Droit Info

Droit de l’informatique et de l’internet
Introduction au cours
L’évaluation consiste en un examen écrit et un billet d’actualité.
Billet d’actualité : Il faudra choisir un sujet du cours qui est en lien avec un fait d’actualité. Le billet
d’actualité devra faire deux pages et devra contenir une analyse juridique du fait d’actualité ainsi
qu’une appréciation personnelle (vrai enjeu de société ? légal ? illégal ?). Il faut présenter le fait
d’actualité en accrochant le lecteur (les bons billets seront sur le site de la faculté). Le sujet doit être
original et d’actualité. Il faudra faire des liens avec le cours (apporter des éléments de droit). Il faut
aussi se référer à de la législation, de la jurisprudence et de la doctrine. Ce texte doit être envoyé pour,
au plus tard, le jour de l’examen écrit. Il faut l’envoyer par mail (bien indiquer qu’il s’agit du billet
d’actualité ainsi que le titre pour éviter que cela se retrouve dans les spams).
Quel est le plan du cours ?
1. La protection de la vie privée et des données à caractère personnel ; le flux transfrontières de

données.
2. Le droit à l’oubli
3. La gestion des emails (confidentialité, spamming, droit de la preuve).
4. Une société de surveillance (lutte contre la cybercriminalité, traque sur internet,
géolocalisation, objets connectés, puces RFID, drones, biométrie, data, protection by design).
5. Sécurité des données ; cybercriminalité.
6. La liberté d’expression sur internet : limites (diffamation, hate speech, droit à l’image,
pédopornographie, sécurité nationale – Wikileaks-…), responsabilité des intermédiaires.
7. Publicité, big data
8. Commerce électronique.
9. Propriété intellectuelle.
1. Remise en cause de la liberté d’information et de communication
Il y a des états qui voient se développer internet et c’est une perte de contrôle de la population car la
population peut publier toute une série de choses. Par exemple, la Corée du Nord et la Chine ont
constaté une perte de contrôle de la population à cause d’internet. Donc ces états ont pris le contrôle
d’internet et donc on a une liberté d’information et de communication minée par les pratiques de ces
états. Ex : contrôle d’internet.
A l’inverse, on peut avoir une liberté d’expression et d’information exacerbée par les pratiques de
certains acteurs. Par exemple, Youtube permet à des inconnus de faire passer des messages ou de faire
le buzz. Ex : Wikileaks.
2. Remise en cause du secret de la correspondance et des communications.
Le droit de la liberté d’expression entre en jeu quand l’utilisation de ce droit est dérangeante. Si on dit
qu’on aime tout le monde, personne ne viendra contester la liberté d’expression.
Ex : PRISM et les révélations d’E. Snowden.
Snowden était un informaticien et il a révélé au monde (en s’adressant à des journaux) que les USA
repassaient en vue tout ce qui passait sur internet (y compris les communications). La NSA gardait des
traces de tout ! La NSA faisait aussi de la surveillance électronique donc elle avait des informations sur
1
la concurrence entre Airbus et Boeing et de ce fait, Airbus a pu agir en cause pour rafler la concurrence.
Obama est passé par là pour que la NSA ne puisse plus connaitre autant qu’elle ne le faisait.
3. Remise en cause de la liberté de mouvement
Récolte des traces de mouvement. Ex : vidéo-surveillance, carte MOBIB.
Il s’agit du suivi des traces de nos mouvements (ex : gsm qui nous géocalisent continuellement). Cela
peut être sécurisant (ex : caméras dans les métros à 22h30) mais dans certains cas, cela peut être
inquiétant (qui récolte ces informations ?). La carte MOBIB permet de prendre les transports en
commun à Bruxelles (et dans toutes les grandes villes). On a changé les tickets de métro par une carte
avec une puce. La première version de MOBIB contenait les prénoms, noms, etc. C’est intéressant
d’avoir une carte avec puce pour connaitre le nombre de personnes exactes dans le métro dans
certaines tranches horaires mais ce n’est pas intéressant d’avoir les noms. Donc, maintenant, on a un
abonnement avec son nom (comme tout abonnement) mais on peut prendre des tickets anonymes
sur cet abonnement.
4. Remise en cause des droits politiques
Elections-Droit de vote.
Respect de la démocratie :
- Vote électronique
- Vote via internet.
Par exemple, si à cause d’une recherche, un américain est considéré comme étant pro-Trump ou pro-
Hilarie alors on utilise cette donnée. Et de ce fait, Facebook, entre autres, utilisait cette donnée et
fournissait sur le fil d’actualité des américains des discours, publicités, etc., qui n’étaient que pro-
Trump ou pro-Hilarie. Et finalement, les américains sont mis dans une catégorie à partie d’un élément.
Ils sont après formatés.
La modernité a permis le vote électronique. Une série de pays font marche arrière maintenant. Le vote
électronique permet d’aller vote et ensuite le vote part dans les circuits et cela va dans un camp ou
d’un autre. Il faut faire confiance aux informaticiens qui ont configuré les systèmes. On a interpellé le
conseil d’état car on peut acheter les informaticiens. Le conseil d’état a répondu que les informaticiens
prêtent serment. Mais on voit que le système est fragile. On pouvait permettre d’avoir un accusé de
réception afin de prouver dans quel sens on avait voté mais c’était une très mauvaise idée ! Si on peut
prouver qu’on a bien voter pour tel parti, alors avant les élections, des personnes pourraient payer
d’autres personnes pour voter dans un sens bien déterminé (car après ils peuvent vérifier par l’accusé
de réception si les personnes en question ont bien voté dans le sens pour lequel on les avait payé). Il
ne faut surtout pas avoir une trace, une preuve du vote. On n’a pas ce problème avec le vote papier.
Le vote via internet voulait lutter contre l’abstention. Si on peut voter par internet, les personnes ne
seraient pas découragées à voter car elles ne devraient pas se déplacer. Le problème c’est qu’il n’y a
pas d’isoloir. Le père peut donc voir pour qui vote son fils, etc. Il faut bannir ce genre de vote car il ne
respecte pas la démocratie.
2
14 février
Chapitre 1 : La protection de la vie privée et des données personnelles

Une série de comportements et d’interconnexions avec les gens dans la vie réelle suivent des
règles de prudence. Sur internet, on balance des messages et ils sont partagés avec
énormément de monde qui est hétéroclite. On déverse son quotidien, sa vie (facebook) alors
qu’on ne le fait pas dans la vie réelle (je n’interpelle personne dans le bus pour dire comment
je me sens). Mettre des « like » sur facebook n’est pas sans conséquence. Cela élabore notre
image virtuelle de manière définitive car les traces resteront là. Cela va être mouvant car cela
va s’ajouter à d’autres traces plus tard.
Section 1. Droit au respect de la vie privée
<vidéo : routines matinales (Arte).
On essaie de capter l’intention pendant une certaine durée (ex : publicités sur youtube). Les
minutes d’intention comptent et permettent de faire de l’argent. Le système est gratuit
(facebook est gratuit) et pourtant ces sites font énormément de bénéfice. Comment ? Par la
diffusion de publicités, l’utilisation de nos données, les jeux, etc.
1) Législation
Les géants de l’internet ont déjà décidé que la vie privée était morte (leur business tournant
autour des données, ils doivent adopter cette position). Ils ont intérêt à ce que tout le monde
pensent comme eux et Facebook le prouve (on partage tout ce qu’on fait, etc.). Par Facebook,
on voit que les gens se fichent de la vie privée. La vie privée est juste un élément du marché.
Les européens, avec le droit fondamental, ont un clash avec d’autres blocs de législation sur
le thème mondial de l’internet.
La valeur en cause, la vie privée, doit être mise en balance avec d’autres valeurs. Il s’agit de
trouver un équilibre et non pas d’affirmer une prédominance d’une valeur sur une autre.
Le droit au respect de la vie privée se situe à l’article 8 de la convention européenne des
droits de l’homme. Cette convention peut être invoquée devant les tribunaux belges. En 1950,
la convention est entrée en vigueur.
Le §1 de l’article 8 développe brièvement le droit en question. Le §2 de l’article 8 pose les
limites à ce droit. On ne peut pas porter atteinte à un autre droit. La notion de proportionnalité
est pensée ici car on se demande quelle ingérence prévue par la loi est nécessaire dans une
société démocratique. Donc on met en balance les différents droits.
En outre, on retrouve l’article 22 de la Constitution qui développe le respect à la vie privée.
Cet article a été inséré en 1993. On proclame le droit et on ouvre une possibilité d’exceptions
(« sauf dans les cas et conditions fixés par la loi »). Seul le législateur peut donc poser des
limites.
3
2) La notion de vie privée
Qu’entend-on par vie privée ?
La vie privée n’est pas exhaustive : elle inclut ce qui relève de l’intime, de la personnalité, de
la vie familiale, de la santé. La vie privée est évolutive. La vie privée est plus large que celle
« d’intimité » : elle existe également dans le milieu professionnel.
➔Cette notion est difficile à définir du fait qu’elle ne cesse d’évoluer. On parle de zone intime
car c’est tout ce qui est privé et secret. Ensuite, on a élargi à la personnalité (droit au nom,
droit à la réputation, droit à l’honneur, etc.). On a étendu aussi à la vie familiale (cercles de
gens élus : le cercle familial mais aussi les amis) et à la santé (vie sexuelle, etc.). Les choix de
vie font partie de la vie privée. C’est évolutif mais aussi plus large que la vie privée car la vie
privée inclut aussi la vie professionnelle. La cour européenne des droits de l’homme a étendu
la vie privée à toutes les relations et liens sociaux et la plupart de ces liens se font sur le lieu
de travail. Cependant, ceci n’est pas absolu (on ne peut pas dire à son patron « cela ne vous
regarde pas » à tout moment) mais cela impose l’interdiction de mettre sur écoute ses
employés.
La vie privée englobe le droit à l’autonomie/autodétermination. C’est le droit de faire des
choix existentiels (choix relatifs à l’existence et à notre vie). Cela va être important pour la
protection des données et l’utilisation d’internet. Cette vision est contraire à celle des USA qui
entend par vie privée, ce qui est secret et rien que cela.
La vie privée englobe le droit pour l’individu de nouer et développer des relations avec
semblables. On choisit nos relations et cela rentre dans la notion de vie privée.
La vie privée englobe la maîtrise des informations qui se rapportent à soi. L’autonomie vis-à-
vis des informations ne signifie pas qu’on a le choix sur ce qu’on dévoile ou pas car la vie privée
n’est pas absolue (la loi nous impose de divulguer certaines informations) mais cela signifie
qu’on a le droit de connaitre le sort réservé à nos données.
Section 2. Droit à la protection des données à caractère personnel
1) Législation
La loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements
de données à caractère personnel est une loi de protection de données à caractère personnel.
Très vite, une directive européenne a été adoptée (mesure diplomatique = chaque état doit
la transposer dans son droit national). Seulement, cette directive permet des divergences
entre les états car ces états la transposent à leur façon. Donc on a adopté un nouveau texte :
Le Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à
l’égard du traitement des données à caractère personnel et à la libre circulation de ces
données, et abrogeant la directive 95/46/CE (règlement général sur la protection des
données). Le règlement est obligatoire et doit être transposé tel quel.
Aujourd’hui, il faut garder en temps de RGPD (règlement général de la protection des
données). Ce règlement sera applicable à partir du 25 mai 2018. A partir de cette date, c’est
4
le RGPD qui s’appliquera et non plus notre loi. Le RGPD permet d’avoir le même traitement
dans tous les états membres.
2) But de la législation de protection des données (RGPD)
Une nouvelle profession va entrer sur le marché. On parle du délégué à la protection des
données (data protection officer –DPO-).
Le but n’est pas de recréer de l’intimité et du secret ! Le but est de garantir l’auto-
détermination informationnelle donc de rendre le contrôle par chacun de ses informations à
caractère personnel.
3) Notion de données à caractère personnel
Données à caractère personnel = toute information se rapportant à une personne physique
identifiée ou identifiable (art 4 §1 du RGPD).
Il entend donc :
- Toute information (adresse, diplôme, etc.)
- Cette information doit être relative à une personne physique (il faut un individu).
- La personne physique doit être identifiée (nom de la personne, photo, adresse) ou
identifiable (on reviendra sur cette notion plus tard).
Cela comprend toutes les formes : texte, photo, son, géolocalisation, données de
comportement en ligne, enregistrement sonore, etc.
Récapitulons les différentes facettes des données à caractère personnel :
- Données confidentielles
- Données professionnelles (titre de fonction, pour quelle entreprise on travaille, etc.)
- Données objectives et subjectives (un avis/commentaire sur un examen, etc.)
- Données codées (si une personne détient la clef du code et qu’il est possible de
remonter alors même si c’est protégé par le codage, ces données sont aussi protégées
par le RGPD, etc.). Ex : un médecin envoie des dossiers médicaux à des chercheurs pour
avoir plus d’informations. Puisqu’il y a secret médical, le médecin doit coder les noms
des patients. Le médecin a la clef du code et s’il viole le secret médical, alors il sera
puni par le code pénal (barrière juridique). Pour les chercheurs, les données sont
anonymes. Tout repose sur la personne qui détient la clef du code et son droit ou non
à délivrer ces codes.
- Identifiants uniques (numéro de registre national, etc.).
- Données rendues publiques
Il ne s’agit pas seulement d’une donnée qui permet d’identifier quelqu’un. Données à
caractère personnel ≠ données identifiantes. Les données à caractère personnel sont
beaucoup plus larges.
5
4) Champ d’application matériel
4.1 Notion de personne physique identifiable
On revient sur la notion de « personne physique identifiable ».
Art 4 §1 RGPD « est réputée être une personne physique identifiable une personne physique
qui peut être identifiée directement ou indirectement notamment par référence à un
identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un
identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique,
physiologique, génétique, psychique, économique, culturelle ou social. ».
La notion « identifiable » est très ouverte. Il s’agit d’ingrédients qui permettent de remonter
à l’individu.
4.2 Déterminer si une personne physique est identifiable :
Considérant 26 RGPD : « prendre en considération l’ensemble des moyens raisonnablement
susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour
identifier la personne physique directement ou indirectement, tels que le ciblage ».
Ciblage = individualisable. Donc, si avec les données, on sait individualiser une personne dans
la masse et la traiter différemment des autres (ex : des publicités différentes s’affichent sur
mon facebook par rapport aux facebook des autres).
 Glissement de notion d’identification vers individualisation.
Pour établir si des moyens sont raisonnablement susceptibles d’être utilisés pour identifier
une personne physique, il convient de prendre en considération l’ensemble des facteurs
objectifs, tels que le cout de l’identification et le temps nécessaire à celle-ci en tenant compte
des technologies disponibles au moment du traitement et de l’évolution de celles-ci.
Considérant 30 RGPD : Les personnes physiques peuvent se voir associer, par les appareils,
applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des
adresses IP et des témoins de connexion ("cookies") ou d'autres identifiants, par exemple des
étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui,
notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations
reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à
identifier ces personnes.
Considérant 27 RGPD : Le présent règlement ne s’applique pas aux données à caractère
personnel des personnes décédées. Les états membres peuvent prévoir des règles relatives
au traitement des données à caractère personnel des personnes décédées.
 Le RGPD ne s’applique pas aux personnes décédées. Les pays peuvent développer des
lois quant au traitement de données à caractère personnel des personnes décédées.
La Belgique ne l’a pas fait.
Considérant 14 RGPD : La protection conférée par le présent règlement devrait s’appliquer
aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence,
en ce qui concerne le traitement de leurs données à caractère personnel. Le présent
6
règlement ne couvre pas le traitement des données à caractère personnel qui concernent les
personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y
compris le nom, la forme juridique et les coordonnées de la personne morale
4.3 Le traitement des données
En ce qui concerne le traitement de données : « toute opération ou tout ensemble
d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données
ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement,
l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation/le
verrouillage, l'effacement ou la destruction » - Art. 4, §2 RGPD
Limitation du traitement : « Le marquage de données à caractère personnel conservées, en
vue de limiter leur traitement futur » - Art. 4, §3, RGPD
21 février
En résumé : quand la protection des données s’applique-t-elle ?

En présence de données à caractère personnel, par rapport à des personnes physiques
vivantes, quelle que soit leur nationalité ou domicile, qui font l’objet d’un traitement
automatisé, la législation s’applique. Quand rien n’est automatisé, mais qu’on est face à des
reprises dans un fichier (fichier = il y a des critères d’organisation des données –ex : par ordre
alphabétique-), la loi s’applique aussi. En conclusion, la législation s’appliquera très souvent.
Cela concerne l’ensemble des données, les données isolées, les registres, les bases de
données, etc. Dès qu’il y a une intervention électronique, il y a une protection.
7
4.4. Exclusions au champ d’application matériel
Les exclusions sont reprises à l’article 2 §2 du RGPD. Pour les traitements des données à
caractère personnel effectués par une personne physique dans le cadre d’une activité
strictement personnelle ou domestique, la législation ne s’applique pas.
Par exemple, on adore faire de la généalogie le dimanche après-midi, personne ne le saura.
Par exemple, si on tient un agenda papier, carnet d’adresse papier, etc., la loi ne s’applique
pas. Cependant, aujourd’hui, internet offre la possibilité d’un agenda et des carnets d’adresse
(ce sont des fichiers car il existe des critères d’organisation : l’ordre chronologique d’une part,
l’ordre alphabétique d’autre part). Dans ce cas, il faut se demander si la législation s’applique
ou non… Le considérant 18 du RGPD y répond (il explique mieux les exclusions).
Considérant 18 RGPD :
- « Le présent règlement ne s'applique pas aux traitements de données à caractère personnel
effectués par une personne physique au cours d'activités strictement personnelles ou
domestiques, et donc sans lien avec une activité professionnelle ou commerciale. » Si on fait
une activité professionnelle ou commerciale (ex : le dimanche, on vend des
cuberdons), on ne peut pas bénéficier de l’exclusion.
- « Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance
et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne
qui ont lieu dans le cadre de ces activités. » On peut avoir une sphère de vie personnelle
en ligne, mais à partir de quand ne sommes-nous plus dans la sphère personnelle ?
- Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-
traitants qui fournissent les moyens de traiter des données à caractère personnel pour de
telles activités personnelles ou domestiques.
CJCE (devenue aujourd’hui CJUE), 6 novembre 2003 : La diffusion de données à caractère

personnel sur internet sort de la sphère personnelle ou domestique par le fait que les données
sont rendues accessibles à un nombre indéterminé et illimité de personnes. Dans ce cas, un
nombre indéterminé de personnes a accès aux données donc on ne bénéficie plus de
l’exclusion car on n’agit plus dans le cadre d’une sphère personnelle.
CJUE, 11 décembre 2014 : Il y a une une interprétation stricte de l’exclusion à des fins
personnelles ou domestiques. Si l’activité (in casu, l’utilisation de caméra de vidéosurveillance
pour protéger un domicile privé) « s’étend, même partiellement à l’espace public et, de ce
fait, est dirigée vers l’extérieur de la sphère privée de celui qui procède au traitement des
données par ce moyen, elle ne saurait être considérée comme une activité exclusivement
« personnelle ou domestique » ». Une caméra était mise sur une maison pour surveiller
l’entrée et la caméra filme aussi le trottoir (voie publique) et donc la caméra ne bénéficie plus
de l’exclusion et la législation s’applique. On nous permet d’avoir une bulle et de faire ce qu’on
veut, mais cette bulle est limitée (si on utilise des sites ouverts infiniment, par exemple). Qu’en
est-il de « Facebook » ? On a un nombre limité d’amis ? On va regarder le nombre d’amis mais
aussi la qualité des liens (amis, employeur, collègues, inconnus ?) avec les amis sur facebook
afin d’estimer si on est sorti de notre bulle ou pas
8
 Ce n’est pas parce qu’une activité n’est ni professionnelle ni commerciale qu’elle
rentre d’office dans l’exception !
En outre, à côté de cela, on a d’autres droits et libertés (ex : la liberté d’expression). Donc on
connait une autre exclusion. Par exemple, c’est le cas d’un journaliste qui mène une enquête
et qui fait des recherches sur quelqu’un, collecte des données et les enregistre afin de prévenir
le public. Donc cette dernière exclusion va inviter les états à faire des équilibres. Cet équilibre
est développé à l’article 85 du RGPD.
Art 85 : « 1. Les Etats membres concilient par la loi le droit à la protection des données à
caractère personnel au titre du présent règlement et le droit à la liberté d’expression et
d’information, y compris le traitement à des fins journalistiques et à des fins d’expression
universitaire, artistique, ou littéraire. 2. Dans le cadre du traitement réalisé à des fins
journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les états
membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III
(droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au
chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations
internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et
cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour
concilier le droit à la protection des données à caractère personnel et la liberté d'expression et
d'information. »
5) Champ d’application territorial

