Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. Le directeur Continuer la lecture

Pourquoi le Conseil constitutionnel a censuré le délit d’« outrage en ligne » dans la loi SREN

La loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (SREN) a été publiée le lendemain au Journal Officiel, après avoir été expurgé des articles censurés par le Conseil constitutionnel. Les sages de la République ont jugé le délit d’outrage en ligne d’inconstitutionnel.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

En invalidant cinq articles de la loi, dont le délit d’« outrage en ligne » (1), le Conseil constitutionnel – par décision du 17 mai 2024 (2) – a contraint le législateur à revoir son approche de la régulation de l’espace numérique. La loi visant à sécuriser et à réguler l’espace numérique (SREN) introduisait le délit d’outrage en ligne, qui aurait été puni d’un an d’emprisonnement et de 3.750 euros d’amende forfaitaire en cas de diffusion en ligne de tout contenu portant atteinte à la dignité d’une personne ou présentant un caractère injurieux, dégradant, humiliant, ou créant une situation intimidante, hostile ou offensante.

Un délit qui manquait d’objectivité
Le Conseil constitutionnel, qui avait été saisi par deux groupes de députés différents (respectivement les 17 et 19 avril 2024), a jugé que les faits réprimés par cette nouvelle infraction étaient déjà couverts par des qualifications pénales existantes, y compris lorsque ces abus sont commis en ligne. Ainsi par exemple, les sages de la République ont relevé que la diffamation et l’injure sont réprimées par les articles 32 et 33 de la loi du 29 juillet 1881 sur la liberté de la presse (3), les violences psychologiques par le code pénal (4), et le harcèlement par le code pénal également (5).
Rappelons que la diffamation se définit comme toute allégation ou imputation d’un fait portant atteinte à l’honneur ou à la considération de la personne auquel le fait est imputé, lorsqu’elle est commise publiquement. Tandis que l’injure se définit comme toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait, lorsqu’elle est proférée publiquement. En outre, le Conseil constitutionnel a relevé que cette nouvelle infraction de délit d’« outrage en ligne » manquait d’objectivité et créait un climat d’incertitude attentatoire à la liberté, en nécessitant une appréciation subjective du ressenti de la personne visée (« incertitude sur la licéité des comportements incriminés »). « Les dispositions contestées font dépendre la caractérisation de l’infraction de l’appréciation d’éléments subjectifs tenant à la perception de la victime. Elles font ainsi peser une incertitude sur la licéité des comportements réprimés », estime notamment le Conseil Constitutionnel. Il a donc jugé que cette disposition portait atteinte à la liberté d’expression et de communication de manière non nécessaire, non adaptée et disproportionnée.

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA.

Sept premières fiches pratiques
L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ».

La lourde responsabilité de la « Cnil » irlandaise

En fait. Le 23 avril, la présidente de la Cnil a annoncé sur Franceinfo qu’elle va « saisir de façon officielle la “Cnil” irlandaise [la DPC] sur les conditions de collecte et d’exploitation des données sur cette application TikTok Lite ». Ou comment son homologue de Dublin est devenue centrale en Europe.

En clair. Cela va faire six ans, le 25 mai prochain, que la Data Protection Commission (DPC) – la « Cnil » irlandaise – est devenue la cheffe de file attitrée dans l’Union européenne (UE) pour veiller au respect du règlement général sur la protection des données personnelles (RGPD) par les principaux géants du Net. C’est en effet le 25 mai 2018 que ce dernier est entré en vigueur dans les Vingt-sept (1).
Et pour cause : les Gafam (Google/YouTube, Apple, Meta/Facebook, Amazon et Microsoft/LinkedIn) ainsi que TikTok, Twitter, eBay, Airbnb, PayPal ou encore Netflix ont choisi d’installer leur siège européen en Irlande, la plupart dans la capitale irlandaise Dublin (2). Car ce petit pays membre de l’UE est l’un des mieux disant au monde en matière de fiscalité, tant en termes d’impôt sur les sociétés (12,5 % sur les bénéfices et même seulement 6,25 % sur les revenus des brevets) que de crédit d’impôt recherche et développement (R&D) pouvant aller jusqu’à 37,5 %. Résultat, faute d’harmonisation fiscale en Europe : les Big Tech, notamment américaines, se bousculent au portillon irlandais. En conséquence, depuis l’entrée en vigueur du RGPD, la Data Protection Commission (DPC) est devenue la « Cnil » européenne la plus sollicitée en matière de protection des données personnelles et de la vie privée.

Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ».