, comme le
type d’appareil qui se connecte, sa localisation, la durée et la fréquence d’utilisation de
l’application.
Cacher les transferts de données constitue une infraction au RGPD et, selon l’UFC-Que
Choisir, cacher ces transferts et mentir relèvent d’une pratique commerciale trompeuse.

2. Indiquez, par un raisonnement juridique, en quoi le point de vue de l’UFC-Que

Choisir était pertinent.
L’UFC-Que Choisir a obtenu, par ses menaces à l’encontre de TikTok, que le réseau social
modifie sa communication et les informations données sur le partage des données à caractère
personnel des utilisateurs.
L’argument juridique qui a fait triompher le point de vue de l’association de défense des
consommateurs n’est pas l’utilisation faite des données, mais le mensonge sur l’absence
d’exploitation de ces données. Le RGPD prévoit en effet que l’utilisateur doit savoir et
décider en connaissance de cause s’il accepte d’utiliser les services de l’application ou non.
Ne pas lui donner ces éléments d’information est en soi une infraction aux règles de
protection des données personnelles.

3. Précisez les raisons qui pouvaient laisser craindre à TikTok de lourdes sanctions
de la part de la CNIL.
Outre la maladresse concernant l’absence d’information sur le transfert des données
personnelles, TikTok a commis de graves infractions aux règles du RGPD, précisément à
celles qui s’appliquent aux cookies.
D’une part, le RGPD impose aux entreprises et organisations qui se servent de cookies de
permettre aux utilisateurs de les refuser aussi simplement qu’ils peuvent les accepter. Or,
TikTok n’avait pas mis en place de solution équivalente (bouton ou autre) pour permettre à
l’internaute de refuser aussi facilement leur dépôt. Plusieurs clics étaient nécessaires pour
refuser tous les cookies, alors qu’un seul permettait de les accepter.
D’autre part, le RGPD indique que les utilisateurs doivent être informés de façon précise des
objectifs des différents cookies, et ce n’était pas le cas ici.

50
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
Synthèse guidée
I. Repérer les enjeux de la protection des données à caractère personnel
A. Le besoin de protection des données à caractère personnel
..................................................................................................................................................................................................................................
Mots-clés
Données à caractère personnel, vie privée
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

B. Les règles juridiques protégeant les données à caractère personnel

..................................................................................................................................................................................................................................
Mot-clé
Règlement général sur la protection
..................................................................................................................................................................................................................................
des données (RGPD)
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

C. L’organe de protection des données à caractère personnel

..................................................................................................................................................................................................................................
Mot-clé
Commission nationale de l’informatique
..................................................................................................................................................................................................................................
et des libertés (CNIL)
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

D. La protection contre l’usurpation de l’identité numérique

51
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
..................................................................................................................................................................................................................................
Mot-clé
..................................................................................................................................................................................................................................
Usurpation d’identité
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

52
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
II. Caractériser les conséquences juridiques de la protection des données
personnelles pour l’entreprise
A. Les obligations issues du RGPD pour l’entreprise
..................................................................................................................................................................................................................................
Mots-clés
Privacy by design, Privacy by default,
..................................................................................................................................................................................................................................

responsabilisation (accountability),
..................................................................................................................................................................................................................................
délégué à la protection des données (DPO)
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

B. La protection des données personnelles des salariés

Mot-clé
..................................................................................................................................................................................................................................
Vie privée
..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

..................................................................................................................................................................................................................................

53
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
Corrigé de la synthèse
I. Repérer les enjeux de la protection des données à caractère personnel

A. Le besoin de protection des données à caractère personnel

L’utilisation d’Internet, des smartphones et, d’une manière générale, de tous les outils
digitaux utilisés par les entreprises nous amènent à fournir nombre d’informations sur nous-
mêmes. Ces données à caractère personnel (adresse IP, prénom, nom, coordonnées,
localisation, habitudes…) révèlent une part importante de notre vie privée et doivent, à ce titre,
être protégées, car leur traitement peut comporter des risques divers : de nature commerciale,
voire de nature politique ; on peut aussi redouter leur exploitation frauduleuse par des pirates,
capables d’usurper l’identité numérique de leurs victimes.
Le droit est là pour protéger ces données à caractère personnel.
B. Les règles juridiques protégeant les données à caractère personnel
La protection des données à caractère personnel est assurée par le règlement général sur la
protection des données (RGPD), texte adopté par l’Union européenne le 25 mai 2018, qui
s’impose à toute organisation exploitant des données personnelles de résidents européens.
Le RGPD améliore les moyens d’information sur la collecte et l’utilisation des données, et
permet une meilleure maîtrise des données personnelles, puisque chacun doit autoriser leur
utilisation, peut demander une copie des données, s’opposer à leur utilisation…
C. L’organe de protection des données à caractère personnel
En France, la Commission nationale de l’informatique et des libertés (CNIL) garantit le
respect du RGPD par les entreprises et les administrations. Elle dispose de moyens préventifs
(information des individus, accompagnement des entreprises pour se mettre en conformité
avec les règles) et de moyens curatifs (réception des plaintes émises par les personnes,
sanctions contre les organisations violant le RGPD : amende pécuniaire).
D. La protection contre l’usurpation de l’identité numérique
L’usurpation d’identité numérique consiste à collecter les données à caractère personnel
d’un tiers afin de se faire passer pour lui dans un but malveillant (contracter une dette, tenir des
propos infamants ou dégradants…). C’est un délit sanctionné pénalement (peine
d’emprisonnement et amende) et la victime de l’usurpation peut obtenir des dommages-
intérêts en réparation du préjudice subi.