Internet n’a pas de frontières. Un Etat a des frontières et sa loi agit entre ses frontières, mais
qu’en est-il d’internet ?
On se centre sur le responsable (pas sur les données) et on regarde où est son lieu
d’établissement (=exercice effectif et réel d’une activité au moyen d’une installation stable).
On regarde le lieu où une activité est déployée, où une installation stable est établie, et c’est
en fonction de ce lieu qu’on sait quelle législation appliquer.
On avait un autre critère, développé avant un internet : le recours à des moyens situés sur le
territoire belge, dans le but de traiter des données personnel. Finalement, on a abandonné ce
critère. En effet, l’article 3 §2 du RGPD dispose que :
« Le présent règlement s’applique au traitement des données à caractère personnel relatives
à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du
traitement ou un sous-traitant qui n’est pas établi dans l’Union lorsque les activités de
traitement sont liées :
- à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit
exigé ou non desdites personnes; ou
- au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement
qui a lieu au sein de l'Union. »
➔N’importe quelle personne qui passe sur le territoire européen sera protégé. Par exemple,
facebook, offre une plateforme pour faire des échanges. On cible des personnes qui sont
établies en Europe, alors il faut respecter la législation Européenne. Une autre hypothèse ne
9
concerne pas des biens et services mais le suivi du comportement de ces personnes. Dès qu’on
surveille le comportement des gens, on doit suivre la législation à laquelle ils appartiennent.
Donc on pense aux gens établis en Europe en matière de biens et de service ainsi que de suivi
de comportement.
6) Les acteurs principaux
Qui est le responsable du traitement ? Un critère permet de l’identifier. Ce critère est celui qui
détermine les finalités et les moyens. Cela peut être une personne physique ou une personne
morale (ex : Université) ou une association de fait (des gens qui se mettent ensemble sans que
le groupe soit reconnu par le droit –par exemple : des amis qui décident de former un groupe-
) ou une administration. C’est à lui qu’il faut s’adresser et souvent il a besoin d’un sous-
traitant.
Qui est le sous-traitant ? Par exemple, en externe, l’université demande un secrétariat médical
(sous-traitant) pour s’occuper des données médicales du personnel. Donc le sous-traitant
traite des données à caractère personnel pour le compte du responsable du traitement et est
autre que la personne qui est placée sous l’autorité directe du responsable du traitement, est
habilitée à traiter les données. On a cette idée de personne « externe ».
Section 3. Licéité du traitement des données
1) A quelles conditions peut-on traiter des données ?
✓ Traitement loyal et licite
✓ Principe de finalité
✓ Fondement légitime
1.1 Traitement loyal et licite
Loyal = ne pas faire les choses dans le dos des gens. Si on annonce qu’on va faire une chose,
on la fait.
La question de la transparence est au cœur de l’utilisation des « cookies ». Avant, les cookies
se faisaient dans la plus grande opacité. Les cookies sont des fichiers déposés dans l’ordinateur
quand on navigue sur internet (le site ne sait pas nous reconnaitre à chaque fois donc pour
nous reconnaitre –savoir si on a déjà consulté le site ou pas-, un cookie est mis dans notre
disque dur). Les cookies peuvent être riches en informations (qu’avons-nous consulté ?
Quand ? Etc.). Aujourd’hui, on nous annonce que le site utilise des cookies donc il y a une
transparence.
1.2 Le principe de finalité
L’article 4 §1 2° du RGPD développe ce principe.
Il faut avoir un but, une finalité et ce but sera le fil rouge pour savoir ce qu’on peut faire. Tant
qu’on suit la finalité, il n’y a pas de problème. Par exemple, lorsqu’on établit un formulaire à
remplir, toutes les questions posées doivent être en lien avec la finalité présente. Quelles sont
les critères auxquels doivent répondre les finalités de la collecte ?
10
- Déterminées (précises) et explicites (pas secrètes)
- Légitimes
- Utilisations compatibles (prévisions raisonnables des intéressés + dispositions légales)
Il faut être précis et explicite. On parle de finalités déterminées (précises) et explicites (pas
secrètes donc on ne peut pas faire les choses dans le dos des gens→lien avec le principe de
loyauté).
La finalité doit aussi être légitime. Le but ne peut pas porter une atteinte disproportionnée
aux intérêts des individus.
On peut faire toutes les utilisations compatibles avec cette finalité (puis-je manipuler ces
donnes ? Les conserver ? Les enregistrer ? Oui si cela est compatible avec la finalité de la
collecte). Qu’entend-on par compatible ? Il faut des prévisions raisonnables des intéressés. Il
faut aussi que des dispositions légales le prévoient. Ex : Un club de sport vend la liste de ses
inscrits à une firme de régimes amincissants. Ce club ne pouvait pas le faire, si on s’inscrit à
un club de sport, c’est pour faire du sport à ce club et non pas pour suivre le régime d’une
firme. C’était contraire aux utilisations compatibles avec la finalité.
Le principe de finalité est une obligation de poursuivre des finalités précises, explicites et
légitimes. Il faut s’en tenir aux finalités pour lesquelles les données ont été collectées et ne
pas utiliser les données de manière incompatible par rapport à ces finalités. Il est interdit de
conserver les données plus longtemps que nécessaire pour atteindre ces finalités. On ne peut
prendre que les données pertinentes et nécessaire par rapport à ces finalités (donc lorsqu’on
remplit des formulaires, il faut analyser si certaines questions du formulaire sont vraiment
logiques avec la finalité –ex : On remplit le formulaire d’Amazon, il est normal qu’Amazon
demande notre adresse car ils doivent livrer la chose achetée mais il ne serait pas normal
qu’Amazon demande notre date de naissance-).
Du principe de finalité découle :
✓ Ce que l’on peut faire : ce qui est compatible avec la finalité annoncée.
✓ A qui on peut communiquer les données.
✓ Les données que l’on peut traiter : seulement les données pertinentes au vu de la
finalité poursuivie.
11
✓ La durée de conservation des données : tant que c’est nécessaire pour réaliser
l’objectif.
Il faut savoir que les utilisations incompatibles avec la finalité sont interdites. Cependant, il
existe des exceptions :
- Le traitement ultérieur pour finalités historiques, statistiques ou scientifiques est
admis si les garanties sont appropriées (régime de l’AR du 13 février 2001). Ex : Il est
normal que les scientifiques consultent les dossiers médicaux des individus afin de
trouver un traitement, avancer dans la science, etc.
- Le traitement des données pour une finalité incompatible avec la finalité de collecte
est admis dans deux hypothèses particulières :
o Avec le consentement (libre, éclairé, spécifique et indubitable)
o Fondé sur le droit de l’Union ou le droit d’un Etat membre.
1.3 Avoir un fondement légitime pour traiter les données
Il faut se situer dans les 6 hypothèses légitimes.
1) Consentement indubitable de la personne concernée (ce consentement doit être libre,
éclairé, spécifique). Il est libre s’il n’est pas forcé. Il est éclairé si on sait sur quoi on
consent et que le consentement est centré sur un certain usage des données. Il est
spécifique si le consentement porte sur une chose en particulier. La forme du
consentement est libre (cependant, les cases du contrat ne peuvent pas être
précochées, il faut qu’on ait le comportement de cocher).
2) Nécessaire au contrat ou à la négociation d’un contrat. Le mot nécessaire est
important, il signifie plus que le mot « utile ».
3) Nécessaire dans la sauvegarde de l’intérêt vital (ex : il est indispensable de prélever le
groupe sanguin avant de transfuser du sang). L’intérêt vital porte sur notre propre
intérêt mais aussi sur l’intérêt des autres (ex : en matière de génétique afin de voir si
une maladie est héréditaire).
4) Nécessaire au respect d’obligations légales. On le retrouve en matière de droit du
travail mais aussi dans la loi relative à la lutte contre le blanchiment d’argent et le
financement du terrorisme.
5) Mission d’intérêt public/autorité publique. Ex : La SCNB a une mission d’intérêt public
(transports en commun) et elle récolte des données pour la gestion des abonnements.
6) Intérêt légitime du responsable du traitement pour autant que ne prévalent pas
l’intérêt ou les droits et libertés de la personne concernée. On met les deux intérêts
en balance et on analyse s’il y a une proportionnalité ou pas.
2) Traitement de catégories particulières
Toutes les règles vues sont les règles générales. Mais il existe des catégories particulières.
Pour les données sensibles, c’est interdit, a priori, de les traiter sauf si on se situe dans les
exceptions. Les données sensibles révèlent l’origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophies, appartenance syndicale, données
relatives à la vie sexuelle.
12
Pour les données relatives à la santé, on ne peut pas les traiter non plus sauf si on se situe
dans les exceptions.
Pour les données judiciaires, on ne peut pas les traiter sauf si on se situe dans les exceptions.
C’est la catégorie la plus protégée. On entend par données judiciaires, les données relatives à
suspicions, poursuites, condamnations pénales ou administratives.
Pour ces catégories, le principe est l’interdiction de traiter des données (sauf si on se situe
dans les exceptions). Quelles sont les exceptions ?
✓ Consentement explicite (! Pas pour employeur).
✓ Données manifestement rendues publiques.
✓ Associations à finalité politique, religieuse,... et pas de communication à des tiers sans
consentement des membres.
✓ Obligation légale en matière de droit du travail.
✓ Permis par la législation nationale ou pour un motif d’intérêt public important …
✓ Données médicales : le traitement est effectué par un praticien de la santé ou une pers.
tenue à obligation de secret équivalente
✓ Sous contrôle autorité publique.
✓ Si nécessaire exécution loi ou obligations réglementaires.
✓ Gestion contentieux.
✓ Avocats
7 mars
3) Exigence de qualité des données
Les données doivent répondre à ces conditions :
- Adéquates, pertinentes et non excessives : Adéquat et pertinent sont en lien avec la
finalité, non-excessif est en lien avec la proportionnalité (ex : Pour rentrer à la
commission européenne, il y a un concours et un test de santé et ce test analyse la
présence du virus sida ou non dans le sang. Deux candidats ont trouvé cette analyse
SIDA insupportable et ils ont attaqué la commission en justice. Ils ont eu gain de cause
car la commission a tenté de justifier cette analyse mais en vain. Leur justification
portait sur le fait de la possibilité d’absences répétées en cas de SIDA. Alors que ces
personnes sont juste porteuses du virus et ne sont pas malades donc ils n’auraient pas
été absents donc la donnée était excessive. Cela portait atteinte aux individus par
rapport aux intérêts.). Dans le non-excessif, il y a un aspect qualitatif mais aussi
quantitatif (ne pas prendre trop de données, il faut se limiter au nécessaire).
- Exactes, et si nécessaire, mises à jour : En droit, on parle d’obligation de moyens (il faut
avoir mis tous les moyens en œuvre pour respecter cette condition).
Ex 1: On s’adresse à un banque pour avoir un emprunt et la banque n’a pas de données
à jour (ils ne savent pas que la femme est divorcée maintenant et ils refusent le prêt à
la femme car l’homme a beaucoup de dettes). On sera très sévère envers la banque
pour sa mise à jour de données.
13
Ex 2 : Entreprise qui vend des matelas et fait de la publicité. Cette entreprise prévoit
que tous les 10 ans, il faut changer de matelas. Un couple en achète un mais divorcent
plus tard et l’épouse reçoit 10 ans après la publicité. Ce n’est pas grave donc on ne sera
pas sévère avec l’agence qui n’a pas mis à jour ses données.
➔En fonction de ce qui est en jeu avec les données, on sera +/- sévère avec cette
obligation.
- Conservation pendant période limitée : Soit on anonymise les données soit on les
supprime après avoir atteint la finalité.
Section 4. Transparence – autodétermination informationnelle
4.1 Droits des personnes concernées
Il y a un droit d’accès de chaque individu à ses données et aussi un droit de correction des
données les concernant.
Ce droit d’accès concerne :
• Ce droit d’accès concerne les données intelligibles.

• Il faut avoir accès à l’origine de ses données aussi. On se demande souvent pourquoi
certaines personnes détiennent des informations sur nous et comment ils les ont eus.
Donc il faut savoir l’origine de ses données car si ces données sont fausses, pour les
corriger, il faut les corriger à l’origine pour que cette donnée fausse cesse de circuler.
• On a aussi droit à accéder aux catégories de destinataires des données. Il faut pouvoir
maitriser le circuit de nos informations et donc il faut pouvoir garder des traces de ceux
qui peuvent lire ces informations.
CJUE 7.5.09 Rijkeboer : Un hollandais démange et s’inscrit au registre de sa nouvelle
commune. Il voudrait savoir à qui sa commune a donné sa nouvelle adresse. Il
s’adresse à la commune et elle lui fournit des log file (qui a eu accès aux données
pendant un an). Il veut remonter à plus loin car un an c’est trop court. Cependant, la
commune explique que les données anciennes sont supprimées. Le hollandais est allé
devant la CJUE et elle a répondu qu’il y avait une obligation de garder des traces. Elle
ne s’est pas prononcée sur le délai exact mais il faut que le délai soit proportionnel à
la durée de vie du registre. Cependant, le registre en question, à savoir le registre
communal, peut remonter au Moyen-Age donc c’est un registre éternel ! Dès lors, un
délai d’un an n’est pas proportionnel au registre qui est éternel. ➔ Maintenant, en
Belgique, les traces des accès au registre national à partir d’une commune doivent être
conservées 10 ans.
• Le droit de connaitre à la logique qui sous-tend le traitement automatisé des
données. On a le droit de demander pourquoi on est pointé comme suspect, ou
pourquoi on est assimilé à telle ou telle catégorie dans un logiciel à partir des
algorithmes.
On retrouve des nouveautés dans le RGPD. Par exemple, lors de l’exercice du droit d’accès
(article 13), le responsable doit fournir des informations supplémentaires sur : la durée de
conservation, le droit à la rectification et à l’effacement, le droit de réclamation auprès de
l’autorité de contrôle, les garanties particulières prises en cas de transferts de données vers
14
un pays tiers ou une organisation internationale, l’existence d’une décision automatisée
incluant un profilage.
Il existe des exceptions :
- Police, sécurité publique
- Journalisme, expression littéraire ou artistique si compromettrait la publication (dès
qu’on diffuse des informations d’intérêt général, on doit faire l’équilibre entre la
protection des données et la liberté d’expression).
Google a été conscientisé et est à l’abri des législations européennes (pour le moment). Depuis
le mois de septembre, ils ont créé My activity qui permet aux personnes de voir les traces que
Google garde. On peut avoir le contrôle et gérer nos données nous-mêmes.
A côté du droit d’accès, on a d’autres droits :
- Droit de rectification
- Droit à l’effacement : Ce droit permet la suppression des données du système. On

récupère du pouvoir en imposant que cela soit effacé. On peut le faire dès que la
donnée ne correspond pas aux conditions (pas pertinent, pas adéquate, excessive, etc.
➔on peut demander l’effacement).
- Droit d’opposition : Ce droit d’opposition s’exerce sur demande datée et signée. On a

le droit d’opposer :
o Pour des raisons sérieuses et légitimes : Il faut présenter des raisons qui
répondent à ces deux conditions ! I
o Sans justification en cas de traitements à fin « direct marketing » : Il ne faut rien
justifier lorsque c’est une fin purement commerciale et publicitaire. Dans ce
cas, on peut demander d’être retiré des banques de données sans apporter la
preuve de raisons sérieuses et légitimes. (article 12).
Exception à ce droit d’opposition ? Pas d’opposition possible si le traitement des
données est nécessaire pour un contrat ou est imposé par une norme.
Concernant ce droit d’opposition, lorsque le traitement est nécessaire à l’exécution
d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est
investi le responsable du traitement OU est réalisé en raison des intérêts légitimes du
responsable du traitement ou d’un tiers, la personne dont les données sont traitées
peut s’opposer au traitement. Elle peut invoquer des raisons tenant à sa situation
particulière ; c’est au responsable du traitement qu’il incombera de prouver que ses
intérêts légitimes et impérieux prévalent sur les intérêts de la personne concernée.
- Droit de ne pas être soumis à une décision entièrement automatisée : Droit lié à la
dignité de l’Homme devant la machine. L’individu ne doit pas être soumis à une
décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de
manière significative, prise sur seul fondement d’un traitement automatisé de
données destiné à évaluer certains aspects de a personnalité.
15
Il existe des exceptions à ce principe : le contrat ou la disposition légale ou le
consentement explicite permet de déroger à ce principe, si la garantie de sauvegarde
des intérêts de la personne et de son point de vue est respectée.
A propos des décisions automatisées, elles incluent spécifiquement le traitement de

profilage (= toute forme de traitement automatisé de données à caractère personnel
consistant à utiliser ces données à caractère personnel pour évaluer certains aspects
personnels relatifs à une personne physique, notamment pour analyser ou prédire des
éléments concernant le rendement au travail, la situation économique, la santé, les
préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou
les déplacements de cette personne physique. Ex. dans la publicité comportementale).
- Droit à la limitation du traitement : Quand on conteste une donnée, la donnée est

gelée (on ne l’efface pas, on la conserve mais on la gèle –on ne l’utilise pas, etc.- tant
que le litige n’est pas réglé).
- Droit à la portabilité des données : Ce sera en place en mai 2018. Par exemple, on ne
veut pas quitter facebook pour ne pas perdre toutes nos données, tout notre profil qui
nous a pris des années à mettre en place… Ce droit permettrait de prendre nos
données et partir et donc quitter facebook et aller sur un autre réseau en gardant nos
données.
Ce droit à la portabilité (art 20) tend à permettre la récupération de données par la

