Archives par mot-clé : Vie privée

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

« Pay or Consent » : le chantage publicitaire se le dispute à la marchandisation de la vie privée

Publié le par

Alors que le Conseil européen de la protection des données (CEPD) publiera en 2026 ses lignes directrices sur le modèle du « Pay or Consent » (ou « Pay or Okay »), auxquelles Meta a dit vouloir se conformer, Edition Multimédi@ fait le point sur ce qui pourrait être assimilé à du chantage publicitaire.

Le Conseil européen de la protection des données (CEPD) a finalisé l’analyse de sa consultation publique menée il y a un an (en novembre 2024), à la suite de son avis rendu (en avril 2024) sur le modèle de « Pay or Consent ». Basé à Bruxelles et présidé par Anu Talus (photo), le CEPD s’apprête à publier ses lignes directrices pour contrecarrer cette méthode controversée. Ce « contrôleur » européen des données, créé par le règlement général sur la protection des données (RGPD), va aussi tenir compte des résultats d’une autre consultation publique, terminée celle-là le 4 décembre 2025, sur « les lignes directrices conjointes concernant l’interaction entre la Digital Markets Act (DMA) et le RGPD » (1). Ces lignes directrices seront publiées en 2026.

Payer, consentir ou publicité sans suivi
Ce n’est pas deux options (payer ou consentir) qui doivent être proposées aux utilisateurs par les plateformes numériques, mais trois options (payer, consentir, ou publicité mais sans suivi). Dans son avis du 17 avril 2024, le CEPD – EDPB en anglais (2) – avait estimé que les responsables du traitement ne doivent pas proposer uniquement une option alternative payante au service qui inclut le traitement à des fins de publicité comportementale : « Si les responsables du traitement choisissent de demander une rémunération pour l’accès à l’”option équivalente”, ils devraient également envisager de proposer une troisième option, gratuite et sans publicité comportementale, qui contienne par exemple une forme de publicité impliquant le traitement d’un nombre réduit (ou nul) de données à caractère personnel ».
Autrement dit, cette troisième option ne devrait donc pas comprendre de traitement à des fins de publicité comportementale et peut, par exemple, être une version du service assortie d’une autre forme de publicité impliquant le traitement d’un nombre réduit – voire « nul » – de données à caractère personnel, à savoir (suite) de la publicité contextuelle ou générale ou de la publicité fondée sur des thèmes que la personne concernée a sélectionnés dans une liste de sujets d’intérêt. Cet avis (3) du contrôleur européen des données n’avait pas été du goût du groupe américain Meta Platforms, lequel avait mis en place depuis novembre 2023 sur Facebook et Instagram un modèle publicitaire plutôt binaire appelé « Consent or Pay ». Les utilisateurs européens de ces médias sociaux devaient choisir entre : accepter l’utilisation combinée de leurs données personnelles pour de la publicité personnalisée, ou payer un abonnement mensuel pour ne pas avoir de publicités. La filiale irlandaise – siège européen de la firme de Mark Zuckerberg – n’avait pas tardé à déposer, le 27 juin 2024, un recours en annulation de cet avis du CEPD auprès du Tribunal de l’Union européenne (basé au Luxembourg).
Meta demandait ni plus ni moins que, d’une part, l’annulation de l’avis du CEPD et, d’autre part, la réparation du préjudice qu’elle aurait subi du fait de cet avis. Le 29 avril 2025, le tribunal européen a rendu son verdict : « Le recours est rejeté pour partie comme étant irrecevable et pour partie comme étant manifestement dépourvu de tout fondement en droit » (4). Dans le même temps, le 23 avril 2025, la Commission européenne a mis à l’amende Meta – à hauteur de 500 millions d’euros pour tenir compte de « la gravité et la durée de la non-conformité » – pour avoir maintenu son modèle pourtant jugé non conforme avec le règlement sur les marchés numériques, le Digital Markets Act (DMA), dont les obligations sont devenues juridiquement contraignantes en mars 2024. « Ce modèle n’est pas conforme au DMA, a expliqué la Commission européenne, car il ne donnait pas aux utilisateurs le choix spécifique nécessaire pour opter pour un service utilisant moins de leurs données personnelles mais qui est par ailleurs équivalent au service de “publicités personnalisées”. Le modèle de Meta n’autorisait pas non plus les utilisateurs à exercer leur droit de consentement libre à la combinaison de leurs données personnelles » (5).