II. Caractériser les conséquences juridiques de la protection des données

personnelles pour l’entreprise

A. Les obligations issues du RGPD pour l’entreprise

Le RGPD impose aux entreprises une logique de responsabilisation (« accountability »), qui
les oblige à anticiper les risques d’exploitation malveillante des données personnelles qu’elles
collectent et analysent.
Dans cette optique, les entreprises sont gouvernées par deux principes :
– le « Privacy by default », qui les enjoint d’assurer, dès le départ, le plus haut degré de
protection des données ;
– le « Privacy by design », qui leur impose de prévoir des mesures préventives de sécurisation
des données dont l’exploitation accompagne un nouveau produit ou une nouvelle procédure.
La désignation d’un délégué à la protection des données (DPO) est recommandée.

54
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
B. La protection des données personnelles des salariés
Tout employeur est tenu de respecter les règles du RGPD dès lors qu’il traite des données à
caractère personnel de ses salariés : collecte des seules données personnelles nécessaires,
sécurisation de ces données, exercice par les salariés de leurs droits reconnus par le RGPD
(information, droit d’obtenir une copie, droit de rectification, droit de suppression…).
Par ailleurs, l’employeur peut limiter et contrôler l’utilisation des outils numériques par les
salariés dans le seul cadre de leur activité professionnelle. Par exemple, il peut en principe lire
tous les mails envoyés et sanctionner les connexions abusives à Internet. Cependant, il doit
respecter la vie privée de ses salariés et le secret de leurs correspondances (interdiction de lire
un mail explicitement déclaré comme personnel).

55
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
 L’essentiel du cours
Dans un environnement de plus en plus numérique, les individus laissent des traces en
utilisant les nouvelles technologies de l’information et de la communication : ils livrent ainsi
des données à caractère personnel, c’est-à-dire des informations relatives à leur vie
personnelle, professionnelle, amicale, sentimentale, qui nécessitent d’être protégées par des
règles juridiques. La protection mise en place par le droit doit être prise en compte et
respectée par toutes les entreprises qui exploitent ce type de données.

1. Repérer les enjeux de la protection des données à caractère

personnel

A. Le besoin de protection des données à caractère personnel

La navigation sur Internet, les applications pour smartphone et les outils digitaux utilisés par
les entreprises conduisent les personnes à livrer de plus en plus d’informations qui permettent,
directement ou indirectement, de les identifier. Ces données, dites « à caractère personnel »
(adresse IP, prénom, nom, coordonnées, localisation, goûts, habitudes…), révèlent une part
importante de la vie privée des individus et doivent, à ce titre, être protégées. En effet, leur
traitement par d’autres personnes comporte plusieurs risques :
– le risque d’une exploitation commerciale par des entreprises, en vue de procéder à un
profilage publicitaire ;
– le risque d’une exploitation politique par des États, afin de surveiller leurs citoyens ou
d’espionner d’autres États ou de grandes entreprises ;
– le risque d’une exploitation frauduleuse par des pirates, qui pourraient, grâce aux
données collectées, reconstituer l’identité numérique d’une personne afin de l’usurper dans un
but malveillant.
Le droit a donc dû intervenir pour protéger ces données à caractère personnel, et ainsi la vie
privée des individus.

B. Les règles juridiques protégeant les données à caractère personnel

Actuellement, la protection des données à caractère personnel est assurée par le règlement
général sur la protection des données (RGPD). Ce texte, pris dans le cadre de l’Union
européenne et applicable depuis le 25 mai 2018, s’impose à toute organisation, établie dans ou
hors de l’UE, qui exploite des données personnelles de résidents européens.
Le RGPD a renforcé les droits des personnes sur leurs données à caractère personnel.
En premier lieu, il a amélioré les moyens d’information des personnes sur la collecte et
l’utilisation de leurs données personnelles (information sur les données collectées, sur la durée
de leur conservation, sur l’utilisation qui en sera faite, et information en cas de piratage).
En second lieu, il permet aux individus de maîtriser davantage leurs données à caractère
personnel : ils doivent autoriser les entreprises à les utiliser (ces dernières doivent recueillir
leur consentement), ils peuvent demander une copie des données détenues, leur rectification,
leur suppression, leur transfert vers un autre service (« droit à la portabilité ») et s’opposer à
leur utilisation.