personne concernée ou à demander la communication des données. Les personnes
concernées ont le droit de recevoir les données à caractère personnel les concernant
qu’elles ont fournies à un responsable du traitement, dans un format structuré,
couramment utilisé et lisible par machine et ont le droit de transmettre ces données à
un autre responsable du traitement sans que le responsable du traitement auquel les
données à caractère personnel ont été communiquées y fasse obstacle, lorsque:
a) le traitement est fondé sur le consentement ou sur un contrat
b) le traitement est effectué à l'aide de procédés automatisés.es à un autre
responsable de traitement
c) Le transfert est techniquement possible.
➔Ces droits visent à la transparence et à rendre le pouvoir.
4.2 Obligations du responsable du traitement
✓ Devoir d’information
✓ Sécurité
✓ Notification à l’autorité de contrôle
✓ Responsabilité
1) Devoir d’information
Informer de quoi ?
16
Il faut informer au moins de :
- L’identité du responsable du traitement ainsi que du data protection officer (DPO) s’il
y en a un : Qui traite les données ?
- Finalités du traitement et la base juridique (s’il y en a une) ainsi que l’intérêt légitime
du traitement s’il y a une base juridique (ex : intérêt commercial) = balance des
intérêts.
- Les destinataires des données
- Les transferts de données vers l’étranger.
En plus, il y existe un devoir d’information supplémentaire si c’est nécessaire pour garantir un
traitement équitable et ces informations supplémentaires concernent : catégories de
données, existence de tous les droits, destinataires des données, caractère obligatoire ou
facultatif de la réponse et conséquence d’un défaut de réponse ; existence d’une décision
automatisée/profilage.
Informer quand ?
Il faut être informé :
➢ Lors de la collecte si les données sont collectées auprès de la personne concernée
➢ Lors de l’enregistrement ou de la communication si collecte indirecte
Exceptions :
- Sauf si la personne est déjà informée
- Exceptions concernant la collection indirecte seulement :
o Si impossible ou efforts disproportionnés
o Si l’enregistrement ou la communication des données sont effectués en
application d’une norme
o Si données doivent rester confidentielles (secret professionnel) : L’avocat
d’une épouse qui veut divorcer ne doit pas informer l’époux des données qu’il
a reçues sur lui lors d’une consultation.
- Deux exceptions particulières :
o Police
o Journalisme, expression littéraire ou artistique si compromettrait collecte des
données
2) Sécurité et confidentialité (art 16 §4)
Des mesures techniques et organisationnelles sont requises pour protéger les données. Ces
mesures techniques et organisationnelles tiennent compte de l’état de la technique, des frais,
des risques et de la nature des données à protéger.
On parle de mesures techniques car on tient compte de l’état de la technique et on est
exigeant sur la sécurité car s’il s’agit de données précieuses (ex : médicales), on requiert une
protection importante. On tient compte des risques et des frais et il s’agit d’une obligation de
moyens et elle est mesurée en fonction des circonstances et des acteurs. Les mesures
organisationnelles sont parfois basiques (mots de passe, clefs, etc.).
17
A consulter sur le sujet…
- Recommandation n°01/2013 du 21 janvier 2013 de la commission de la protection de
la vie privée (CPVP) relative aux mesures de sécurité à respecter afin de prévenir les
fuites de données.
- Lignes directrices pour la sécurité de l'information de données à caractère personnel
émises par la CPVP (applicables aux entreprises qui reçoivent accès à des données de
certains registres des autorités publiques (décembre 2014).
Dans cette obligation de sécurité et de confidentialité, on met un peu de tout… On retrouve
une obligation de diligence pour tenir les données à jour ainsi qu’une obligation de limiter
l’accès du personnel aux seules données. Il y a aussi une obligation de mettre le personnel au
courant de la législation.
N.B : Pour les données sensibles, le personnel est tenu à une obligation de confidentialité.
Ce devoir de sécurité et de confidentialité implique un choix judicieux et réfléchi du sous-
traitant. Le choix du sous-traitant effectué, il faut établir un contrat avec lui et ce contrat
propose des garanties contractuelles :
❖ Choix d’un sous-traitant qui offre des garanties suffisantes quant à la sécurité.
❖ Le contrat doit fixer la responsabilité du sous-traitant et indiquer que le sous-traitant
ne peut agir que sur instructions du responsable.
Nouveauté dans le RGPD : Il y a une obligation de notification de « violation de données à
caractère personnel ». Cette obligation incombe à l’autorité de contrôle et aux personnes
concernées. Cette obligation concerne une violation de la sécurité entrainant, de manière
accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non-autorisée de
données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou
l’accès non autorisé à de telles données.
3) Déclaration
- Déclaration du traitement automatisé auprès de CPVP.
- Traitement ou ensemble de traitements ayant même finalité ou finalités liées.
- Arrêté royal prévoit dispenses (art. 51 à 62).
Nouveautés dans le RGPD : Plus d’obligation de déclaration à la Commission de la
protection de la vie privée MAIS pour les responsables de traitement et les sous-traitants :
➢ Obligation de tenir un registre interne des traitements.

➢ Dans les cas de traitement avec des risques élevés pour la protection des données
(par exemple, traitement massif des données), obligation de réaliser une analyse
d’impact pour identifier et réduire/éliminer les risques.
➢ Dans certains cas, obligation de désigner un délégué à la protection des données
(sorte de conseil spécialisé qui doit contrôler la légalité des traitements et
conseiller du responsable de traitement ou sous-traitant qui fait appel à ses
services)
18
➢ Principe du « privacy by design » ou protection dès la conception → impose au
responsable de traitement de façonner son traitement de manière à assurer la
protection la plus effective possible des droits des personnes concernées.
Exemples : minimisation des données traitées, recours à la pseudonymisation des
données si c’est possible,…
➢ Principe du « privacy by default » ou protection par défaut → met l’accent sur
l’adoption de mesures techniques et organisationnelles appropriées pour garantir
que, par défaut, seules les données à caractère personnel qui sont nécessaires au
regard de chaque finalité spécifique du traitement sont traitées.
4.3 Autorité de contrôle
Commission de la protection de la vie privée.
COMPETENCES (art. 29 et s.) :
o Compétence d’avis: nature (avis d’initiative ou demande d’un organe législ. ou exéc.),
motivés, délai.
o Compétence de recommandations.
o Compétence d’examen des plaintes et de dénonciation au parquet.
 Compétence juridictionnelle (/!\ -A vérifier mais il me semble avoir compris qu’une
compétence juridictionnelle va être possible-).
NEW : la CPVP va être réformée pour intégrer de nouvelles compétences et missions
(notamment pouvoir d’imposer des amendes).
COMPOSITION DE LA COMMISSION :
o un savant dosage
o une indépendance ? Rattachée au Parlement
o les comités sectoriels: com. sect. pour l’autorité fédérale / com. sect. pour le Registre
national / com. sect. pour la Banque car. Sécu / com. sect. Pour la Banque car. Entrepr.
4.4 Sanctions et recours
On retrouve les sanctions pénales dont les amendes pouvant être très élevées.
NEW : de nouveaux recours seront créés en vue de l’entrée en vigueur du RGPD.

4.5 Groupe (de l’article) 29
• Groupe consultatif
• Composé des représentants des autorités de contrôle nationales, d’un représentant
de l’autorité de contrôle européenne et d’un représentant de la Commission eur.
• Contribue à l’homogénéité de la mise en œuvre de la directive
19
• Conseille la Commission européenne sur tout projet
• Avis sur codes de conduite européens
New : le RGPD le remplace par un Comité européen
Section 5. Les transferts de données personnelles vers les pays tiers →NOTES DE FLO.
1. Notion de flux transfrontières de données •

Qu’est-ce qu’un transfert/flux de données ?
➔ Envoi d’informations via email; envoi postal de données gravées sur un CD-Rom ou de
données stockées sur disque dur ou clé USB; ? FLUX/TRANSFERT Quid des données
contenues sur un site internet ?  CJCE arrêt Lindqvist, 06.11.2003, C-101/01: Très
controversé (voir page 22)
Le droit est territorial car c’est là on a notre souveraineté et donc c’est là que les lois
s’appliquent. Internet se joue des frontières. Il y a un régime spécial pour les transferts de
données transfrontières. Ça va pour les données commerciales, …
Ce régime ne couvre pas certaines activités qui sont vraiment liées à l’Etat : sécurité publique,
défense, sécurité nationale, droit pénal. EX : les données bancaires sont la clé dans les
enquêtes policières. Les moteurs de recherche et les comptes en banque révèlent beaucoup
de choses sur notre vie.
2. Flux transfrontières
• Vers un état membre de l’UE et EEE (Norvège, Liechtenstein et Islande)
On va en vacances en Suède on peut envoyer nos données de cartes de crédit sans problème.
Les Etats du EEE (espace économique européen) sont en lien très étroits avec tous les autres
EM de l’UE. Ils vivent avec les mêmes règles que nous. C’est libre !
C’est un régime de liberté de flux (art.1 de la directive). Il y a une condition : il faut que l’on ait
le droit de faire ce transfert de données au regard du droit de l’EM. Il faut que l’on fasse tout
ce qui est compatible avec la finalité.
Le transfert doit être compatible avec la finalité de collecte de données ou le transfert est
imposé par une loi. On ne transfert que les données qui sont nécessaires. Ça doit être
transparent (être informé). La déclaration a faire auprès de la commission PVO doit
mentionner le pays destinataire.
• • Hors de l’Union européenne [et E.E.E.] 2 conditions:  avoir le droit de faire un

transfert (GDPR)  vers un pays autorisé
20
On a 2 conditions : avoir le droit de faire un transfert de données au regard du droit de l’EM
et que vers les pays qui sont autorisés.
Il y un grand principe (art.25 directive 95/46, 21 loi 1992) → il est interdit d’exporter vers des
pays si pas de protection adéquate.
« Adéquat » car au niveau diplomatique c’est plus souple, on veut qu’il y ait une protection
mais qui ne soit pas forcément identique que le modèle européen. Il y a une approche au cas
par cas (on tient compte de la nature des données, de la finalité, de la durée…) Il y a une
approche pragmatique (on recherche tout ce qui réalise la protection, pas similarité des
termes). Il y a aussi une approche ouverte (on tient compte des règles de droit général et
sectoriel, des règles professionnelles, des mesures de sécurité).
3. Transfert de données intra UE

Conditions pour transférer des données a caractère personnel
Le transfert doit être – compatible avec la finalité de collecte des données ou – imposé par
une loi ou – la personne concernée a consenti au transfert 2. Les données transférées sont
seulement les données nécessaires par rapport à la finalité.
Transfert de données hors U.E.

A. Devoir d’information (Art. 13 et 14 GDPR)
Le responsable du traitement fournit à la personne concernée toutes les informations

suivantes: […] • le cas échéant, le fait qu’il a l'intention d'effectuer un transfert de
données à caractère personnel à un destinataire dans un pays tiers ou une organisation
internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la
Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49,
paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et
les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition.
B. Principe
Autorisation d’exporter vers des pays tiers si offrent protection adéquate reconnue
par la Commission eur.
• Adéquation de la protection d'un pays, un territoire ou un secteur déterminé dans

pays tiers
21
• Examen périodique, au moins tous les quatre ans, qui prend en compte toutes les
évolutions pertinentes dans le pays tiers
Pour dire si protection adéquate, Commission tient compte de:
a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la

législation qui concerne la sécurité publique, la défense, la sécurité nationale et l'accès
des autorités publiques aux données à caractère personnel, + la mise en œuvre de
ladite législation,
b) les règles de protection des données, les règles professionnelles et les mesures de
sécurité, y compris les règles relatives au transfert ultérieur de données à caractère
personnel vers un autre pays tiers, et les recours que peuvent introduire les personnes
concernées dont les données à caractère personnel sont transférées;
• I. Décision d’adéquation – Commission UE - (Art. 45 GDPR)
 Andorre
 Argentine -> la fille
 Canada: seulement le secteur privé
 Israël  Nouvelle-Zélande
 Suisse
 Uruguay
 Ile de Guernesey
 Ile de Man
22
 Ile de Jersey
 Iles Féroé
États-Unis : « Safe Harbour » (2000-2015); arrêt CJUE Schrems (2015); « Privacy Shield »
(2016)  Obligation pour la Commission de procéder à un réexamen des décisions
d’adéquation au moins tous les 4 ans, pour tenir compte des développements récents dans
les pays tiers
Protection adéquate = ?
→ Groupe de Travail de L’art.29, document de travail n°12.
On doit retrouver :
• Principes de contenu
- Finalité spécifique
- Qualité et proportionnalité des données
- Transparence
- Sécurité
- Droits d’accès, de rectification et d’opposition
- Restrictions des transferts ultérieurs (sans ça il y a des pays qui vont servir de
porte de sortie). Il doit y avoir des restrictions au delà de ce pays.
• Mécanismes de procédure d’application

- Niveau satisfaisant de respect des règles
- Soutien et assistance aux personnes concernées (ça doit être accessible)
- Voies de recours appropriées à la partie lésée
Dans le monde qui va respecter ces exigences ? EX : L’Inde ne rentre pas dans ces exigences.
Nouvelle-Zélande l’a mais pas l’Australie. On ajoute la Suisse, le Canada, L’Israël, L’Argentine,
Uruguay Ile de Guernesey, Ile de Man, Ile de Jersey, Iles Féroé, Andorre, USA (système co-
régulatoire Safe Harbour/Privacy Shield). Art.25.6 de la directive.
Les exceptions (art.26) : flux vers pays n’offrant pas de protection adéquate. Il y a transferts
autorisés si (interprétation restrictive) :
- Consentement indubitable au transfert : consentement de transfert, la personne doit
être mise au courant de manière très claire que les données vont vers un pays qui
n’offrent pas les mêmes protections que l’UE
- Transfert nécessaire à exécution d’un contrat (avec la personne concernée ou dans son
intérêt)
- Sauvegarde d’un intérêt public important
- Transfert à partir d’un registre public destiné à l’information du public
23
Exceptions : transfert autorisés si responsable du traitement offre des garanties
satisfaisantes : qui sont soit des clauses contractuelles (2001/497/CE : décision de la
Commission du 15/06/01 relative aux clauses contractuelles types pour le transfert de
données à caractère personnel vers des pays tiers en vertu de la directive 95/46/CE) ou des
règles d’entreprise contraignantes (Binding Corporate Rules).
Question spécifique : Internet

Mettre des données sur un site Web, est-ce que c’est faire un flux transfrontière ?
L’affaire Lindqvist :
Dame suédoise qui donne du catéchisme l’église luthérienne donne des cours d’informatique
de base et a le droit des cours d’informatique et la création d’une page web. Elle veut
reprendre tous les noms et adresses des autres catéchistes et elle met le site en ligne. En
quelques jours des gens voient ça avec la description humoristique et ces gens sont fâchés et
elle retire le site tout de suite. Le cas est arrivé en Luxembourg.
vision restreinte et controversée de la notion de transfert des données à caractère personnel
vers des pays tiers. Cette affaire est incroyable. Elle est arrivée quand les juges de Luxembourg
ne savaient pas comment ça se passait. C’est une femme qui faisait du catéchisme et la
paroisse offrait des cours d’informatique. Madame devait créer une page qui serait confié à la
responsable de l’Eglise. Madame crée une page sur la paroisse avec le noms de tous les
membres de la paroisse avec leurs coordonnées et une description pas très dôle sur eux. Les
membres se sont plaints auprès d’elle et elle supprime cette page. Elle a été attaquée car ils
ont découvert qu’elle ne respectait pas la loi suédoise sur les données à caractère personnel.
Ils ont obtenu une condamnation en première instance. En 2ème instance, le juge va
demander une interprétation au Juge de Luxembourg. La police suédoise avait décrété car elle
avait cité que l’une de ses collègues avait le pied dans le plâtre et donc la donnée est médicale
(= donnée sensible). Pourtant, ils sont passé à côté d’un truc énorme → le fait qu’elle fasse
partie d’une association religieuse (risque de discrimination) = donnée sensible.
Dans l’affaire, une question est posée : est-ce qu’elle a fait des flux transfrontières avec ce site
de durée de 3jours ? Ils ont vu que les pays adéquats étaient seulement au nombre de 10. Ce
n’est pas vraiment elle qui a mis les données sur la page. Ils vont dire que ce n’est pas un flux
car ils ne voulaient pas tout bloquer. Ils vont découper l’affaire.
24
Le juge :
CJCE arrêt Lindqvist: Vision restreinte de la notion de transfert de données ‘Il n'existe pas
de «transfert vers un pays tiers de données» lorsqu'une personne qui se trouve dans un E.M.
inscrit sur une page Internet, stockée auprès de son fournisseur de services d'hébergement qui
est établi dans ce même État ou un autre E.M., des données à caractère personnel, les rendant
ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se
trouvant dans des pays tiers’ (§71)
Lindqvist : la responsable et l’autre c’est le sous-traitant.
Mais c’est bien un flux. Ajd, on envoie de plus en plus les données par internet. Il y aura des
mouvements de données mais ca va être dans un potentiel, mais sans doute il y a des tas de
gens qui peuvent accéder à vos données. Donc dès que vous mettez quelque chose sur un site
il faut respecter tous les conditions de respect des flux transfrontières.
Si on met le nom des gens pe sur le site de l’unif nom des professeurs : c’est accepter que le
nom part dans le monde entier. L’idée est que tout s’écroule pas dès que ca passe la frontière.
Bonne réponse : quand on met des données sur un site web, on ouvre ça au monde → on
accepte qu’il y ait des flux. Il faut réfléchir à ce régime des flux transfrontières car il y en a !
La définition est que un transfert de donnée est une communication consciente et mise à
disposition des données.
Demander avant l’accord des personnes avant de mettre des données sur eux.
Nouveautés GDPR : ils ont gardé le modèle :
√ Transferts avec décision d’adéquation (pour un pays, un territoire, un secteur ou une
organisation internationale) → critères clarifiés + révision périodique (tous les 4 ans)
√ Transferts avec des sauvegardes appropriées
√ Transferts via Binding corporate rules
Une nouvelle exception (en plus des autres) :