Meta abandonne son « Consent or Pay »
Et ce, malgré une nouvelle version de son « Consent or Pay » que le groupe Meta avait introduite en novembre 2024 et que la Commission européenne a examinée et évaluée avec lui tout au long de l’année 2025. Ce « dialogue étroit » entre Bruxelles et Meta a, semble-t-il payé, si l’on en croit le communiqué publié le 8 décembre 2025 par la DG Connect – alias DG Cnect (6) – de la Commission européenne : « Meta s’engage à donner aux utilisateurs de l’UE le choix pour les publicités personnalisées dans le cadre du DMA ». Meta présentera en janvier 2026 ces nouvelles options aux actuels 250 millions d’utilisateurs actifs mensuels de Facebook dans l’UE et aux aussi nombreux d’Instagram : les Européens auront alors le choix effectif entre « accepter de partager toutes leurs données et voir une publicité entièrement personnalisée, et choisir de partager moins de données personnelles pour une expérience avec une publicité personnalisée plus limitée », explique la Commission européenne (7), qui n’évoque pas ici la troisième option, payante celle-là (abonnement payant), pour supprimer la publicité personnalisée – la publicité ne disparaissant cependant jamais complètement…

3e option « pas de suivi » plébiscitée
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») dénonce le chantage publicitaire du « Pay or Okay » car il pousse « 99,9 % des utilisateurs à donner leur consentement même s’ils ne le souhaitent pas ». Ce « centre européen pour les droits numériques », dirigé par Max Schrems (photo ci-contre), a publié le 4 décembre 2025 une étude qu’il a commanditée sur ce que préfèreraient les Européens en cas des trois options suggérées par le CEPD. Il en ressort que « lorsqu’il existe une option “payer”, une option “consentement” et une option “publicité, mais pas de suivi”, la plupart des utilisateurs optent pour cette dernière : 7 personnes sur 10 choisissent alors l’option “publicité, mais pas de suivi” ». Cela démontre que la troisième option est étayée par des preuves objectives : les utilisateurs acceptent le financement des sites web par la publicité, mais pas leur suivi en ligne. L’étude de Noyb, réalisée par Brigitte Naderer (8), montre également que les utilisateurs ne se comportent pas différemment selon qu’ils se trouvent sur de grands réseaux sociaux, des sites de presse en ligne ou d’autres sites web (voir graphique ci-dessous). Si les fournisseurs en ligne peuvent bien sûr demander une rémunération en échange de l’accès à un contenu ou à un service qu’ils proposent, les systèmes de « Pay or Okay » cherchent, eux, à faire payer aux utilisateurs leurs droits à la protection des données sans leur fournir de contrepartie. « Malheureusement, même la Cnil confond cela, en faisant référence à une enquête [Harris, ndlr (9)] dans le but de soutenir “Pay or Okay” », regrette Noyb. @

Charles de Laubier

Pourquoi Google renonce à la fin des cookies tiers

Publié le par

En fait. Le 22 avril, Google a confirmé le maintien des cookies tiers dans son navigateur Chrome, abandonnant ainsi son projet « Privacy Sandbox » annoncé en 2019. La filiale d’Alphabet avait reporté à plusieurs reprises la fin de ces « mouchards » publicitaires, qui sont pourtant intrusifs dans la vie privée.

En clair. Après l’avoir annoncé en juillet 2024, voici que Google passe de la parole aux actes en confirmant en avril 2025 le maintien des cookies tiers qui devaient disparaître cette année après de multiples reports. « Au lieu de déprécier les cookies tiers, nous introduirons une nouvelle expérience dans Chrome qui permet aux utilisateurs de faire un choix éclairé s’appliquant à l’ensemble de leur navigation web, et ils seraient en mesure d’ajuster ce choix à tout moment », avait expliqué l’été dernier la filiale d’Alphabet (1).
Ces cookies dits tiers sont ces traceurs numériques qui sont déposés dans le terminal de l’utilisateur pour suivre les sites web qu’il visite et connaître ses « comportements » (navigation, clics sur les publicités, achats en ligne, géolocalisation, temps passé, etc.). Vice-président chez Google en charge de « Privacy Sandbox », programme alternatif qui devait remplacer les cookies tiers jugés intrusifs (2), Anthony Chavez a (suite)