56
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique
C. L’organe de protection des données à caractère personnel
En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui garantit
le respect du RGPD par les entreprises et les administrations. Elle dispose de missions lui
permettant d’assurer l’effectivité du RGPD de manière préventive (information des individus
sur leurs droits, accompagnement des entreprises pour se mettre en conformité avec les
règles) et de manière curative (réception des plaintes émises par les personnes, sanctions des
organisations ne respectant pas le RGPD).
La CNIL a vu ses pouvoirs de sanction renforcés. Ainsi, elle peut prononcer :
– une mise en demeure, visant à inciter une entreprise à adopter les mesures correctives
nécessaires pour se mettre en conformité avec le RGPD ;
– une amende pécuniaire d’un montant dissuasif (de 10 à 20 millions d’euros ou de 2 à 4 %
du chiffre d’affaires annuel mondial).
Depuis 2022, la CNIL peut user d’une procédure simplifiée pour les dossiers les plus simples
ou d’une gravité limitée : dans ce cadre, le président de la formation restreinte, ou un membre
désigné, statue seul sur les manquements de l’organisation. Les sanctions possibles vont du
rappel à l’ordre à une injonction avec astreinte journalière, voire à une amende d’un montant
maximum de 20 000 €.

D. La protection contre l’usurpation de l’identité numérique

L’usurpation de l’identité numérique consiste, pour une personne, à collecter toutes les
données à caractère personnel d’une autre personne afin de se faire passer pour cette dernière
dans un but malveillant (contracter une dette, tenir des propos infamants ou dégradants…).
Elle est sanctionnée pénalement (peine d’emprisonnement et amende). La victime de
l’usurpation peut également obtenir des dommages-intérêts en réparation du préjudice subi.

2. Caractériser les conséquences juridiques de la protection

des données personnelles pour l’entreprise

A. Les obligations issues du RGPD pour l’entreprise

Toute entreprise qui exploite des données à caractère personnel pour son activité de
production de biens ou de services doit respecter les règles européennes de protection de ces
données.
Le RGPD a introduit une logique de responsabilisation (« accountability ») : les entreprises
doivent anticiper, par des outils adéquats, les risques d’exploitation malveillante des données
à caractère personnel qu’elles collectent et analysent. Elles doivent pouvoir prouver, à tout
moment, qu’elles respectent la réglementation en la matière.
Pour assurer leur mise en conformité avec le RGPD, les entreprises sont guidées par deux
principes :
– le « Privacy by default », qui les enjoint d’assurer, dès le départ, le plus haut degré de
protection des données ;
– le « Privacy by design », qui impose aux entreprises de prévoir, dès la conception d’un
nouveau produit ou d’une nouvelle procédure qui nécessitera l’exploitation de données
personnelles, des mesures préventives de sécurisation de ces données (mise en place d’un
registre de traitement des données pour récapituler les données collectées et les mesures mises
en place, réalisation d’analyses d’impacts permettant de prévenir les risques d’atteinte à la vie
privée, rédaction d’une charte de protection des données personnelles…).

57
Chapitre 3 – La protection des personnes dans l’univers numérique © Nathan
Les entreprises sont incitées à désigner un délégué à la protection des données (DPO, Data
Protection Officer), chargé de veiller à la fois au respect du RGPD dans l’entreprise et à
l’adaptation permanente des processus mis en place avec l’évolution technologique (démarche
d’amélioration continue).

B. La protection des données personnelles des salariés

Traitant des données à caractère personnel de ses salariés dans le cadre de leur activité
professionnelle pour gérer leurs carrières et leurs missions, l’employeur est tenu de respecter
les règles du RGPD :
– il ne peut collecter que les données personnelles nécessaires à la gestion de ses salariés ;
– il doit sécuriser les données personnelles collectées ;
– il doit permettre aux salariés de pouvoir exercer les droits que leur reconnaît le RGPD
(information, droit d’obtenir une copie, droit de rectification, droit de suppression…).
L’employeur peut encadrer l’utilisation des outils numériques par les salariés dans le cadre de
leur activité professionnelle, afin de garantir la sécurité du réseau et de s’assurer que les
salariés remplissent la mission pour laquelle ils ont été employés (par exemple, il peut en
principe lire tous les mails envoyés et sanctionner les connexions abusives à Internet pour des
usages strictement personnels). Cependant, ses prérogatives sont limitées par l’obligation qui
lui incombe de respecter la vie privée de ses salariés et le secret de leurs correspondances
(interdiction de lire un mail explicitement déclaré comme privé, de collecter des informations
issues d’un compte bloqué sur un réseau social).

Ressources numériques complémentaires

– Le RGPD expliqué en émojis (vidéo) : [Link]
– Comprendre le RGPD en 5 questions (vidéo) :
[Link]
rgpd-change-pour-les-entreprises_5303939_3234.html
– Un voyant qui se sert de Facebook (vidéo) : [Link]
– Les étapes de la procédure de sanction par la CNIL :
[Link]
– Bilan du RGPD 5 ans après :
• [Link]/en-bref/293289-protection-des-donnees-quel-bilan-economique-du-
rgpd-5-ans-apres
• [Link]/fr/limpact-economique-du-rgpd-5-ans-apres
– Comment s’assurer de la conformité d’une entreprise au RGPD :
[Link]
rgpd-31994/

58
© Nathan Chapitre 3 – La protection des personnes dans l’univers numérique