- Sans caractère répétitif
- Ne touchent qu’un nombre limité de personnes
- Sont nécessaires pour les intérêts légitimes impérieux du responsable du traitement
sur lesquels ne prévalent pas les intérêts ou les droits et libertés de la personnes
concernée
25
- Et si le responsable du traitement a évalué toutes les circonstances entourant le
transfert de données et a offert des garanties en ce qui concerne la protection des
données à caractère personnel
Affaire des Flux vers les USA : Safe Harbour – Shrems – Privacy Shield.
• Flux vers les Etats-Unis : « Safe Harbour »
➔ Système co-régulatoire pour les échanges commerciaux (2 ans de négociation)
➔ Les 7 principes du Safe Harbour appliqués conformément aux orientations fournies par
les 15 FAQs, publiées par le ministère du commerce des États-Unis, étaient considérés
comme offrant protection ADÉQUATE
➔ Les organisations destinataires des données devaient publiquement s’engager à
observer les 7 principes + 15 FAQs.
➔ Les organisations destinataires devaient être soumises aux pouvoirs de supervision
d’un organe administratif américain (Federal Trade Commission, Dpt of
Transportation)
On a d’abord mis en place le Safe Harbour, qui vise les échanges commerciaux et qui a été
négocié par un italien. On a été un peu critique à l’égard de cette personne car on a été déçu
du résultat mais il n’avait pas eu tort. Il a mis en place un système (pas de lois) qui vise les
échanges commerciaux. En Europe, on ne sait pas avoir une base de données pour pouvoir
envoyer de la publicité mais aux USA, c’est autorisé. Par contre, ils ont une loi sur les
personnes qui louent des cassettes vidéo. Il y a une différence entre le système européen et
celui des USA. Après négociations, ils ont mis en place un système co-régulatoire : une partie
ou on négocie le contenu et ensuite, on doit le prendre et l’accepter.
Caractéristiques : les principes de Safe Harbour appliqués conformément aux orientations
fournies par les FAQ publiées par le ministère du commerce des USA, sont considérés comme
offrant protection ADEQUATE.
Ils fonctionnent avec
- Notice : ils informent des finalités (coordonnées de l’organisation, tiers auxquels els
données sont communiquées)
- Choice : offrir la possibilité des opt-out contre la divulgation à des tiers utilisateurs
dans un but incompatible ou possibilité de opt-in si les données sont sensibles (bien
protégées).
- Sécurité
- Intégrité des données
- Accès : si les données sont trop lourdes, on a pas le droit d’accès et c’est le responsable
de la base de données qui juge.
26
Caractéristiques (suite) : Les organisations destinataires doivent être soumises aux pouvoirs
de supervision d’un organe administratif américain. Le Safe Harbour n’est pas applicable aux
banques et au secteur des assurances.
Affaire Shreems c. DPC Irlande : Shrems est étudiant en Erasmus. Il connaissait pas la
protection de données et demande à Facebook son droit d’accès et ont envoyé un CD-Rom
avec toutes les données Facebook même si elles ont été effacées. Il attaque Facebook. Il faut
aller en Irlande si on veut attaquer Facebook depuis l’Europe. Max a perdu contre cette
commission contre la vie privée irlandaise et est allé devant les juges irlandais.. Dans cet
accord de Safe Harbour, il y a une clause qui dit de que les DPA nationale ne peuvent pas être
suspendre les transferts + dispositions limitant les dérogations US à ce qui est nécessaire.
Arrive des révélations de Snowden : les entreprises US (Facebook…) communiquent données
personnelles à la NSA.
Max va changer son attaque. Le nouvel axe permet d’attaquer Facebook en disant que
Facebook fait un flux commercial transfrontière et que en plus ça part dans les mains de la
NSA, ce n’est pas démocratique. DPC Irlande rejette la demande de Shrems de suspendre les
transferts dans le cadre du SH, pour stopper les transferts de Facebook vers les USA
Il va devant le Cour suprême irlandaise. Elle s’adresse à la CJUE pour avoir son avis car normes
européennes.
La CJUE dit : les DPA ont un devoir d’examiner les plaintes (même s’il y a une décision EU
contraignante) + niveau de protection adéquate qui est essentiellement équivalent +
« Essence » du droit fondamental : une réglementation permettant aux autorités publiques
d’accéder de manière généralisée au contenu de communications électroniques doit être
considérée comme portant atteinte au contenu essentiel du droit fondamental au respect de
la vie privée.
La CJUE invalide le Safe Harbour.
Ils ont donc négocié un nouvel accord → Privacy Shield (= bouclier). Il y a des obligations pour
les entreprises volontaires + supervision (sanctions/ exclusions en cas de non-respect). Les
entreprises choisissent ou pas d’en faire parti mais si oui, ils doivent respecter cette accord
qui s’impose à eux. Il y a une limitation d’accès pour la sécurité nationale (pas d’accès
généralisé, mass surveillance) + recours pour les européens via l’Ombudsperson.
Il y a possibilité de plainte (réponse de l’entreprise). Autorisation de protection de données
de chez vous.
Ils ont passé US Judicial Redress Act, 24 février 2016 : droit des citoyens EU de saisir les cours
US pour protéger leurs droits à la protection des données (fait par Obama mais annulé par
Trump car ils ne voulaient pas que les réfugiés puissent attaquer).
II. Garanties appropriées (Art. 46 GDPR)

Transferts autorisés si
27
 responsable du traitement offre des garanties satisfaisantes : par des clauses
contractuelles-types
2001/497/CE: Décision de la Commission du 15 juin 2001 relative aux clauses contractuelles

types pour le transfert de données à caractère personnel vers des pays tiers en vertu de la
directive 95/46/CE (responsable à responsable)
 par des règles d’entreprise contraignantes (Binding Corporate Rules) WP 74, 108 et 154 du
Groupe 29
II. Garanties appropriées (Art. 46 GDPR suite)
Transferts autorisés si
 Code de conduite approuvé par la Commission eur. + engagement contraignant de le

respecter
 Mécanisme de certification approuvé par la Commission eur. + engagement contraignant

de respecter les garanties
II. Garanties appropriées (Art. 46 GDPR) `

➔ Avec autorisation spécifique d’une autorité de contrôle
 Clauses contractuelles ad hoc
 Dispositions à intégrer dans des arrangements administratifs entre les autorités
publiques ou les organismes publics
III. Dérogation pour des situations particulières (Art. 49 GDPR)

 Consentement explicite au transfert
 transfert nécessaire à exécution d’un contrat (avec la personne concernée ou dans son
intérêt)
 nécessaire pour motif important d’intérêt public (de l’UE ou d’un EM)  nécessaire à
l'exercice ou à la défense de droits en justice
 nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'autres
personnes
 transfert à partir d’un registre public
28
21 mars
Chapitre 2. Le droit à l’oubli

Section 1. Diffusion spontanée de données à caractère personnel
= c’est nous qui diffusons ces données par le partage sur les réseaux sociaux ou par la
participation à des forums, commentaires.
Ex : Les données de soi-même sur snapchat pendant 10 secondes. Il y a toujours une possibilité
de capture d’écran mais, en plus, ces données ne sont pas éteintes car une série de personnes
les garde. A Namur, une fille s’est suicidée car une photo qu’elle avait envoyée par snap avait
fait l’objet d’une capture puis d’un partage et tout le monde commentait sa photo en se
moquant d’elle. La police a voulu retrouver la personne qui a diffusé premièrement la photo
mais cela reste difficile.
Section 2. Diffusion par autrui de données à caractère personnel
- Informations sur personnes publiques : presse, sites web, Wikipédia.
- Informations sur des événements publics : des personnes qui ont fait l’objet d’un fait
divers et on les retrouve dans des articles de journaux qui, après, restent dans les
archives ou même sur les sites internet.
- Diffusion sur réseaux sociaux.
- Diffusion sur sites/applications variés.
Section 3. Mémoire digitales
29
« L’eternity effect » de la mémoire digitale retient tout en permanence. Il faut une
intervention humaine pour que la mémoire soit supprimée. La suppression des données exige
une décision. Contrairement à la mémoire humaine qui oublie facilement et régulièrement, la
mémoire internet n’oublie rien.
L’oubli humain permet la bonne vie en société, et cet instrument, par contre, permet de tout
faire ressortir du passé car c’est une mémoire absolue.
L’effet des moteurs de recherche permet de faire tout remonter à la surface. On a une
décontextualisation de l’information (ex : une personne a dit cela en commentaire mais on ne
reprend pas le contexte). En plus de cela, on juxtapose cela… Comme résultat, on a un portrait
numérique (décontextualisation + juxtaposition).
C’est ainsi qu’on pense le concept de droit à l’oubli.
Section 4. Le droit à l’oubli
On est revenu avec ce droit à l’oubli.
- Pas de droit de réécrire l’histoire : On coupe le lien entre passé et présent. C’est juste
l’accessibilité permanente qui sera coupée et pas l’information en elle-même. C’est
l’accès du public qui sera limité.
- Ne pas réduire un individu à son passé, droit à l’évolution : L’être humain est un être
qui évolue. On peut faire des erreurs et changer donc il ne faut pas porter une
étiquette (ex : « Je suis un ancien criminel. »).
- Maîtrise de ses données personnelles : On nous rend la maîtrise.
On a cru qu’on a dû créer le droit à l’oubli alors qu’on avait tous les instruments pour le faire
fonctionner.
Droit au déréférencement = une facette du droit à l’oubli. Ex : affaire Google : Les moteurs de
recherche sont des outils de référencement (ils référencent tout ce qui concerne notre
recherche). Sur les moteurs de recherche, sites de référencement, on a demandé de ne pas
référencer les données.
Affaire Google Spain, CJUE 13 mai 2004 : On a appliqué le droit européen de la protection des
données à Google Spain et Google Inc. Monsieur Costera a voulu se faire oublier (d’où cette
affaire) et il a permis au droit à l’oubli d’avancer. Il n’a pas payé ses dettes fiscales à un
moment et le juge espagnol l’a condamné et cela a été publié dans le journal espagnol (afin
de prévenir que c’était un mauvais payeur). Par la suite, il a changé, il s’est acquitté de ses
dettes, etc. Cependant, en tapant son nom sur Google, c’est toujours cet article qui ressort
alors qu’il a changé et tout le monde le catalogue comme « mauvais payeur ». Monsieur
Costera a attaqué Google pour être plus efficace. S’il coupe le lien par Google, personne ne
retrouvera cet article (parce que personne ne consulte les archives papier d’un journal).
Google a des antennes dans chaque pays pour négocier des contrats de publicité. En Espagne,
à part Google Spain (contrat de publicité), il n’y a rien. Google a besoin d’argent et l’argent
vient de la publicité et de ses contrats donc Google Spain est nécessaire à Google. Ils ont fait
un lien entre Google Spain et Google, la maison mère. Donc ils ont pu attaquer Google Spain.
30
Si on met le nom de quelqu’un, on retrouve toutes les données liées à cette personne. Les
moteurs de recherche sont responsables d’un traitement de données SLIDE. Ils ont parlé du
droit au déréférencement. Une question préjudicielle sur l’interprétation du droit européen a
été posée à la CJUE. Cela va lier la juridiction ayant posé la question et cela va lier les
juridictions nationales en cas de questions similaires. Un arrêt a été prononcé par la grande
chambre de la CJUE (composée de 15 juges, alors qu’une chambre normale est composée de
3 à 5 juges). La grande chambre ne s’intéresse qu’aux questions importantes. La Cour n’a pas
créé un droit à l’oubli mais confirme que des moteurs de recherche comme Google sont
soumis aux articles 12 et 14 de la directive 95/46/CE. Le moteur de recherche doit faire ce qui
n’est pas nouveau pour les médias : regarder quand il doit dire oui ou non. Quelle est la
réaction de Google ? Il a réagi en plusieurs étapes :
- Déception face à cet arrêt
- A confirmé qu’il s’y conformera : Donc il est contre cet arrêt mais il le respecte et s’u
conforme assez vite.
- A mis en ligne un formulaire dès le 29 mai 2014
- A demandé de l’aide au DPA’s : Les autorités ont donné des critères pour permettre à
Google de savoir quand il doit dire oui ou non et faire cet exercice que doit faire les
médias.
- A mis en place un groupe d’experts qui a rendu un rapport en début 2015
- A reçu, à ce jour, 704 000 demandes : cela paraît beaucoup mais il y en a beaucoup
plus en matière de propriété intellectuelle.
Quelle est la réponse technique de Google ? Le déréférencement est une indication que le lien
est déréférencé.
/!\Cela se limite aux noms de domaines européens (.be, .fr, etc.). Donc cela ne s’adresse pas
aux adresses .com.
/!\Cela ne s’applique qu’aux seules recherches sur le nom et le prénom donc les données
visées par l’arrêt de la Cour.
➔Dans ces cas-là, on peut demander le déréférencement. Il faut remplir le formulaire Google
pour introduire la demande.
Quel est le raisonnement juridique sur base de la législation de la protection des données ?
Il y a plusieurs cas de figure :
• C’est nous qui avons diffusé l’information : on peut s’appuyer sur notre consentement
et on peut retirer le consentement. On parle de droit aux remords, le droit de changer
d’avis. Ce droit à l’oubli s’exerce par ce retrait du consentement. On peut l’imposer !
• Ce n’est pas nous qui avons donné accès à ces informations : obligation de supprimer
ou anonymiser les données sans demande. Le principe de finalité consiste à dire
qu’une fois la finalité atteinte, la suppression doit être spontanée (art 6 directive
31
95/46, art 6 RGPD). Quel est l’effet de ceci ? Les données sont supprimées ou rendues
anonymes à l’initiative du responsable du traitement quand elles ne sont plus
nécessaires pour atteindre la finalité. Aucune démarche de la part de la personne
concernée n’est nécessaire, ceci est spontané.
• Parfois, une démarche de la personne concernée est nécessaire. On a un droit de

rectification (art. 12, b), directive 95/46) : droit d’obtenir rectification, effacement ou
verrouillage des données dont le traitement n’est pas conforme à la directive 95/46.
Quelle est la conséquence de ce droit ? Effacement si non-respect des conditions de
qualité des données (art. 6): adéquates, pertinentes, non excessives « au regard des
finalités et du temps qui s’est écoulé » (arrêt Google §93).
[Conférence sur le cyberharcèlement : deuxième heure de cours du 21 mars].
28 mars
Art 17 RGPD : Droit à l’effacement (« droit à l’oubli ») : Il s’agit du droit d’obtenir l’effacement
de données dans les meilleurs délais si
- Les données ne sont plus nécessaires au regard des finalités (principe de finalité).
- Si la personne qui a mis elle-même les données retire son consentement.
- La personne concernée s’oppose (droit d’opposition).
- Les données ont fait l’objet d’un traitement illicite (traitement n’est pas conforme
donc cela donne lieu au droit de rectification).
- L’effacement est imposé par une obligation légale.
- Les données collectées quand on est enfant : tout ce qui est mis avant 18 ans est fait
dans une période d’immaturité normale donc ces données sont effacées encore plus
systématiquement (alors que plus tard, par exemple quand on agit avec le droit
d’opposition, il faut argumenter beaucoup plus).
Si les données ont été rendues publiques, il faut informer les tiers de la demande d’effacement
de tous les liens vers ces données, ou de toute copie ou reproduction.
Quelles sont les exceptions au droit à l’oubli prévues par cet article 17 RGPD ? Il n’y a pas de
droit à l’oubli :
- Si la diffusion est justifiée par la liberté d’expression et d’information : un personnage
doit supporter beaucoup plus d’intrusions.
- Si la conservation est imposée par une obligation légale.
- Pour des motifs d’intérêts public dans le domaine de la santé publique.
- A des fins de recherche scientifique ou à des fins statistiques : La recherche historique
est aussi comprise dans cette exception. Cela concerne les liens avec le passé.
L’article 21 RGPD prévoit le droit d’opposition : Il s’agit du droit de s’opposer à tout moment
pour des raisons tenant à la situation particulière de la personne concernée à moins que le
responsable du traitement ne démontre des raisons impérieuses et légitimes justifiant le
traitement, qui priment sur les intérêts ou les libertés et droits fondamentaux de la personne
concernée. Donc on met en balance (« balancing test »).
32
Quels sont les critères pour effectuer la mise en balance ? (groupe de l’article 29).
- Sujet d’intérêt public, contribution à débat d’intérêt général ; faits appartenant à
l’histoire : liberté d’information prime. Il faut que ce soit un sujet d’intérêt public
aujourd’hui, l’écoulement du temps a un impact sur la mise en balance.
- Degré de notoriété (personne qui joue un rôle dans la vie publique) : on peut tout
savoir à condition que cela ait un lien avec la vie publique. Certains éléments de la vie
privée sont concernés aussi car cela a un lien avec la vie publique dans le sens où cela
va jouer sur la confiance qu’on accorde à cette personne (l’écoulement du temps a
encore un impact car il n’y a pas d’intérêt à relater des faits qui datent de 40 ans
auparavant).
- Actualité (temps écoulé depuis l’événement) : à cause des faits, trop graves, il n’y a pas
d’oubli. Les faits donnent une dimension terrible à ce qui s’est passé. Par exemple,
Dutroux ne pourra pas invoquer le droit à l’oubli.
- Nature des faits en cause, des données (sensibles ou non).
- Impact négatif disproportionné des informations données créent un risque.
- Données rendues publiques par le plaignant.
- Publication = obligation légale : Par exemple, on a la publication d’un avis de faillite
mais il faut encore analyser le facteur temps.
Cour européenne des droits de l’homme : arrêt Times Newspapers, 10 mars 2009 : § 45. « […]
si la presse a pour fonction première de jouer le rôle de ‘chien de garde’ dans une société
démocratique, la fonction accessoire qu'elle remplit en constituant des archives à partir
d'informations déjà publiées et en les mettant à la disposition du public n'est pas dénuée de
valeur. Cela étant, les Etats bénéficient probablement d'une latitude plus large pour établir un
équilibre entre les intérêts concurrents lorsque les informations sont archivées et portent sur
des événements passés que lorsqu'elles ont pour objet des événements actuels. »
➔La presse a un rôle de chien de garde. Lorsqu’il s’agit d’archives, les éléments appartiennent
au passé donc la mise en balance est plus nuancée. Par contre, lorsque les éléments sont
récents et frais, la diffusion est importante puisque la presse doit jouer son rôle de chien de
garde.
On retrouve, cependant, des contestations par certains de cette mise en balance. Quelles sont
ces contestations ?
- Atteinte à la liberté d’expression (First Amendement USA), réécriture de l’histoire,
censure, révisionnisme : Le droit à l’oubli empêcherait la liberté d’expression. Cela
réécrirait l’histoire car on oublierait le passé (alors qu’on ne réécrit pas le passé, on
coupe juste le fil entre le passé et le présent). Ce serait de la censure, etc.
- Contestation de l’intérêt de la personne concernée.
- Contestation de la primauté établie par la cour : Le droit à l’oubli ressort de l’arrêt de
la Cour dans l’affaire Google Spain. Cet arrêt visait un intérêt économique et les
moteurs de recherche. Cela concernait le droit à l’information du public.
Cependant, d’autres situations où on note que le déréférencement est appliqué sans
difficulté : atteinte au droit d’auteur, « revenge porn », etc. Donc pour le droit
33
d’auteur, etc., on applique le déréférencement mais ceux qui émettent ces
contestations (USA) n’admettent pas le droit à l’oubli de manière générale. Le revenge
porn est le fait de diffuser des images, par exemple, de son ex pour se venger et ces
photos ont un caractère sexuel. Dans ces cas-là, ils admettent aussi le
déréférencement.
- Contestation de la délégation au secteur privé : Il y a des critères qui seront mis en
place pour guider cette mise en balance. Qui effectue la mise en balance ?
o Responsable du traitement.
o Autorité de contrôle de protection des données.
o Tribunal.
- Quelle extension ? On sait que cela ne s’applique pas au site « .com ». En Belgique, ce
n’est possible que pour les sites « .be », on regarde juste le pays dans lequel vit la
personne, mais on n’étend pas aux sites internationaux.
Exemples de demandes de droit à l’oubli :
Ex 1 : Une personne (Belgique) a demandé de supprimer un lien vers un article relatif à un
concours auquel elle a participé étant mineure : Google a supprimé les résultats de recherche
de la page comportant son nom.
Ex 2 : Une personne (> Belgique) déclarée coupable d'un crime grave au cours des cinq
dernières années, mais dont la condamnation a été annulée en appel a demandé de retirer un
article relatif à l'incident.  suppression de la page en question des résultats de recherche
correspondant au nom de l'individu
Ex 3 : Après la suppression d’un article d’actualité concernant un délit mineur, le journal UK a
publié un article sur la suppression. L’information commissionner’s office a ordonné à google
de supprimer des résultats de recherche le deuxième article comportant le nom de l’accusé.
Il y a eu suppression de la référence de l’article des résultats de recherche correspondant au
nom de l’individu.
Ex 4 : Une femme (Italie) a demandé la suppression d’un article vieux de plusieurs décennies
sur l’assassinat de son mari et dans lequel son nom apparaissait. Google a supprimé des
résultats de recherche la page comportant son nom.
Ex 5 : Un activiste politique (> Lettonie) poignardé lors d'une manifestation a demandé de
supprimer un lien vers un article relatif à l'incident. ➔Suppression de la page en question des
résultats de recherche correspondant au nom de la victime.
Ex 6 : Idem pour victime de viol en Allemagne.
Ex 7 : Un fonctionnaire (UK) a demandé de supprimer un lien vers la pétition d’une
organisation étudiante exigeant sa démission. On n’a pas supprimé la page des résultats de
recherche.
Ex 8 : Un homme d'affaires célèbre (> Pologne) a demandé de retirer des articles relatifs à son
procès contre un journal. ➔Pas supprimé les articles en question des résultats de recherche.
RESUME :
34
Le droit à l’oubli numérique est le droit à ne pas voir rappeler des données de son passé. C’est
le droit au remords et à changer d’avis. C’est aussi le devoir d’effacer les données plus
nécessaire ou non-pertinentes ou excessives soit spontanément par application du principe
de finalité soit à la demande par application du droit de rectification/d’effacement. Il y a le
droit de s’opposer au traitement des données. On a donc une mise en balance.
Quel est l’effet vis-à-vis des moteurs de recherche ? Il n’y a plus de référencement quand la
demande est faite à partir des nom-prénom.
Quel est l’effet vis-à-vis des sites web ? 1) effacement 2) anonymisation 3) restriction de
l’accès 4) information additionnelle (avertissement, point de vue du sujet).
Il existe un droit à l’oubli spécifique. Par exemple, on a, en France, la loi n°2016-41 du 26
janvier 2016 de modernisation de notre système de santé. Dans ce cas, le droit à l’oubli est
destiné à permettre à d’ex-malades d’avoir accès aux assurances et prêts bancaires sans
suppression ni exclusion de la garantie. Le délai maximal est de 10 ans après la fin des
traitements sans rechute. Il existe des délais inférieurs (parfois un an, deux ans, trois ans,
quatre ans, 5 ans) pour cinq types de cancers et les hépatites C. Pour les mineurs, le délai
maximal est de 5 ans après la fin des traitements.
Chapitre 3 : Les emails : droit à la confidentialité et droit de la preuve.