justifié le 22 avril le maintien de ces derniers : « Beaucoup de choses ont changé depuis que nous avons annoncé l’initiative Privacy Sandbox en 2019 et que nous avons conclu en 2022 un engagement officiel avec le CMA et l’ICO [respectivement l’autorité de la concurrence et la “Cnil” britanniques, ndlr]. Par exemple, l’adoption de mesures d’amélioration de la protection de la vie privée technologies s’est accélérée. De nouvelles opportunités pour protéger et sécuriser les expériences de navigation avec l’IA ont émergé. Et le paysage réglementaire dans le monde a considérablement évolué. Nous avons donc décidé de maintenir notre approche actuelle pour offrir aux utilisateurs un choix de cookies tiers dans Chrome » (3). Dès juillet 2024, Stephen Bonner, membre de l’ICO avait déclaré : « Nous sommes déçus que Google ait changé ses plans ». Le 23 avril dernier, le Movement for an Open Web (Mow), coalition britannique d’acteurs technologiques et publicitaires, a interprété le revirement de Google comme une reconnaissance des obstacles réglementaires insurmontables, estimant le projet Privacy Sandbox comme « une tentative avortée de Google de prendre le contrôle » sur le marché de la publicité numérique (4).
En France, l’association Alliance Digitale a salué cette décision « inéluctable au regard des nombreuses lacunes techniques dont souffrait le projet et des risques toujours importants en matière de concurrence ». @

Transfert des données de l’UE vers les US : illégal ?

Publié le par

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)

chargés de veiller au bon respect des normes de protection des données personnelles venues de l’Union européenne. Or le sujet est hypersensible depuis le scandale « Cambridge Analytica » de Facebook, d’une part, et les annulations des « décision d’adéquation » Safe Harbor (« Schrems I » de 2015) et Privacy Shield (« Schrems II » de 2020), d’autre part.
Après l’accord de Joe Biden le 7 octobre 2022 (4), la Commission européenne avait adopté le 10 juillet 2023 la troisième « décision d’adéquation » (5) permettant le transfert des données personnelles de l’UE vers les Etats-Unis. Ces limogeages au sein des garde-fous (FTC et PCLOB), censés protéger les données personnelles européennes sur le sol américain, remettent en cause cet accord. « Le cloud américain bientôt illégal ? », s’interroge Max Schrems (6), à l’origine des deux premières annulations. Beth A. Williams, membre républicaine du PCLOB est venue le 14 mars à Bruxelles pour tenter de rassurer Michael Mc Grath (7), le commissaire européen chargé notamment de la protection des consommateurs. Et ce, à l’heure où le climat économique s’assombrit à cause de la guerre des droits de douane déclenchée par Donald Trump. @

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Publié le par

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Le directeur expert cybersécurité de Cybermalveillance.gouv.fr, programme gouvernemental en partenariat public-privé piloté par le groupement d’intérêt public GIP Acyma (« action contre la cybermalveillance »), avait néanmoins confirmé auprès de nos confrères de 01net que le formulaire en ligne « n’était plus d’actualité », mais sans donner les raisons de l’abandon de cette « lettre plainte » qui aurait pu faciliter les démarches d’un potentiel de 19,2 millions de clients de Free. L’ampleur des plaintes à traiter, même en ligne, a sans doute fait reculer et la Cnil et l’administration française. Le risque d’un afflux de plaintes et d’usine à gaz ont amené la Cnil, la préfecture de police ou encore le ministère public (magistrat), décisionnaires dans ce type de démarche, à faire volte-face. Pourtant, créé par l’Etat en octobre 2017 dans le cadre de la stratégie nationale pour la sécurité du numérique, Cybermalveillance.gouv.fr – dont la Cnil est membre via le GIP Acyma – a vocation à « porter assistance aux victimes d’actes de cyber malveillance » (4). A défaut de « lettre plainte », les abonnés de Free n’auront-ils que leurs yeux pour pleurer la violation de leurs données personnelles ? Bien sûr que non : qu’il y ait exploitation frauduleuse de leurs coordonnées bancaires, usurpation d’identité (dont la fraude à la carte SIM ou « SIM swapping »), hameçonnage (phishing par SMS, e-mail ou téléphone), les clients de Free peuvent toujours porter plainte. Et il peuvent le faire de deux manières :
Auprès de la Cnil, à partir de son service de plainte en ligne (5) ou par courrier postal (6), si la victime estime que ses données personnelles n’ont pas été suffisamment sécurisées par Free.

Plaintes : Cnil, police et gendarmerie
D’autant que cette violation massive de données personnelles – censées être protégées sans failles – concerne notamment : les noms, prénoms, adresses e-mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants d’abonné et données contractuelles (offres souscrites, dates de souscription, abonnements actifs ou non). Et pour 5,1 millions d’abonnés, sur les 19,2 millions, les références du compte bancaire ou Iban (International Bank Account Number). Les mots de passe ne seraient pas concernés. Mais le gendarme des données personnelles peut « uniquement effectuer des investigations sur des problématiques relevant de la protection des données personnelles ». Et si des manquements sont avérés du côté de Free, il peut alors décider des « mesures correctrices tels que rappels à l’ordre, des mises en demeure ou des sanctions financières ». En revanche, la Cnil ne peut en aucun cas exercer les droits du plaignant à sa place ni être son mandataire et encore moins obtenir des dommages et intérêts et constater les préjudices subis.