Section 1. Notion
Définition de courrier électronique (article 2 de la loi du 11 mars 2003) : Tout message sous
forme texte, de voix, de son ou d’image envoyé par un réseau public de communication qui
peut être stocké dans le réseau ou dans l’équipement terminal du destinataire jusqu’à ce que
ce dernier le récupère.
Section 2. Protection de la vie privée/confidentialité
Deux types de problèmes : dans le milieu du travail et dans les enquêtes.
1) Milieu du travail
Technologies de l’information et de la communication (TIC) = facteur de décloisonnement
entre vie privée et vie professionnelle :
- Caractère bien souvent « mixte » des e.mails : Dans des mails professionnels (à des
collègues), on ajoute une blague ou on demande comment s’est passé le week-end,
etc.
- Usage de la messagerie professionnelle à des fins privées : On utilise l’adresse mail
professionnelle pour envoyer des mails privés.
Protection de la vie privée applicable sur le lieu de travail : Cfr. arrêt Cour européenne des
droits de l’homme Niermietz : La vie privée qui protège les relations interprofessionnelles vaut
aussi sur le lieu de travail.
2) Enquêtes
Enquêtes pénales/procès civils privilégient l’intrusion dans le courrier électronique.
35
➔Dans tous ces cas, on a des atteintes à la confidentialité des communications électroniques
§1. Protection de la vie privée
On a deux aspects de la vie privée :
1) Protection des données à caractère personnel : Respect de la loi de 1992 pour traiter
des données.
2) Secret des communications électroniques : Respect de la loi de 2005.
Est-ce que la loi sur la vie privée de 1992 s’applique ?
- Données à caractère personnel ? Est-ce que des mails sont des données à caractère
personnel ? Une donnée à caractère personnel est toute information qui peut faire un
lien avec une personne identifiable. Donc un mail est une donnée à caractère personne
de par son contenu mais aussi par l’identifiant de l’adresse mail (mon adresse mail fait
un lien avec ma personne).
- Traitement ? Le traitement consiste en toute opération (écrire mail, l’envoyer,
transiter le message, etc.). Donc on a un traitement des données à caractère
personnel.
- Usage à des fins privées ? Pour des fins/usages à caractère personnel et domestique,
on sort de la loi.
Il ne faut pas oublier les trois grands principes :
- Principe de finalité
- Traitement doit être proportionné : Soit on a le consentement des personnes et donc
on peut accéder aux mails, soit c’est nécessaire pour un contrat, soit c’est prévu par
une loi (ex : loi d’archivage) soit on peut avoir accès aux mails grâce au principe de
proportionnalité et la mise en balance (pour une question de sécurité, on a accès aux
mails).
- Traitement doit être transparent : Pour ouvrir les boîtes mails des individus, il faut
informer les personnes concernées. Par exemple, pour l’employeur, il faut que cela
soit prévu dans la Charte.
Quid de la loi du 13 juin 2005 sur les communications électroniques ?
< Secret des communications électroniques.
Sans le consentement des personnes parties à la communication, il n’y a pas de prise de
connaissance de :
- L’existence d’une information transmise : On cache le message.
- L’identité des personnes parties à la communication : On cache les personnes qui
envoient les messages.
- Les données de communications.
- Et pas de stockage de ces informations.
36
Art 124 de cette loi du 13 juin 2005 : « S'il n'y est pas autorisé par toutes les personnes
directement ou indirectement concernées, nul ne peut : 1° prendre intentionnellement
connaissance de l'existence d'une information de toute nature transmise par voie de
communication électronique et qui ne lui est pas destinée personnellement; 2° identifier
intentionnellement les personnes concernées par la transmission de l'information et son
contenu; 3° sans préjudice de l'application des articles 122 et 123 prendre connaissance
intentionnellement de données en matière de communications électroniques et relatives à
une autre personne; 4° modifier, supprimer, révéler, stocker ou faire un usage quelconque de
l'information, de l'identification ou des données obtenues intentionnellement ou non».
Quelle est l’étendue de la protection ?
✓ C’est applicable à toutes les communications privées (>< publiques).
✓ Protection des données de communication et du contenu.
✓ Requiert une intention pour les actes visés aux alinéas 1, 2 et 3 de l’article 124 de la
LCE (la jurisprudence distingue la prise de connaissance fortuite, des démarches
actives pour prendre connaissance d’une communication) : Si la prise de connaissance
est fortuite, on pourra disposer de l’information (ex : je passe derrière l’employé et
j’arrive à lire ce qu’il écrit). Par contre, si consciemment, on fait quelque chose pour
avoir ces informations, on ne peut pas disposer de l’information.
Des exceptions sont prévues à l’article 125 de la loi du 13 juin 2005 (limitations à la
confidentialité) :
Art. 125. § 1er. Les dispositions de l'article 124 de la présente loi et les articles 259bis et 314bis
du Code pénal ne sont pas applicables : 1° lorsque la loi permet ou impose l'accomplissement
des actes visés; 2° lorsque les actes visés sont accomplis dans le but exclusif de vérifier le bon
fonctionnement du réseau et d'assurer la bonne exécution d'un service de communications
électroniques; 3° lorsque les actes sont accomplis en vue de permettre l'intervention des
services de secours et d'urgence; 4° lorsque les actes sont accomplis par l'Institut dans le cadre
de sa mission générale de surveillance et de contrôle; 5° lorsque les actes sont accomplis par
le service de médiation; 6° lorsque les actes sont accomplis dans le seul but d’empêcher la
réception de communications électroniques non souhaitées, à condition d'avoir reçu
l'autorisation de l'utilisateur final à cet effet.
En ce qui concerne l’exception à la règle de confidentialité des communications électroniques,
on retrouve, par exemple, la convention collective de travail n°81. Son champ d’application
est limité : Cette CCT est uniquement valable pour le secteur privé et elle permet uniquement
la prise de connaissance et l’utilisation des données de communication et non pas le contenu
des communications.
Les finalités définies dans ma CCT justifient l’utilisation des données de communication (art
5). Quelles sont ces finalités ?
• La prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs

ou susceptibles de porter atteinte à la dignité d’autrui.
37
• La protection des intérêts économiques, commerciaux et financiers de l’entreprise
auxquels est attaché un caractère de confidentialité ainsi que la lutte contre les
pratiques contraires.
• La sécurité et/ou le bon fonctionnement technique des systèmes informatiques en
réseau de l’entreprise, en ce compris le contrôle des coûts y afférents, ainsi que la
protection physique des installations de l'entreprise.
• Le respect de bonne foi des principes et règles d’utilisation des technologies en réseau
fixés dans l’entreprise
1) Proportionnalité
Ce principe exclut les contrôles permanents ou le contrôle immédiat sur des données
individualisées.
2) Transparence
Ce principe prévoit l’information des travailleurs au préalable sur les contrôles passibles
(finalités, modalités, personnel, concerné, identification et prérogatives du personnel de
surveillance, etc.).
Section 3. Emails et droit de la preuve
Certaines applications enregistrent, à notre insu, les échanges et tout ce qui passe dans le
micro ou à proximité de celui-ci.
En ce qui concerne la lentille de la webcam, elle peut filmer à notre insu (c’est pourquoi
beaucoup de personnes mettent un autocollant sur la webcam).
Plusieurs questions juridiques sont attachées aux mails et on peut se demander si les mails
peuvent servir de preuves. Il y a une fragilité technique du mail (on peut falsifier, etc.). Ce
n’est pas une source intègre par rapport à un écrit imprimé et signé.
§1. Règles de preuve
Il faut distinguer les règles de preuve des règles de validité/conformité.
- Règles de preuve
Valeur probante d’un e.mail ? Si le juge ne donne aucune valeur probante au mail, il faut
trouver d’autres preuves. Donc le risque est de ne pas avoir avoir de preuve.
- Règles de validité/conformité
Validité d’un mail lorsqu’un envoi recommandé est exigé pour effectuer une notification ?
Le risque est la nullité de la notification.
Il faut relativiser la question de la preuve car cela marche quand même. Ce n’est pas très solide
(car on peut trafiquer un mail) mais dans la plupart des cas, le mail sera accepté car il ne sera
contesté. Avant d’aller chez le juge, il va marcher entre les parties. A partir du mail, une partie
va prouver à l’autre partie et le problème sera réglé à l’amiable car cette dernière personne
38
ne contestera pas le mail (les personnes ne sont pas machiavéliques au point de se dire que
ce mail ne fonctionnera pas devant le juge).
Donc le mail a une valeur dissuasive avant tout litige, il permet de régler bien des contestations
à l’amiable. Il y a une importante d’une bonne gestion et préservation des mails pour pouvoir
les retrouver à tout moment.
En justice, le mail est utilisé couramment. S’il n’est pas contesté, il vaut pleinement comme
preuve. Et la plupart des mails ne sont pas contestés.
L’usage de la signature électronique met à l’abri de tout souci juridique. La signature
électronique est tout aussi valable qu’une signature écrite. Le niveau de sécurité est le même.
Il existe des cas où les mails seront contestés. Parfois à raison car la personne n’a jamais émis
le mail et parfois parce que la personne est malhonnête. Quid en cas de contestation ? Il faut
distinguer la situation selon que ce soit l’expéditeur ou le destinataire qui conteste.
En cas de contestation par l’expéditeur, il peut contester avoir envoyé le message, ou il peut
admettre avoir envoyé un mail mais contester le contenu ou contester la date/les délais du
mail.
En cas de contestation par le destinataire, il peut contester avoir reçu le message, ou il peut
admettre avoir reçu un mail mais contester le contenu en disant que le message disait autre
chose ou contester la date/ les délais du message. Enfin, il peut dire que le message n’avait
pas de pièce jointe.
§2. Enjeux de la preuve
Quels sont les enjeux de la preuve ?
S’il n’y a pas de preuve, il n’y a pas de droit. Le juge a besoin de preuve, il faut une trace. Sinon,
le juge ne pourra pas rendre la justice.
La preuve juridique est à distinguer de la preuve scientifique : La preuve en droit n’apporte
qu’une probabilité, une vraisemblance et rarement une certitude. La preuve scientifique
apporte la certitude (tel composant chimique avec tel composant chimique va réagir et
donner un résultat certain).
Le problème de la preuve se pose lorsque les relations sont litigieuses. Donc la preuve s’inscrit
dans un litige. Cela implique plusieurs choses :
- Contexte litigieux : Le but est de convaincre le juge.
- Le juge est obligé de statuer.
- Même en l’absence de certitude.
- Sur la base des probabilités/vraisemblances.
Le juge est souverain dans l’appréciation des preuves (mais conformément à des règles
précises). Il doit éviter l’arbitraire.
§3. Raisonnement
39
Quand on se demande si un mail est acceptable comme preuve, il faut le faire en 3 temps :
- Recevabilité
- Force probante
- Valeur probante
1) Recevabilité
Est-ce que le mail est admissible ? Pour cela, il faut analyser :
- Si le mail est licite : Règles de vie privée à respecter, etc.
- Quel est le régime de preuve ? Un écrit signé est-il exigé ?
2) Force probante
a) Il faut se demander quelle est la place de l’e-mail dans la hiérarchie des preuves.
Est-il considéré comme un écrit signé ? Comme un commencement de preuve par écrit ?
Comme simple indice/présomption ?
b) Il faut aussi se demander si l’autre partie a un élément de preuve supérieur.
➔Cette question de la force probante sera plus amplement détaillé dans le §4 et suivants.
3) Valeur probante
La preuve est-elle convaincante ?
§4. Plusieurs régimes de preuve
1) Les cas où une preuve écrite est exigée :
La preuve littérale = un écrit signé (art 1341 du code civil). L’écrit signé permet de prouver un
contrat d’une valeur supérieure à 375 euros. Il permet aussi de contredire une autre preuve
par écrit signé. Quelles sont les exceptions à ce principe ?
- L’impossibilité de faire un écrit : dans certaines situations il est impossible de produire
un écrit. Notamment dans certaines relations, on ne fait aucun écrit (par exemple, si
un père avance 1000 euros à son fils, il ne fera aucun écrit). Dans les liens de famille,
cette exception n’est plus possible pour les ex-conjoints (plus de relation de proximité
qui justifierait qu’on ne fasse pas d’écrit).
- Perte de l’écrit (force majeure) : Il faut prouver la force majeure (ex : il y a eu un
incendie et on le prouve par un article de journal, une déclaration à l’assurance, etc.).
La distraction ne fonctionne pas.
- Certaines circonstances justifient que ce soit un usage de ne pas faire d’écrit :
L’exemple des relations entre un médecin et son patient.
- Commencement de preuve par écrit complété d’autres éléments : Le mail va entrer en
ligne de compte ici.
2) Les cas où la preuve est libre.
La preuve est libre pour
40
- Prouver des contrats d’une valeur inférieure à 375 euros.
- Prouver des faits.
- Pour les relations entre commerçants : Dans les relations B to B, la preuve est libre.
- A l’égard d’un commerçant : Lorsqu’on agit contre un commerçant, ce sont les règles
de la nature de l’acte contre qui on agit qui s’applique, donc on applique les règles
propres au commerçant, donc la liberté de la preuve.
- Pour les tiers au contrat.
- Relations de travail.
§5. Régime de preuve littérale – Hiérarchie
Quelle est la hiérarchie de la preuve littérale ?
1) Aveu et serment
2) Ecrit signé
3) Commencement de preuve par écrit – Témoignages – Présomptions
Où place-t-on le mail signé avec signature électronique dans cette hiérarchie ? Cela permet
d’avoir l’identification de l’auteur et d’en être sûr et on est aussi certain que ce dernier donne
son approbation au contenu. Donc la signature électronique apporte l’intégrité du contenu.
➔On le considère donc comme un écrit signé.
Où place-t-on le mail non signé ? S’agit-il d’un commencement de preuve par écrit ? C’est un
commencement de preuve par écrit recevable SI les conditions suivantes sont réunies : 1) Un
écrit 2) Qui émane de celui à qui on l’oppose 2) Qui rend vraisemblable les allégations 4) Qui
est complété d’autres éléments de preuve.
Ce mail non signé peut-il être un simple indice ou une présomption ? C’est un indice
irrecevable dans un régime de preuve par écrit signé. Par contre, dans les autres cas, c’est un
indice recevable mais alors il y aura un pouvoir d’appréciation du juge. Cet indice sera-t-il
convainquant selon le juge ?
Que dit la jurisprudence ? Quelle est la position des juges ? Peu d’e-mails sont contestés donc
il y a très peu de jurisprudence. Cependant, il existe une jurisprudence variable avec des
situations très diverses. Ce sera au cas par cas.
Cour d’appel de Liège, 20 décembre 2005 : Jurisprudence d’un e-mail imprimé. Les faits
concernent un mari trompé qui produit des e-mails imprimés que sa femme aurait envoyés à
son amant. Quelle est la décision du juge ? « Si ces moyens peuvent être considérés comme
un écrit, faut-il qu’ils répondent aux trois fonctions essentielles de l’écrit à savoir : intégrité
(on n’a pas touché au texte avant de l’imprimer), stabilité (est-il stable dans la durée, est-il le
même aujourd’hui qu’avant), durabilité (il saura subsister). » A partir de là, il est évident qu’un
mail peut être modifié par son destinataire, on ne peut pas garantir l’authenticité et
l’identification de l’auteur. Cela a donc été refusé.
Cour d’appel de Gand, 10 mars 2008 : Jurisprudence d’un mail envoyé. Les faits concernent
une entreprise qui prétend avoir envoyé un mail contestant une facture. Son créancier dit ne
l’avoir jamais reçu. Le serveur SMTP interne à l’entreprise produit l’outprint comme preuve à
41
l’égard d’un cocontractant. Le juge a désigné un expert selon lequel l’entreprise pouvait
manipuler son serveur SMTP interne. Le juge n’a donc accordé aucune valeur probante. Quid
si le serveur SMTP est externe (ISP) ? Selon les commentateurs de cette décision, cela permet
seulement une simple présomption d’envoi du message (mais pas de sa réception !).
Cour du travail de Gand, 23 septembre 2003 : On a une jurisprudence qui a permis un
commencement de preuve par écrit (juste en-dessous de l’écrit dans la hiérarchie). Si le
défendeur ne conteste pas l’avoir écrit et ne prétend pas qu’il est falsifié (même s’il prétend
ne pas se souvenir du contenu), et si le contenu est suffisamment éloquent, et s’il est complété
par des présomptions (ficher log, adresse IP,…) alors c’est un commencement de preuve par
écrit. A contrario, si l’expéditeur l’avait contesté, la cour n’aurait pas raisonné de la sorte.
Il y a donc une importance donné à l’appréciation du juge. Il faut le convaincre de la fiabilité.
La manière de gérer les mails est importante. Dans ces manières on a :
- Cc / Cci
o Témoignages confirmant l’envoi/ la réception.
o Difficile de faire une multitude de faux.
o Ne prouve pas que le destinataire l’a reçu.
- Accusé de réception
o Prouve la réception et son moment.
o Dépend du bon vouloir du destinataire : s’il n’accepte pas que sa fonctionne,
cela ne marche pas.
o Ne contient pas le message lui-même, son contenu, etc.
- (Presque) tout imprimer
o Double gestion papier/électronique.
o Perte des éléments d’authenticité électronique.
Section 4. La publicité en ligne
Sur internet, tout est gratuit (même des choses qui étaient payantes avant –ex : guides de
voyage en ligne alors qu’avant, il fallait en acheter-). On paie par une exposition à la publicité.
On paie aussi parce qu’on est individualisé (on n’est plus une masse qui passe sur l’autoroute
sur laquelle une publicité s’affiche sur le côte –cela nous intéresse ou pas, on la voit ou pas-).
Ici, on fait en sorte qu’on voit la publicité mais qu’elle soit aussi intéressante pour nous.
Il y a des textes juridiques qui s’appliquent (sur le net et sur le courrier électronique).
§1. Le contexte
3 maîtres mots pour la publicité sur le net :
- Faible coût : Poster des publicités sur les net est accessible à toutes les bourses.
- Interactivité : C’est les balises qui apparaissent sur l’écran (cela suscite l’interactivité).
- Personnalisation : Ce qui apparait sur notre écran n’apparaitre pas sur l’écran de notre
voisin. Cela dépend de l’activité de notre ordinateur et de nos cookies.
42
Dans ce contexte, on a déjà évoqué les traitements invisibles. Ces traitements invisibles
permettent la collecte de données personnelles et cela constitue d’immenses bandes de
données (on a des profilages précis). On parle de marketing one-to-one.
Il existe des difficultés particulières sur le net : quel est le respect des législations « vie
privée » ? Quel est le fondement légal ? Quid de l’identification et de la transparence ?
§2. Formes de publicité sur le net
- Bannières publicitaires
- Messages interstitiels
- Pops-ups
- Balises méta (metatag)
- Marketing viral
- Publicités 2.0
- Référencement payant
- Undercover marketing
- Courriers
- Etc.
1) Bannières publicitaires
• Bannières GIF simples ou animées

• Bannières rotatives
• Bannières interactives
• Bannières multimédias
• Etc.
Bannières personnalisées : Combinaison des outils techniques. L’internaute rêve de sports
d’hiver. L’internaute va chercher un endroit pour skier. Cette demande vise un site avec une
information. Le site internet va, en réponse à la requête du moteur de recherche, envoyer une
réponse. Parallèlement à cela, un deuxième message part chez des spécialistes du marketing
(ex : Dubble click). Ils préparent des bannières qui vont apparaitre sur nos écrans. Cela part
d’un dialogue secret avec les cyber-marketeurs. Ils ont accès à nos cookies, ce qu’on a fait
avant, etc. Tout se passe en des fractions de seconde.
2) Messages interstitiels
= Annonce publicitaire qui est faite pendant quelques secondes entre l’affichage de deux
pages web.
3) Métatags
= Mots-clefs insérés dans le code source de la page web pour référencement par les moteurs
de recherches.
Quid de la société Nike qui intègre dans ses métatags les noms des sportifs avec lesquels elle
a conclu un contrat de sponsoring ou de publicité ? Ainsi, lorsqu’on tape le nom d’un sportif
sponsorisé par Nike, le site de Nike va apparaitre dans les résultats de la recherche.
43
4) Marketing viral
Il s’agit d’exploiter le principe du bouche-à-oreille dans l’environnement numérique.
Il y a un message d’accroche (humour, jeu, etc.) incitant l’internaute à le propager (partager)
autour de lui. Cela fonctionne bien car on fait plus intention à un message partagé par un ami.
Les avantages du marketing viral sont : 1) Le faible coût. 2) La propagation rapide du message.
Ex : Le buzz de la réaction entre des mentos et du coca a avantagé les deux firmes car tout le
monde a voulu essayer et donc ils ont tous acheté des mentos et du coca.
5) Publicités 2.0
✓ Facebook : profil, groupes, application, événement, …
✓ Youtube / Dailymotion : Vidéos promotionnelles officielles et fausses vidéos amateurs.
Les fausses vidéos amateurs sont des vidéos faites par l’entreprise mais elle fait croire
que ses vidéos ne sont pas faites par elle.
✓ Blogs : Les blogs officiels et les faux blogs amateurs.
✓ Second life : Les panneaux publicitaires dans les rues virtuelles et les magasins ou
évènements virtuels (jeux, meetings, …).
✓ Jeux vidéos en ligne contenant des publicités.
§3. Les textes applicables
Il y a le cadre de la publicité elle-même puis il y a une série de législations qui devront être
prises en compte même si elles ne sont pas pour la publicité à la base.
1) Le code de droit économique : Livres VI et XIV CDE (dans ces livres, on retrouve des textes
sur la publicité : par rapport à la publicité trompeuse et comparative et par rapport aux
pratiques commerciales déloyales). On a aussi le livre XII CDE (par rapport au commerce
électronique).
2) Réglementations particulières : soins de santé (médicaments, cosmétiques,…), alimentation
et autres (alcool, tabac,…), appel à l’épargne (banque, assurance, crédit, …), professions
réglementées (médecins, pharmaciens, avocats, etc., ne peuvent pas faire de publicité). Il y a
aussi des règles de vie privée et de propriété intellectuelle (on ne peut pas utiliser « Tintin »
sur sa publicité sans autorisation et sans payer de droit d’auteur).
Quelle est la notion de publicité ? « Toute forme de communication destinée à promouvoir
directement ou indirectement, des biens, des services, ou l’image d’une entreprise, d’une
organisation ou d’une personne ayant une activité commerciale, industrielle ou artisanale ou
exerçant une activité réglementée. Pour l’application du livre XII, ne constituent pas en tant
que telles de la publicité :
- Les informations permettant l’accès direct à l’activité de l’entreprise, de l’organisation
ou de la personne notamment un nom de domaine, ou une adresse de courrier
électronique ;
- Les communications élaborées d’une manière indépendante, en particulier
lorsqu’elles sont fournies sans contrepartie financière. »
44
(Art I.18, 6° CDE).
Il est intéressant de mentionner ce qui NE constitue PAS de la publicité :
- Le seul fait de détenir un site.
- Le fait de donner de l’information qui ne serait pas de la promotion.
- Le lien hypertexte vers un site web de communication commerciale lorsqu’il est créé
sans lien financier ou autre contrepartie provenant de la personne détenant ce site.
- La mention du nom de domaine, d’une adresse email, d’un logo ou d’une marque
lorsqu’elle est faite sans liens financiers ou autre contrepartie provenant de la
personne détenant ce nom de domaine, de l’adresse e-mail, du logo ou de la marque.
Est-ce que la publicité électorale tombe sous le champ d’application de la publicité ? NON.
Cela a été tranché par le tribunal correctionnel de Bruxelles et la Cour d’appel de Bruxelles. En
effet, la définition de publicité demande « ayant une activité commerciale, industrielle ou
artisanale ou exerçant une activité réglementée (ex : avocat, médecin…) » donc la politique
ne tombe pas sous le champ d’application de la publicité. /!\ Par rapport à la législation vie
privée, on a une conception très large du marketing direct car on n’a pas de dimension
commerciale, c’est toute personne voulant faire une propagande d’un bien ou un service. Cela
inclut les associations caritatives, religieuses ou politiques. Donc la publicité électorale peut
être une infraction à la loi vie privée.
§4. Principes applicables
On a les principes applicables à toutes les publicités (protection du consommateur) ainsi que
les principes spécifiques et les règles complémentaires applicables aux publicités par courrier
électronique.
En ce qui concerne les principes spécifiques, on a plusieurs principes :
- Principe d’identification : il s’agit d’une publicité.
- Principe de transparence et de loyauté : On ne peut pas faire croire qu’on fait la
promotion d’un produit alors que c’est un autre produit qui se cache derrière.
- Principes en matière d’offres promotionnelles, concours, etc. : On peut lancer une
promotion que s’il existe un stock suffisant pour permettre à un grand nombre de
profiter la promotion.
(Art XII.12 CDE).
1) Principe d’identification
Normalement le mot « publicité » ou « advertisement » doit apparaitre. Cependant, il existe
des gens qui ne sont pas transparents et n’annoncent pas loyalement la nature de leur
message. On parle de « undercover marketing ». Cela recouvre l’ensemble des techniques
utilisées par un annonceur afin d’approcher le consommateur dans son environnement sans
qu’il ait conscience d’une démarche commerciale. Par exemple on a les faux blogs (parodiques
ou pas) ou les chats rooms, forums et newsgroups où un individu sous une fausse identité
occupe des espaces de discussion sensibles afin d’y devenir un leader d’opinion (l’individu
peut ainsi promouvoir une marque de façon discrète).
45
2) Principe de loyauté et de transparence
Ex : Affaire « Rent a wife » = application du marketing viral. On évite le mariage, le
concubinage, on fonctionne par le « rent a wife ». On peut louer une femme, deux, trois,
même huit femmes. La publicité permet de « envoyer à un ami ». Et c’est cela le marketing
viral. Il y a moyen d’aller sur une application et on se rend compte que la publicité était pour
accrocher les gens car sur le site officiel, il s’agit de location de DVD. Cela n’a pas été apprécié
et les juges n’ont pas apprécié non plus. Une action en cessation a été introduite devant le
tribunal commercial de Bruxelles. Le tribunal a condamné la campagne car :
- Contrariété à la loi contre discriminations
- contrariété à la loi de protection du consommateur (code L.VI) : la publicité est
trompeuse (l’offre consiste à mettre à disposition une femme, alors qu’est question de
vente de DVD) et la publicité doit comporter les éléments essentiels de la transaction
proposée.
- Contrariété à la loi vie privée : l’accord obtenu under false pretend (consentement
vicié) car les personnes n’avaient pas consenti à ce qu’on utilise leur adresse mail à des
fins commerciales. De plus, celui qui relayait lui-même la publicité ne savait pas ce qu’il
relayait vraiment (vente de DVD).
- Contrariété à la loi services dans la société d’information (CDE L.XII) : il faut en premier
lieu prendre contact avant d’être réellement informé de ce dont il retourne.
§6. Courrier électronique
Inconvénients ?
- Engorgement des boites aux lettres électroniques et coûts de connexion
supplémentaires.
- Risque de saturation des serveurs de mail.
- Intrusion dans la vie privée.
- Désagrément lié au fait que certaines publicités peuvent paraitre agressives ou ne pas
correspondre à l’éthique du destinataire.
A cause de ces inconvénients, on s’est dit qu’il fallait réglementer le courrier électronique.
Spamming = envoi de courrier électronique non-sollicité. On n’a rien demandé et on reçoit
des mails.
- Spam publicitaires : vente de viens et de services (il faut respecter la réglementation
de la publicité).
- Spam non strictement publicitaires : messages à caractère politique, associatif,
religieux, etc. Il y a aussi le phising (spam qui disent « ceci est un message de votre
banque » et c’est faux et ainsi ils récupèrent notre mot de passe car on le retape).,
« lettres nigérianes » (ce sont des lettres où une personne nous demande notre
compte en banque et notre nom dans le but de pouvoir effectuer des prélèvements),
et autres arnaques (loterie, etc.), etc. On sort de la législation publicité mais ces spams
sont soumis aux lois de protection de la vie privée, au droit pénal (pour les
escroqueries, etc.), aux lois de protection des consommateurs, etc.
46
Comment collectent-ils toutes ces adresses mail ?
- Communication volontaire : formulaire, concours, applications, etc.
- Communication par des proches : marketing viral.
- Collecte « sauvage » réalisée sans ou contre le consentement : logiciels de capture
d’adresses. Ces logiciels repèrent les @, et dès qu’il y a un @, alors il y a adresse mail.
Ces logiciels parcourent tout internet pour récupérer toutes ces adresses mail à partir
de la recherche de @.
- Mise à disposition de fichiers d’adresses de courrier électronique : location.
Notion de courrier électronique : « Tout message sous forme de texte, de voix, de son ou
d’image envoyé par un réseau public de communication qui peut être stocké dans le réseau
ou dans l’équipement terminal du destinataire jusqu’à ce que ce dernier le récupère. » Art I.18
2° CDE.
Exemples : mails, sms, message laissé sur une boite vocale, message envoyé par une
messagerie de réseau social, etc.
Comment protège-t-on ? Par le système de soft opt-in (art XII.13 CDE). L’utilisation du courrier
électronique à des fins de publicité est interdite, sans le consentement préalable, libre,
spécifique et informé du destinataire des messages. Le Roi peut prévoir des exceptions. /!\ Il
faut faire attention au mot libre ! Par exemple, on peut nous demander de faire partie du club
« Jules » pour le magasin « Jules » à Namur et si on ne veut pas, alors on va dans un autre
magasin de ce style-là. Mais la question de la liberté est moins évidente lorsque le magasin
est le seul dans son genre car il est spécifique.
On a accepté que le tout premier contact pour avoir l’acceptation se fasse par mail quand
même. On utilise un mail alors que la personne n’a pas encore marqué son accord ! Mais c’est
possible qu’une seule fois, pour le premier contact. C’est pour cela qu’on parle de « soft » opt
in.
Il faut le consentement. Il faut faire attention à la portée du consentement (cela vaut une fois
pour toutes, on ne le redemandera pas à chaque fois) mais ce consentement est spécifique
car il est déterminé et limité. Donc, la portée du consentement à recevoir des mails
publicitaires :
- Vaut une fois pour toutes, dans les limites des finalités du traitement auxquelles il se
rapporte.
- Vaut uniquement à l’égard du prestataire concerné.
- La transmission des données à des tiers est autorisée seulement si la personne
concernée y a expressément consenti.
Le consentement est facile à utiliser mais il ne vaut que dans un certain contexte (il est
cadenassé).
Comment obtenir le consentement ?
- Coupons, courriers papier, formulaires d’inscription, bons de commande, etc.
47
- S’adresser à un réseau de sites avec formulaires d’opt-in que les visiteurs vont remplir
pour recevoir une newsletter, participer à un concours, à un programme, à un jeu,
commander des biens, etc.
Quelles sont les méthodes pour obtenir le consentement et sont-ils conformes à la loi ?
- Devoir cocher pour ne pas recevoir de publicité : Ce n’est plus de l’opt-in, mais du opt-
out donc cela ne fonctionne pas en Europe.
- Devoir décocher une case pré-cochée pour ne pas recevoir de publicité : Donc la case
pour recevoir la publicité est cochée et il faut décocher si on n’est pas d’accord. Ce
n’est pas un consentement adéquat. Du opt-in précoché n’est pas une manifestation
de la volonté car on ne sait pas si on a vu la case ou pas.
- Cocher pour recevoir la publicité : C’est conforme à la loi.
Peut-on solliciter le consentement par mail ? Oui mais à certaines conditions selon le SPF
économie :
✓ Avoir obtenu licitement l’adresse mail.
✓ Demander explicitement le consentement.
✓ Ne pas contenir de message publicitaire.
✓ Donner un droit d’opposition.
✓ Ne pas présumer le consentement de l’absence de réponse : On ne peut pas déduire
du silence du destinataire un consentement.
✓ Si refus ou pas de réponse, ne plus envoyer de demande avant 2 ans.
Affaire Nice People : C’est une entreprise de contact et de rencontres. Pour faire le buzz et
avoir des clients, il y avait un système d’invitation appelé « faites du bruit ! ». 1) Quand on s’y
inscrit, on peut, si on veut, donner accès à notre mail et notre mot de passe afin qu’ils aient
accès à notre carnet d’adresse. 2) Ils peuvent communiquer au site les adresses de leurs
connaissances afin de leur faire parvenir, de leur part, une invitation à faire connaissance avec
Nice People. ➔Ainsi les membres qui acceptent cela, reçoivent des avantages (augmentation
de la cote de popularité, possibilités de rencontres, etc.). Une action a été introduite en justice.
Il y a violation de la loi service société d’information (loi du 11 mars 2003 sur certains aspects
juridiques des services de la société de l’information → CDE L.XII). Le courrier envoyé par Nice
people a bien un caractère publicitaire (marketing viral). Du coup, la société s’est demandé
s’ils pouvaient utiliser le « soft opt-in » donc envoyer un premier mail d’approche pour avoir
le consentement… Et en première instance, le tribunal de commerce a dit non. En appel, à
Liège, la Cour a confirmé cela ! Et si cela avait été envisageable, cela ne remplissait pas les
conditions du soft opt in, à savoir 1) le message doit être dépourvu de caractère publicitaire
2) les adresses e-mail doivent être collectées licitement.
Il y a aussi violation de la LSSI : Propagation du marketing viral. Liège, 19 nov. 2009 : distinction
entre :
- propagation faite par l’annonceur, à l’aide de données fournies par un utilisateur =>
interdit sans consentement de la personne visée.
48
- propagation faite par un utilisateur lui-même (envoi d’un courrier électronique), qui
n’est pas une communication à des fins commerciales.
Note : la tendance « web 2.0 » estompe les frontières entre ces deux catégories, et multiplie
les moyens de propagation par l’internaute lui-même.
Violation de la LPC (Comm. Huy (réf.), 30 juin 2008) : Violation de l’article 94/3 (acte contraire
aux usages honnêtes en matière commerciale par lequel un vendeur porte atteinte aux
intérêts professionnels d'un ou de plusieurs autres vendeurs).
Violation de la LVP (Comm. Huy (réf.) + Liège) • Le gestionnaire du site est bien le responsable
du traitement, et non l’internaute qui fournit les adresses de ses amis. • La balance des
intérêts ne peut être invoquée par celui qui collecte des adresses électronique sans
consentement préalable aux fins de marketing « one to one ».
2 mai
Exceptions au principe du consentement préalable : Le consentement préalable à recevoir des
publicités par courrier électronique n’est pas requis dans deux hypothèses (Art 1er de l’AR du
4 avril 2003 visant à réglementer l’envoi de publicités par courrier électronique) :
- Relation contractuelle préexistante : Si la personne est déjà entrée en contact dans le
passé et qu’elle a déjà montré un intérêt commercial, alors on a une relation
contractuelle préexistante. On aime bien les produits donc c’est normal qu’on reçoive
des publicités sur ces produits.
- Personnes morales (adresses impersonnelles) : On peut envoyer des publicités aux
personnes morales sans leur consentement.
Pour être dispensé de sollicitation du consentement auprès des clients du prestataire, 4
conditions cumulatives doivent être remplies :
- Obtention de l’adresse email directement auprès du client.
- Produits et services analogues : On peut les utiliser sans leur consentement si on fait
de la publicité pour des produits et services analogues à ceux qui ont intéressés le
client.
- Droit d’opposition : On peut demander d’être retiré de la liste sans se justifier.
- Interdit de transmettre l’adresse email à des tiers.
En ce qui concerne les personnes morales, cette exception nécessite que les coordonnées
électroniques qu’il utilise à cette fin soient impersonnelles. DONC : Cela concerne les adresses
email de contact avec la personne morale, certaines services ou branches d’activité (ex :
info@ ; contact@ ; service-clientèle@). Par contre les adresses personnelles attribuées aux
employés de la personne morale et liées à son nom de domaine ne font pas partie de
l’exception.
Le droit d’opposition est consacré à l’article XII.13 §2 CDE. Lors de l’envoi de toute publicité
par courrier électronique, le prestataire :
49
- Fournit une information claire et compréhensible concernant le droit de s’opposer,
pour l’avenir, à recevoir les publicités.
- Indique et met à disposition un moyen approprié d’exercer efficacement ce droit par
voie électronique.
Quid du droit d’opposition ? Quelles sont les modalités d’exercice ? Il se fait de manière simple, sans
frais, ni indication de motifs. Il existe deux possibilités : SOIT directement auprès d’un prestataire
déterminé SOIT auprès d’une liste d’opposition.
En ce qui concerne la lutte contre la fraude consacrée à l’article XII.13 §3 CDE, lors de l’envoi
de publicités par courrier électroniques, il est interdit :
- D’utiliser l’adresse électronique ou l’identité d’un tiers ;
- De falsifier ou de masquer toute information permettant d’identifier l’origine du
message de courrier électronique ou son chemin de transmission ;
- D’encourager le destinataire des messages à visiter des sites internet, enfreignant
l’article XII.12.
Chapitre 4 : Cybersécurité et cybercriminalité