Class action à venir contre Free ?
Auprès de la police ou de la gendarmerie si la personne est victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux. Cela suppose donc pour le plaignant de se déplacer physiquement pour se rendre dans le commissariat de police ou la brigade de gendarmerie de proximité. Pour trouver leur adresse, le ministère de l’Intérieur a créé un site web (7) permettant de géolocaliser les établissements les plus proches du domicile de la personne concernée. Le site Cybermalveillance.gouv.fr indique, lui, que déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées peut se faire non seulement dans un commissariat de police ou une gendarmerie, mais aussi par courrier postal à la Brigade de lutte contre la cybercriminalité (BL2C) de la Préfecture de police de Paris (36, rue du Bastion, 75017 Paris). Les infractions relèvent du code pénal, avec des peines d’emprisonnement allant d’un an à sept ans et de 15.000 euros à 750.000 euros d’amende (8).
Mais ce que ne dit pas la Cnil, c’est que les abonnés de Free concernés peuvent se regrouper pour engager une action de groupe (class action) ou un recours collectif, afin de demander la cessation de la violation de données personnelles et la réparation du préjudice. De class action, il en est question du côté de Cybermalveillance.gouv.fr qui, parmi ses conseils prodigués aux personnes concernées, suggère « d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice » (9).
Ces associations de consommateurs agréées en France pour défendre les consommateurs sont : l’UFC-Que Choisir, la CLCV, l’ULCC, l’Unaf, etc. (10). Elles aident à régler les litiges de la vie quotidienne, soit à l’amiable, soit par l’action en justice pour défendre l’intérêt collectif des consommateurs ou pour intenter des actions de groupe, et à demander réparation des préjudices subis par les consommateurs. Free avait par exemple déjà fait l’objet d’une action de groupe engagée en mars 2019 par l’UFC-Que Choisir pour obtenir l’arrêt et le remboursement des facturations injustifiées dont avaient été victimes les consommateurs au moment de la restitution de leur téléphone portable loué auprès de l’opérateur télécoms (11). Le 13 décembre 2022, le tribunal judiciaire de Paris avait déclaré irrecevable cette action de groupe. Mais l’Union fédérale des consommateurs Que Choisir a fait appel du jugement et l’affaire est toujours pendante devant la cour d’appel de Paris (12). « Après avoir plaidé pendant des décennies pour l’instauration d’une action de groupe, seule procédure permettant l’indemnisation, en un seul procès, des victimes de litiges de masse, l’UFC-Que Choisir a obtenu la création de cette procédure en 2014, rappelle l’association. Si certaines ont pu faire l’objet de transactions aboutissant à l’indemnisation des consommateurs, la plupart sont toujours en cours. L’association a engagé une dizaine d’actions depuis l’entrée en vigueur de la réforme ».
En effet, c’est la loi « Hamon » du 17 mars 2014 qui a introduit en France la class action, pratiquée depuis longtemps dans les pays anglo-saxons. L’Union européenne avait préparé le terrain avec la directive « Protection des intérêts des consommateurs » de 2009, laquelle fut abrogée par la directive « Actions représentatives visant à protéger les intérêts collectifs des consommateurs » du 25 novembre 2020 (13). Pour l’heure, une enquête préliminaire suit son cours du côté de la « cyberpolice » : elle a été diligentée sur les instructions de la section J3 du parquet de Paris et est ouverte à la BL2C (Brigade de lutte contre la cybercriminalité) de la direction de la police judiciaire de la Préfecture de police de Paris. Elle porte sur « les infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit », comme l’indique Cybermalveillance.gouv.fr.

RGPD : Free (Iliad) risque une amende salée
De son côté, Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h, pour toute question et demande de renseignement de ses clients : 0 805 921 100. A l’issue de l’enquête de la Cnil, épaulée par la police et la gendarmerie, les abonnés sauront si la responsabilité de la fuite de leurs données personnelles incombe à Free et s’il y a eu manquement au règlement général sur la protection des données (RGPD). L’opérateur télécoms, filiale du groupe Iliad dirigé par Thomas Reynaud (photo ci-dessus), risque une amende pouvant aller jusqu’à 7 % de son chiffre d’affaires, à laquelle pourrait s’ajouter par ailleurs des dommages et intérêts à ses clients en cas de préjudice reconnu par la justice. @

Charles de Laubier