Introduction
La Chine et la Russie sont les plus forts en matière d’attaques.
29 octobre 2013 : Agence Belga, Reuters. USB stick ou USB spy ? La Russie a tenté de voler des
données confidentielles et ce, à l'aide de clés USB et de chargeurs de GSM offerts
gracieusement aux participants du G20.
Section 1. Obligation juridique de sécurité des données
Loi 8 décembre 1992 vie privée : Obligation de sécurité des données + obligation de
notification des violations de données.
Article 16 §4 : « Afin de garantir la sécurité des données à caractère personnel, le responsable du
traitement ainsi que le sous-traitant doivent prendre les mesures techniques et organisationnelles
requises pour protéger les données à caractère personnel contre la destruction accidentelle ou non
autorisée, contre la perte accidentelle ainsi que contre la modification, l'accès et tout autre traitement
non autorisé de données à caractère personnel. Ces mesures doivent assurer un niveau de protection
adéquat, compte tenu, d'une part, de l'état de la technique en la matière et des frais qu'entraîne
l'application de ces mesures et, d'autre part, de la nature des données à protéger et des risques
potentiels. »
Article 5 §1 RGPD principe d’intégrité et de confidentialité des données : « Les données à

caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à
caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la
perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou
organisationnelles appropriées »
50
La politique de sécurité de l’information = document écrit qui comprend la description des
éléments suivants :
- Les démarches d'analyse des risques relatifs aux données à caractère personnel.
- Les priorités retenues et les mécanismes mis en place consécutivement à cette
analyse.
- Le planning de mise en œuvre.
- La description des différentes responsabilités et des règles organisationnelles mises en
place.
- La description du processus de gestion des incidents de sécurité.
- La description du processus de sensibilisation de l'organisme à cette politique.
- Les dispositions retenues afin de maintenir à jour le système de sécurisation une fois
installé
CPVP : Quelles sont les lignes directrices pour la sécurité de l’information de données à
caractère personnel (décembre 2014) ? : Elles sont au nombre de 13 :
o Appréciation du risque.
o Politique de sécurité de l’information.
o Organisation interne/conseiller en sécurité de l’information.
o Classification des informations :
o Données anonymes.
o Données à caractère personnel.
o Données à caractère personnel sensibles.
o Données à caractère personnel codées.
o Ressources humaines : sécurité de l’information avant l’embauche ; pendant la durée
du contrat ; à la fin du contrat.
o Manipulation des supports.
o Contrôle des accès aux données liés aux types de données
o Organisation des accès internes
o Contrôle des accès (log file) : cfr. CJUE, affaire Rijkeboer, mai 2009: obligation
de conserver les données sur les accès pendant une durée raisonnable
o Cryptographie.
o Sécurité de l’environnement physique
o Sécurité du matériel (! BYOD: bring your own device)
o Sécurité opérationnelle: protection contre les logiciels malveillants; sauvegarde
o Sécurité des communications
o Gestion des incidents de sécurité
.CPVP, Recommandation d’initiative relative aux mesures de sécurité à respecter afin de

prévenir les fuites de données, 21 janvier 2013 : « La commission recommande que tout
responsable du traitement respecte scrupuleusement les recommandations ci-dessous et les
applique selon les règles de l’art, de manière à appliquer une politique de sécurité par laquelle
il se conforme à la norme du bon père de famille. »
51
o Evaluation des risques.
o Architecture informatique.
o Sécurité des données à caractère personnel.
o Cycle de développement/production.
o Gestion des incidents.
o Sous-traitance.
Recommandation de la CPVP = règles de l’art
Section 2. Lutte contre la cybercriminalité
L’informatique et les réseaux : support d’infractions conventionnelles et cible d’une
criminalité nouvelle.
Le principe qui régit la matière est le principe de légalité des infractions et des peines (nullum
crimen sine lege, nulla poena sine lege). De plus, le droit pénal est d’interprétation stricte (pas
d’interprétation extensive ou analogique). La seule chose qui est possible, c’est une
interprétation évolutive. Pour permettre une interprétation évolutive, il faut que deux
conditions soient réunies : 1) Respect de l’intention du législateur 2) Compatibilité avec la
lettre du texte.
La Belgique dispose d’une loi « criminalité informatique » depuis novembre 2000 : La loi du 15
mai 2006 a amendé celle-ci pour la rendre conforme à la convention de Budapest de 2001 sur
la cybercriminalité. La loi du 20 novembre 2000 a introduit de nouvelles infractions dans le
code pénal ainsi que de nouvelles méthodes d’enquête dans le code d’instruction criminelle.
Nouvelles incriminations informatiques :
1. - Le faux en informatique.
2. La fraude informatique.
3. L’accès non autorisé à un système.
4. Le sabotage informatique.
52
1) Le faux en informatique
Article 210 bis du code pénal : « Celui qui commet un faux en introduisant dans un système
informatique, en modifiant ou effaçant des données, qui sont stockées, traitées ou transmises
par un système informatique, ou en modifiant par tout moyen technologique l’utilisation
possible des données dans un système informatique, et par là modifie la portée juridique de
telles données »
Article 210bis : dissimulation intentionnelle de la vérité :
- Elément matériel : manipulation (introduction, modification ou effacement) de
données électroniques pertinentes sur le plan juridique.
- Elément moral : dol spécial (intention frauduleuse ou dessein de nuire).
Exemples : falsification/contrefaçon de carte de crédit, faux contrats numériques, inscription
de créances fictives, falsification de données salariales, falsification d’une signature
électronique.
2) La fraude informatique
Article 504quater du Code Pénal : « celui qui cherche à se procurer, pour lui-même ou pour
autrui, avec une intention frauduleuse, un avantage économique illégal en introduisant dans
un système informatique, en modifiant ou effaçant des données qui sont stockées, traitées ou
transmises par un système informatique, ou en modifiant par tout moyen technologique
l’utilisation normale des données dans un système informatique »
Art. 504quater vise : celui qui cherche à se procurer un avantage économique illégal par le
biais d’une manipulation illicite de données informatiques.
Exemples : utilisation de carte de crédit volée à un distributeur automatique de billets,
manipulation par un employé de banque sur les comptes des clients, détournement à des fins
lucratives de fichiers ou programmes confiés dans un but spécifique.
Cryptolocker – ransomware : E-mail avec facture en annexe qui ressemble à une
communication du fournisseur. On ouvre l’annexe. “Toutes vos informations ont été cryptées.
Voulez-vous la clé pour annuler ce cryptage? Dans ce cas, payez-moi 1.000 Bitcoins”. Payer la
rançon? Ou rétablir les informations sur la base d’un backup?
Cas de jurisprudence :
- Cass. (2e ch.) RG P.03.0366.N, 6 mai 2003 : utilisation de carte de carburant volée :
- Anvers 28 mai 2008 : utilisation d’une carte VISA de l’employeur pour des raisons
personnelles et non professionnelles.
- Dépassement irrégulier de la limite de sa propre carte de crédit.
- Anvers 10 septembre 2008 : utilisation d’une carte bancaire au-delà de l’autorisation
donnée par le propriétaire de la carte.
- Beaucoup de cas de skimming (manipulation des terminaux de paiement pour copier
la piste magnétique de la carte et le code).
- Corr. Bruxelles, 6 janvier 2004, inédit.
53
- Corr. Dendermonde, 7 juin 2004, inédit.
- Corr. Brugge, 8 juin 2004, inédit.
3) L’accès non autorisé à un système (hacking)
Article 550bis du Code pénal : § 1er. Celui qui, sachant qu'il n'y est pas autorisé, accède à un
système informatique ou s'y maintient, est puni d'un emprisonnement de trois mois à un an
et d'une amende de vingt-six [euros] à vingt-cinq mille [euros] ou d'une de ces peines
seulement.
Si l'infraction visée à l'alinéa 1er, est commise avec une intention frauduleuse, la peine
d'emprisonnement est de six mois à deux ans.
§ 2. Celui qui, avec une intention frauduleuse ou dans le but de nuire, outrepasse son pouvoir
d'accès à un système informatique, est puni d'un emprisonnement de six mois à deux ans et
d'une amende de vingt-six [euros] à vingt-cinq mille [euros] ou d une de ces peines seulement.
§ 3. Celui qui se trouve dans une des situations visées aux §§ 1er et 2 et qui :
1° soit reprend, de quelque manière que ce soit, les données stockées, traitées ou
transmises par le système informatique;
2° soit fait un usage quelconque d'un système informatique appartenant à un tiers ou
se sert du système informatique pour accéder au système informatique d'un tiers;
3° soit cause un dommage quelconque, même non intentionnellement, au système
informatique ou aux données qui sont stockées traitées ou transmises par ce système ou au
système informatique d'un tiers ou aux données qui sont stockées, traitées ou transmises par
ce système;
est puni d'un emprisonnement de un à trois ans et d'une amende de vingt-six [euros] belges
à cinquante mille [euros] ou d'une de ces peines seulement.
§ 4. La tentative de commettre une des infractions visées aux §§ 1er et 2 est punie des mêmes
peines.
§ 5. Celui qui, indûment, possède, produit, vend, obtient en vue de son utilisation, importe,
diffuse ou met à disposition sous une autre forme, un quelconque dispositif, y compris des
données informatiques, principalement conçu ou adapté pour permettre la commission des
infractions prévues au §§ 1er à 4, est puni d'un emprisonnement de six mois à trois ans et
d'une amende de vingt-six euros à cent mille euros ou d'une de ces peines seulement.
§ 6. Celui qui ordonne la commission d'une des infractions visées aux §§ 1er à 5 ou qui y incite,
est puni d'un emprisonnement de six mois à cinq ans et d'une amende de cent [euros] à deux
cent mille [euros] ou d'une de ces peines seulement.
§ 7. Celui qui, sachant que des données ont été obtenues par la commission d'une des
infractions visées aux §§ 1er à 3, les détient, les révèle à une autre personne ou les divulgue,
ou fait un usage quelconque des données ainsi obtenues, est puni d'un emprisonnement de
54
six mois à trois ans et d'une amende de vingt-six [euros] à cent mille [euros] ou d'une de ces
peines seulement. »
Hacking = Accès non autorisé à un système informatique
On distingue le hacking interne du hacking externe :
- Le hacking interne : sanctionne le fait pour un individu qui dispose d’un droit d’accès à
un système d’en faire un usage dépassant les limites de son autorisation
- Le hacking externe : sanctionne le fait pour un individu d’accéder à un système dans
lequel il n’a aucun droit d’accès
a) Hacking interne
Article 550 bis, §2 du Code pénal : « Celui qui, avec une intention frauduleuse ou dans le but
de nuire, outrepasse son pouvoir d'accès à un système informatique, est puni d'un
emprisonnement de six mois à deux ans et d'une amende de vingt-six [euros] à vingt-cinq mille
[euros] ou d’une de ces peines seulement. »
Éléments matériels :
- Accès à un système informatique.
- Le fait d’outrepasser un droit d’accès dont on dispose : SOIT en accédant à des parties
du système non couvert par l’autorisation SOIT en usant de ce droit à d’autres
fonctions que celles couvertes par l’autorisation.
Élément moral :
- Il faut une intention frauduleuse = intention de se procurer à soi-même ou à autrui un
avantage illicite
OU
- une intention de nuire = une volonté de porter atteinte aux droits ou intérêts d’un tiers
Un accès non autorisé involontaire n’est pas sanctionné sauf s’il a occasionné un dommage
(cf. explication sur les circonstances aggravantes).
Exemple : Utiliser des droits d’accès dont on dispose pour assurer le bon fonctionnement du
système pour prendre connaissance de documents confidentiels de l’entreprise.
b) Hacking externe
Article 550 bis, §1er du Code pénal : « Celui qui, sachant qu'il n'y est pas autorisé, accède à un
système informatique ou s'y maintient, est puni d'un emprisonnement de trois mois à un an
et d'une amende de vingt-six [euros] à vingt-cinq mille [euros] ou d'une de ces peines
seulement.
Si l'infraction visée à l'alinéa 1er, est commise avec une intention frauduleuse, la peine
d'emprisonnement est de six mois à deux ans. »
Éléments matériels :
55
- Accès ou maintien dans un informatique système même non sécurisé
➢ Notion d’accès non définie mais suppose un acte positif (un simple
regard à l’écran d’ordinateur d’un tiers ne suffit pas)
➢ Notion de maintien non définie mais suppose qu’on « reste » dans le
système même après avoir accédé involontairement (incidence par
rapport à l’exigence sur le plan moral)
➢ Notion de système informatique très large :ordinateur, GSM, …
- Absence d’autorisation
Élément moral : Il faut que l’auteur ait agi en connaissance effective et volonté de faire ce qu’il
faisait, ou du moins en acceptant de commettre les éléments matériels. → une erreur,
maladresse, maîtrise insuffisante de l’outil informatique à l’origine des éléments matériels
permettent d’exclure l’existence de infraction. /!\L’intention frauduleuse n’est retenue que
comme une circonstance aggravante
Exemples : Le fait de forcer l’accès au système informatique d’une entreprise, le fait de
parasiter une connexion wi-fi, le fait de prendre connaissance du contenu de fichiers
enregistrés sur une caméra digitale ou un appareil numérique d’un tiers.
9 mai 2017
c) Hacking interne ET hacking externe
Circonstances aggravantes:
- La reprise intentionnelle de données auxquelles on a eu illicitement accès (sur une clé
USB, un CD-Rom ou une photographie d’écran). Ex : espionnage industriel.
- L’utilisation intentionnelle du système (pour « attaquer » un autre ordinateur, voler de
la bande passante, …).
- Le fait de causer un dommage, même de manière non intentionnelle, au système
accédé ou aux données qui y sont stockées ou traitées ou transmises (le dommage
peut résulter de l’altération des données ou même d’un simple ralentissement du
fonctionnement du système).
Aucun dol ou intention frauduleuse n’est nécessaire pour le hacking.
4) Le sabotage informatique
Art. 550ter : vise des actes de destruction
Exemples : destruction de fichiers, fait de rendre inutilisable un système, conception /
diffusion de virus.
On a une répression des « actes préparatoires ». Exemples : conception, mise à disposition ou
diffusion de virus ou de programmes permettant de créer des virus
Elément moral requis : intention frauduleuse et conscience du dommage potentiel.
56
Chapitre 5. Site internet et droits de la propriété intellectuelle
Section 1. Droits de la propriété intellectuelle lors de la création de sites internet

On a des questions relatives aux droits de la propriété intellectuelle. On a des questions sut le
site lui-même (structure, design,…) car on se demande si on obtient des droits sur le site.
Quid du droit des tiers par rapport au contenu du site ? On a des insertions de textes,
d’images, de sons, de logos, … ainsi que des créations de liens vers d’autres sites.
Quid du droit d’auteur et droits voisins ? Selon les articles XI.164 et suivants du CDE, sont
protégés :
- Les œuvres littéraires et artistiques
- Les bases de données
- Les programmes d’ordinateur
1) Œuvre littéraire et artistique
Il n’y a pas de définition dans la loi. Il faut une création de l’esprit et une intervention humaine.
- On parle de création de l’esprit donc il ne faut pas que cela soit produit par le hasard
et il ne faut pas que ce soit une chose existante dans la nature. Il faut un processus
créatif (même si le travail intellectuel est faible).
- On parle de création humaine (pas animal ou machine sans intervention humaine). Il
faut un être humain vivant.
Selon le droit d’auteur, ce qui est protégé :
- Expression et non idée : L’idée est de libre parcours (les idées sont libres) donc l’idée
n’est pas appropriable par le droit d’auteur. Cela vaut aussi pour les principes, théories,
procédures, informations, etc. Ex : Une pure information n’est pas protégée, les
informations brutes ne sont pas protégées tant qu’il n’y a pas une expression brute de
notre personnalité. N.B : Lors de conférences ou lors de réunions où on échange des
idées, les idées ne sont pas protégées donc on peut utiliser un contrat avec une clause
de confidentialité afin qu’elles puissent être protégées.
- Quel qu’en soit le genre : Ecrit, visuel, dessin, enregistrement sonore, film, sculpture,
objet,… Ex : Un simple parapluie peut être protégé par le droit d’auteur.
57
- Quelle qu’en soit la fonction ou la destination : artistique, scientifique, fonctionnelle,
informationnelle, etc. Ex : Des droits d’auteurs existent sur des poubelles, s’il s’agit de
poubelles originales.
- Quelle qu’en soit la qualité esthétique ou la valeur : C’est important ! Au 19ème siècle,
les juges considéraient que seules les œuvres étaient protégées donc les juges
analysaient s’ils s’agissaient bien d’œuvres ou pas (à partir de leurs a priori esthétiques
personnels et subjectifs). Donc on a supprimé cela, peu importe la valeur esthétique,
on est face à une œuvre.
Exemples d’œuvres protégées : les écrits papiers ou numériques tels que les modes d’emploi,
dépliants, textes de site web ou blog ; Les logos, les animations flash, les interfaces
utilisateurs ; Les créations sonores, telles que les sons qui agrémentent un jeu électronique,
une application logicielle, un CD-Rom ou un site web.
Il faut distinguer l’œuvre et le support qui incorpore l’œuvre !
- Œuvre : Immatérielle.
- Support : Matériel
Conséquences :
- Droit d’auteur sur œuvre ≠ droit de propriété sur support.
- Cession du support n’entraine pas cession des droits d’auteur (/!\ à la cession du droit
intellectuel relatif au support).
➔On peut vendre le support (le tableau, la toile) sans pour autant avoir vendu l’œuvre et le
droit d’auteur.
Il existe des droits qu’on ne peut pas vendre dans le droit d’auteur (les droits moraux ne
peuvent pas être cédés).
Quelle est la durée du droit d’auteur : Jusqu’à 70 ans après la mort de l’auteur. A partir du 1er
janvier de l’année qui suit la mort de l’auteur, le délai de 70 ans commence à courir. Ex : Hergé
est décédé le 3 mars 1983 donc Tintin est protégé jusqu’au 31 décembre 2053. L’œuvre tombe
dans le domaine public le 1er janvier 2054.
On parle du droit d’auteur mais on a aussi des droits d’auteurs dont les droits patrimoniaux et
les droits moraux. Les droits patrimoniaux sont liés à l’exploitation de l’œuvre. Les droits
moraux sont liés à la protection de la personnalité de l’auteur (ce sont des droits incessibles
et inaliénables).
Droit d’auteur comprend le droit de reproduction. Il s’agit du droit du titulaire du droit
d’auteur d’autoriser ou interdire la reproduction. Ceci inclut la reproduction partielle,
temporaire, sous quelque forme que ce soit, copie numérique ou changement de format.
Exemples : copie, photo, film, mise sur internet, impression, graver un CD. En matière de
reproduction intellectuelle, on a d’autres exemples tels que l’adaptation, l’imitation ou la
traduction.
58
Exceptions : reproductions techniques transitoires (momentanées) mais il existe une
condition car il faut que ce soit dans le cadre d’une utilisation licite. Ex : copies transitoires lors
du processus techniques de numérisation.
Droit d’auteur comprend le droit de communication au public. C’est un droit exclusif de
l’auteur d’autoriser ou d’interdire toute communication au public de ses œuvres. La mise en
ligne sur internet, l’offre au téléchargement, diffusion devant un public (powerpoint),
insertion dans une présentation.
Les droits moraux comprennent le droit de divulgation (dès qu’on le communique au public),
le droit de paternité/droit d’attribution (droit d’exiger que le nom apparaisse sur tous les
exemplaires ou de ne pas divulguer son vrai nom), le droit d’intégrité (droit au respect de
l’œuvre, ce droit est celui qui veille à ce que la personnalité révélée dans l’œuvre soit intacte).
Le droit d’intégrité est le droit de s’opposer à toute modification de l’œuvre :
✓ Intégrité physique : modification matérielle de l’œuvre
✓ Intégrité d’esprit : contexte de présentation de l’œuvre.
Même en cas de renonciation, l’auteur conserve le droit de s’opposer à toute déformation,
mutilation ou autre modification de l’œuvre préjudiciable à son honneur ou à sa réputation.
Il y a des exceptions : citation, compte rendu d’actualité, enseignement de recherche,
caricature/parodie, copie privée (reproduction dans le cercle de famille) mais il y a, ici, le
problème du peer-to-peer.
2) Bases de données
Le droit intellectuel sur les bases de données a été créé récemment. On s’est rendu compte
que les bases de données devaient être protégées. Le droit d’auteur doit être protégé sur la
structure des données qui présente une originalité dans le choix ou la disposition des
éléments. Le droit sur le contenu est créé et c’est un droit sui generis qui protège l’ensemble
les parties substantielles des données du contenu. La condition est l’investissement
substantiel dans la collecte, la vérification et la présentation des données (pas dans la création
de données). Cela permet d’éviter les extractions de données, cela ne s’étend pas à la reprise
d’une partie non-substantielle de la base de données ni à la consultation. Ici on protège un
contenu. Ex : horaires de bus, on peut imaginer que la TEC ait assez d’originalité pour qu’elle
invoque ce droit, on est donc coincé car on ne peut pas utiliser ces horaires pour les mettre
sur un autre site.
Comment céder les droits intellectuels ? On a la cession et la licence.
- Cession : transfert du droit (patrimonial) à une autre personne (exploitant de l’œuvre,
éditeur, producteur, …).
- Licence : L’auteur conserve son droit mais accord l’autorisation d’utiliser son œuvre (licence
exclusive ou non-exclusive).
En principe, les licences/cessions de droits doivent se faire par un contrat écrit. Si on n’a rien
signé, on conserve nos droits.
59
Quelles sont les conditions d’utilisation ? On a plusieurs possibilités :
1) Aucune restriction car l’œuvre est dans le domaine public ou lorsque on est face à une
licence libre.
2) Licences restrictives : On retrouve a) Limitation de la reproduction à des fins personnelles
b) Interdiction d’usages commerciaux.
3) Clauses d’exclusivité : Partenaire privé dans la numérisation.
CONCLUSION :
✓ Il faut vérifier si les éléments du site sont protégés.
✓ Il faut identifier qui est titulaire des droits.
✓ Il faut s’assurer qu’on obtient les droits dont on a besoin.
o Licence d’utilisation (par exemple pour mettre une œuvre protégée sur son
site) ou
o Cession des droits (par exemple, en tant que client si l’objet du contrat est le
développement d’un site sur mesure).
3) Programmes d’ordinateur
Section 2. Noms de domaine et respect du droit des marques (et autres appellations
protégées)
Choix du nom de domaine (CDE, art. XII.22) : Il est interdit de faire enregistrer, par une
instance agréée officiellement à cet effet, par le truchement ou non d'un intermédiaire, sans
avoir ni droit ni intérêt légitime à l'égard de celui-ci et dans le but de nuire à un tiers ou d'en
tirer indûment profit, un nom de domaine qui soit est identique, soit ressemble au point de
créer un risque de confusion, notamment, à une marque, à une indication géographique ou
une appellation d'origine, à un nom commercial, à une œuvre originale, à une dénomination
sociale ou dénomination d'une association, à un nom patronymique ou à un nom d'entité
géographique appartenant à autrui.
Chapitre 6 : La liberté d’expression sur internet

Section 1. Protection de la liberté d’expression
Art. 19 Pacte international des Droits civils et politiques : « 2. Toute personne a droit à la liberté
d’expression; ce droit comprend la liberté de rechercher, de recevoir et de répandre des informations
et des idées de toute espèce, sans considération de frontières, sous une forme orale, écrite, imprimée
ou artistique […] 3. L’exercice des libertés […] comporte des devoirs spéciaux et des responsabilités
spéciales. Il peut en conséquence être soumis à certaines restrictions qui doivent toutefois être
expressément fixées par la loi et qui sont nécessaires: a) au respect des droits ou de la réputation
d’autrui, b) à la sauvegarde de la sécurité nationale, de la moralité publique […] »
Art. 10 CEDH: « 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté
d’opinion et la liberté de recevoir ou de communiquer des inf. ou des idées sans qu’il puisse y avoir
ingérence d’autorités publiques et sans considération de frontière. 2. L’exercice de ces libertés
60
comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions
restrictions ou sanctions, prévues par la loi, qui constituent des mesures nécessaires dans une société
démocratique, à la sécurité nationale, à la prévention du crime, à la protection de la santé ou de la
morale, à la protection de la réputation ou des droits d’autrui […]. » 1er Amendement Const.
américaine: « Le Congrès ne fera aucune loi restreignant la liberté de parole ou de la presse… »
Section 2. Objet de la liberté d’expression
« [La liberté d’expresion] vaut non seulement pour les "informations" ou "idées" accueillies avec faveur
ou considérées comme inoffensives ou indifférentes, mais aussi pour celles qui heurtent, choquent ou
inquiètent l’État ou une fraction quelconque de la population. Ainsi le veulent le pluralisme, la
tolérance et l’esprit d’ouverture sans lesquels il n’est pas de "société démocratique". (Cour eur. D.H.,
Handyside c. RU, 7 décembre 1976, § 49).
Distinction entre faits et jugements de valeur : La matérialité des premiers peut se prouver. Les
seconds ne se prêtent pas à une démonstration de leur exactitude.
Ex. Cour EDH, affaire Lingens: condamné pour caractère diffamatoire des termes utilisés:
‘opportunisme le plus détestable’, ‘immoral’ et ‘dépourvu de dignité’ ➔ = jugements de valeur.
Toutefois, même un jugement de valeur peut se révéler excessif lorsqu’il s’avère totalement dépourvu
de base factuelle.
Section 3. Internet et liberté d’expression
§1. Internet, support de l’expression
- Sites
- Forums
- Blogs
- Réseaux sociaux
- Outils participatifs (Wikipédia, Youtube)
- Jeux vidéo
- Musique
Internet : 1) obstacles techniques mineurs 2) obstacle économique risible 3) obstacle spatio-temporel

dérisoire.
Evolution de « l’écosystème médiatique » (Conseil de l’Europe) Recommandation CM/Rec(2011)7 du

Comité des Ministres sur une nouvelle conception des médias, 21 septembre 2011 :
- Technologies ont ouvert de nouvelles voies pour la diffusion de contenus à grande échelle et
à un coût bien inférieur, tout en exigeant moins de conditions préalables techniques et
professionnelles.
- Niveau sans précédent d’interaction et de participation des utilisateurs → Nouvelles
opportunités pour la citoyenneté démocratique
- Participation des usagers à la création et à la diffusion d’informations et de contenus,
estompant ainsi les frontières entre communication publique et communication privée
§2. Les méfaits de la liberté d’expression
Internet présente des contenus potentiellement préjudiciables ou illégaux dans des domaines
distincts:
61
- Sécurité nationale (instructions sur confection de bombes)
- Protection des mineurs (pornographie, commercialisation)
- Protection de la dignité humaine (discours racistes,…)
- Sécurité électronique (instructions sur piratage de cartes de crédit,…)
- Protection de la vie privée (harcèlement électronique,…)
- Protection de la réputation (calomnie, diffamation)
- Propriété intellectuelle (diffusion non autorisée d’œuvres)
Contenu illicite, illégal : Contenu/information dont la diffusion est interdite par la loi.
Contenu préjudiciable : Contenu potentiellement offensant pour certains individus. Cela comprend 1)
les contenus autorisés mais à distribution restreinte 2) les contenus offensant pour certains
utilisateurs mais dont la distribution n’est pas restreinte (par l’application du principe de la liberté
d’expression).
§3. Limites possibles à la liberté d’expression
1) Réponses étatiques
Ce qui est illégal hors ligne est illégal en ligne (application du droit pénal, du droit civil).
Ex. droit pénal: interdiction de calomnie, diffamation; répression de l’incitation à la

haine/discrimination; de l’approbation ou la négation du génocide WW2
Ex. droit civil: droit à l’image; droit d’auteur.
Atteinte au droit à l’image et à la vie privée – Google street view :
- Photo d’une montréalaise assise devant chez elle en tenue décontractée (mais visage flouté).
- Plaque d’immatriculation de son véhicule non floutée: possibilité de l’identifier et de la
localiser par recoupements.
- Violation du droit à la vie privée et à la protection de son image et de sa dignité.
- Dommages moraux suite aux moqueries dont elle a fait l’objet au travail, notamment sur sont
décolleté.
- Dommages et intérêts: 2.250 $
Application de lois nationales spécifiques : Ex.: la loi française Hadopi contre le téléchargement illégal.
Problème de l’application mondiale d’une législation nationale.
Problème des limites de la souveraineté.
2) Réponses supranationales
Directive eur. 2000/31 du 8 juin 2000 sur le commerce électronique: (// art. XII.19 et 20 CDE) :
Art. 14. Responsabilité en cas d’hébergement : « Les EM veillent à ce que, en cas de fourniture d’un
service de la société de l’information consistant à stocker des informations fournies par un destinataire
du service, le prestataire ne soit pas responsable des informations stockées, à condition que: a) Le
prestataire n’ait pas effectivement connaissance de l’activité ou de l’information illicites […], ou b) Le
prestataire, dès le moment où il a de telles connaissances, agisse promptement pour retirer les
informations ou rendre l’accès à celles-ci impossible. »
Art. 15. Absence d’obligation générale en matière de surveillance : « 1. Les EM ne doivent pas imposer
aux prestataires, pour la fourniture des services d’hébergement, une obligation générale de surveiller
62
les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement
des […] activités illicites ».
Pas de contrôles a priori systématiques :
- Techniquement malaisé
- Aléatoire quant à efficacité
- Difficilement supportable économiquement
- Et surtout, dégénérant vers forme de censure
Article 15, § 2: Collaboration avec les autorités : « Les EM peuvent instaurer pour les prestataires de
services l’obligation d’informer promptement les autorités publiques compétentes d’activités illicites
alléguées ou d’informations illicites alléguées […]. ».
CJUE, arrêt du 23 mars 2010 (affaires jointes C-236/08 à C-238/08, Google France et Google): pour
vérifier si la responsabilité du prestataire d’un service de référencement peut être limitée au titre de
l’article 14 de la directive 2000/31/CE, il faut examiner si le rôle exercé par ledit prestataire est neutre,
c’est-à-dire si son comportement était purement technique, automatique et passif, impliquant une
absence de connaissance ou de contrôle des données stockées par lui. L’article 14 s’applique au
prestataire d’un service de référencement sur Internet qui ne joue pas un rôle actif de nature à lui
conférer une connaissance ou un contrôle des données stockées. Critères:
- Il y a lieu de relever que la seule circonstance que le service de référencement soit payant, que
Google fixe les modalités de rémunération, ou encore qu’elle donne des renseignements
d’ordre général à ses clients, ne saurait avoir pour effet de priver Google des dérogations en
matière de responsabilité prévues par la directive 2000/31.
- De même, la concordance entre le mot clé sélectionné et le terme de recherche introduit par
un internaute ne suffit pas en soi pour considérer que Google a une connaissance ou un
contrôle des données introduites dans son système par les annonceurs et mises en mémoire
sur son serveur.
- Est en revanche pertinent le rôle joué par Google dans la rédaction du message commercial
accompagnant le lien promotionnel ou dans l’établissement ou la sélection des mots clés.
Lutte internationale contre un type de contenu illicite: la pornographie enfantine
Convention du Conseil de l’Europe n° 185 du 23 novembre 2001 sur la cybercriminalité Titre 3.

Infractions se rapportant au contenu :
Art. 9. Infractions se rapportant à la pornographie enfantine « 1. Chaque Partie adopte les mesures
législatives et autres qui se révèlent nécessaires pour ériger en infractions pénales […]: a) La production
de pornographie enfantine en vue de sa diffusion par le biais d’un système informatique b) L’offre ou
la mise à disposition de pornographie enfantine par le biais d’un système informatique c) La diffusion
ou la transmission de pornographie enfantine… d) Le fait de se procurer ou de procurer à autrui de la
pornogr. enf…. e) La possession de pornographie enfantine. 2. La pornographie enfantine comprend
toute matière pornographique représentant de manière visuelle: a) Un mineur se livrant à un
comportement sexuellement explicite b) Une personne qui apparaît comme un mineur se livrant à un
comportement sexuellement explicite c) Des images réalistes représentant un mineur se livrant à un
comportement sexuellement explicite 3. Le terme « mineur » désigne toute personne âgée de moins
de 18 ans. Une Partie peut exiger une limite d’âge inférieure, qui doit être au minimum de 16 ans. 4.
Une Partie peut se réserver le droit de ne pas appliquer les par. 1 (d), 1 (e), 2 (b) et 2 (c). »
Protocole additionnel facultatif à la Convention internationale des droits de l’enfant :
63
Le 25 mai 2000, l’Assemblée générale des Nations Unies a adopté le Protocole facultatif à la Convention
relative aux droits de l’enfant concernant la vente d’enfants, la prostitution des enfants et la
pornographie mettant en scène des enfants.
Convention du Conseil de l'Europe n° 201 de 2007 sur la protection des enfants contre l'exploitation et
les abus sexuels :
= Convention de Lanzarote, entrée en vigueur le 1er juillet 2010
La convention criminalise les comportements intentionnels suivants :
- la production, l’offre, la mise à disposition, la diffusion, la transmission et la possession de

pornographie enfantine ;
- le fait de se procurer ou de procurer à autrui de la pornographie enfantine ;
- le fait d’accéder, en connaissance de cause et par le biais des technologies de communication
et d’information, à de la pornographie enfantine.
P. ex.: la mise en ligne d’images ou de films, leur distribution, possession, téléchargement ou achat,
quel que soit le support (magazines, cassettes vidéo, DVD, téléphones portables, clés USB, CD).
Innovation: sont poursuivis ceux qui regardent intentionnellement des images d’enfants sur des sites
de pornographie enfantine sans les télécharger ni les enregistrer. L’appréciation du caractère
intentionnel peut se fonder sur la répétition des visualisations et le paiement.
La Convention introduit une nouvelle infraction: le « grooming » ou la sollicitation d’enfants par le biais
des technologies de l’information et de la communication (TIC) afin de leur proposer des rencontres
pour assouvir des pulsions sexuelles.
Directive de l'Union Européenne du 13 décembre 2011 relative à la lutte contre les abus sexuels et
l’exploitation sexuelle des enfants, ainsi que la pédopornographie, abrogeant la décision-cadre
2004/68/JHA :
Reprend l’apport de la Convention de Lanzarote, qu’elle reconnaît comme étant la norme

internationale la plus élevée en ce qui concerne la protection des enfants contre l’exploitation et les
abus sexuels
Contient quelques éléments de valeur ajoutée :
- introduction de nouvelles catégories de délits en droit pénal,

- renforcement de l’harmonisation des sanctions pénales,
- obligation pour les Etats membres d’adopter des mesures d’interdiction d’activités impliquant
des contacts réguliers avec des enfants,
- introduction d’une clause d’immunité pénale au profit des enfants victimes,
- renforcement des critères de compétence pour juger des faits commis hors du territoire des
Etats membres et amélioration de la protection des victimes et de leur famille.
3) Réponses non-juridiques
//Limites de l’action juridique.
Décisions du Parlement européen et du Conseil instituant un programme communautaire pluriannuel

visant à promouvoir une utilisation plus sûre de l'internet et des nouvelles technologies en ligne (Safer
Internet) :
Lignes d’action:
64
- Création d’un réseau de lignes directes pour signaler les contenus illégaux.
- Encourager les codes de conduite.
- Développer des filtres et classements.
- Sensibiliser (les parents, enseignants,…).
Notification et retrait des contenus.
A signaler au niveau du Conseil de l’Europe: Recommandation (2008)6 du Comité des Ministres du

Conseil de l’Europe sur les mesures visant à promouvoir le respect de la liberté d’expression et
d’information au regard des filtres internet.
Censure par des algorithmes.
65

Droit Info

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Droit Info

Transféré par

Droits d'auteur :

Formats disponibles

Droit de l’informatique et de l’internet

L’évaluation consiste en un examen écrit et un billet d’actualité.

Quel est le plan du cours ?

1. La protection de la vie privée et des données à caractère personnel ; le flux transfrontières de

1. Remise en cause de la liberté d’information et de communication

2. Remise en cause du secret de la correspondance et des communications.

Ex : PRISM et les révélations d’E. Snowden.

3. Remise en cause de la liberté de mouvement

Récolte des traces de mouvement. Ex : vidéo-surveillance, carte MOBIB.

4. Remise en cause des droits politiques

Chapitre 1 : La protection de la vie privée et des données personnelles

En résumé : quand la protection des données s’applique-t-elle ?

CJCE (devenue aujourd’hui CJUE), 6 novembre 2003 : La diffusion de données à caractère

5) Champ d’application territorial

• Ce droit d’accès concerne les données intelligibles.

- Droit à l’effacement : Ce droit permet la suppression des données du système. On

- Droit d’opposition : Ce droit d’opposition s’exerce sur demande datée et signée. On a

A propos des décisions automatisées, elles incluent spécifiquement le traitement de

- Droit à la limitation du traitement : Quand on conteste une donnée, la donnée est

Ce droit à la portabilité (art 20) tend à permettre la récupération de données par la

➢ Obligation de tenir un registre interne des traitements.

NEW : de nouveaux recours seront créés en vue de l’entrée en vigueur du RGPD.

1. Notion de flux transfrontières de données •

• Vers un état membre de l’UE et EEE (Norvège, Liechtenstein et Islande)

• • Hors de l’Union européenne [et E.E.E.] 2 conditions:  avoir le droit de faire un

3. Transfert de données intra UE

Transfert de données hors U.E.

Le responsable du traitement fournit à la personne concernée toutes les informations

• Adéquation de la protection d'un pays, un territoire ou un secteur déterminé dans

Pour dire si protection adéquate, Commission tient compte de:

a) l'état de droit, le respect des droits de l'homme et des libertés fondamentales, la

• I. Décision d’adéquation – Commission UE - (Art. 45 GDPR)

 Argentine -> la fille

 Canada: seulement le secteur privé

• Mécanismes de procédure d’application

Question spécifique : Internet

Lindqvist : la responsable et l’autre c’est le sous-traitant.

Une nouvelle exception (en plus des autres) :

II. Garanties appropriées (Art. 46 GDPR)

2001/497/CE: Décision de la Commission du 15 juin 2001 relative aux clauses contractuelles

II. Garanties appropriées (Art. 46 GDPR suite)

 Code de conduite approuvé par la Commission eur. + engagement contraignant de le

 Mécanisme de certification approuvé par la Commission eur. + engagement contraignant

II. Garanties appropriées (Art. 46 GDPR) `

III. Dérogation pour des situations particulières (Art. 49 GDPR)

Chapitre 2. Le droit à l’oubli

• Parfois, une démarche de la personne concernée est nécessaire. On a un droit de

Chapitre 3 : Les emails : droit à la confidentialité et droit de la preuve.

• La prévention de faits illicites ou diffamatoires, de faits contraires aux bonnes mœurs

• Bannières GIF simples ou animées

Chapitre 4 : Cybersécurité et cybercriminalité

Article 5 §1 RGPD principe d’intégrité et de confidentialité des données : « Les données à

.CPVP, Recommandation d’initiative relative aux mesures de sécurité à respecter afin de

Section 1. Droits de la propriété intellectuelle lors de la création de sites internet

Chapitre 6 : La liberté d’expression sur internet

Section 2. Objet de la liberté d’expression

Section 3. Internet et liberté d’expression

§1. Internet, support de l’expression

Internet : 1) obstacles techniques mineurs 2) obstacle économique risible 3) obstacle spatio-temporel

Evolution de « l’écosystème médiatique » (Conseil de l’Europe) Recommandation CM/Rec(2011)7 du

§2. Les méfaits de la liberté d’expression

§3. Limites possibles à la liberté d’expression

Ex. droit pénal: interdiction de calomnie, diffamation; répression de l’incitation à la