BIBLIOGRAPHIE

1. C. FERAL-SCHUHL, Cyberdroit. Le droit à l’épreuve de l’internet, 7° édition,

Dalloz, 2018.

2. A. LATIL, Le droit du numérique - Une approche par les risques, Dalloz, 2023.

3. M. LE BORLOCH, 100 fiches pour comprendre le droit du numérique, 2e édition,

Bréal editions, Collection 100 Fiches, 2022.

4. F. GORRIEZ ET A. MALAFAYE, Le droit de la cybersécurité, Nuvis - Phebe

Editions, 2020.

5. X. LEONETTI ET C. FERAL-SCHUHL, Cybersécurité mode d'emploi -

Entreprise, monde numérique et protection des données personnelles. 57 fiches
réflexes, PUF, Collection Manuels hors collection, 2022.

6. C. PEREZ ET K. SOKOLOVA, La cybersécurité, Studyrama, Collection #digital,

2022.

7. Y. SALAMON, Cybersécurité et cyberdéfense - enjeux stratégiques, Ellipses, 2020.

8. P. SIRINELLI, Propriété littéraire et artistique et droits voisins, 3° édition, Mémento,

Dalloz, 2015.

9. L. GRYNBAUM, C. LE GOFFIC, L. MORLET-HAIDARA, Droit des activités

numériques, Dalloz, 2014.

10. H. DE POOTER, M. THEY, Les enjeux contemporains des communications

numériques. Aspect de droit international et européen, Editions Pédone, 2020.

11. Y.-M. LARHER, Le droit du travail à l’heure du numérique, Editions Nuvis, Phebe
Editions, 2021.

12. E. PEYROUX ET O. NINOT, La révolution numérique en Afrique, 2019, www.vie-

publique.fr

RAPPORTS
- INTERPOL, Evaluation 2021 des cybermenaces en Afrique. Principales
observations d’Interpol sur la cybercriminalité en Afrique. Octobre 2021,
www.interpol.int
- Ministère de l’intérieur (France), état de la menace liée au numérique 2019, mai
2019, www.vie-publique.fr
- J.-M. MIS, Pour un usage responsable et acceptable par la société des
technologies de sécurité, 2019, www.vie-publique.fr

SITE INTERNET SPECIALISE EN DROIT DES TIC

1
- www.legalis.net
- www.cyberdroit.fr

2
INTRODUCTION GENERALE

Les technologies numériques ont envahi l’ensemble des activités humaines et

bouleversent notre quotidien.
Les sociétés sont confrontées à une disruption numérique majeure, source de progrès mais
également de risques systémiques. En effet, la révolution numérique a bouleversé la manière
dont l’Etat exerce ses prérogatives régaliennes sur son territoire, mettant ainsi à mal la
conception classique de la souveraineté, d’où l’apparition de la notion de souveraineté
numérique, l’économie, d’où l’apparition de la notion d’économie numérique, de commerce
électronique ou d’économie digitale), les modes de vie des populations, les relations sociales,
les habitudes de consommation, etc.
Mais elle a également fait apparaitre de nouvelles menaces sur la sécurité, le respect des
droits et libertés individuels, l’exploitation croissante des données personnelles (traçage sur
internet, biométrie), et la montée en puissance des multinationales qui règnent, sans partage,
sur le terrain de la nouvelle économie (GAFFA), etc.
Le droit, qui se trouve interpellé dans ses fondements traditionnels, ses concepts et dans
son propre mode de raisonnement, ne pouvait pas rester imperméable à cette mutation, à
l’origine de nouveaux défis sur le plan juridique.
Tous les domaines du droit sont touchés par les problématiques des technologies de
l’information et de la communication. Pour faire face aux nouveaux risques engendrés par les
nouvelles technologies de l’information et de la communication, les Etats ont été adopté deux
solutions : soit adapter les législations existantes aux nouvelles technologies de l’information
et de la communication, soit adopter de nouvelles législations pour encadrer ces nouveaux
modes de communication.
Ce qui a donné lieu à la naissance, dans les années 90, d’une nouvelle branche du
droit appelée le droit de l’informatique encore appelé droit du numérique qui est défini
comme l’ensemble des dispositions juridiques applicables aux activités mettant en œuvre un
moyen informatique c’est-à-dire aux moyens de traitement et de transmission de
l’information.
Aujourd’hui, le droit de l’informatique est une matière extrêmement vaste et transversale,
en perpétuelle évolution car ses sources sont dispersées. En effet, étant donné que
l’informatique est utilisée dans un grand nombre d’activités tant privées que professionnelles,
toutes les branches du droit, qu’il s’agisse du droit privé ou du droit public, sont concernées.
- Droit des communications électroniques
 Encadrement juridique des activités des opérateurs de communications
électroniques (cybercafés, opérateurs de téléphonie mobile, FAI, Fournisseurs
d’hébergement)
 Sécurité de l’Etat et communications électroniques (terrorisme, mode de
fabrication des bombes, appel à manifester sur internet)
 Protection des consommateurs et des mineurs (disponibilité du service,
sécurité des communications électroniques, conservation des données de
connexion, protection de la vie privée)
 Responsabilité des opérateurs de communications électroniques (obligation de
fournir des informations à la justice, contenus illicites circulant sur internet)
 Responsabilité de l’internaute
- Droit de l’audiovisuel
 Les contenus audiovisuels circulent sur internet (respect de l’ordre public et
des bonnes mœurs, droit d’auteur, droits de la personnalité)

3
  Certains opérateurs de communications électroniques réalisent des
programmes audiovisuels.
- Droit civil
 Commerce électronique
 Droits de la personnalité (image, vie privée)
 Contrats en ligne (reconnaissance de la signature électronique pour faciliter le
commerce électronique),
 Contrats informatiques
 Objets connectés
 Respect de la vie privée (secret des correspondances, circulation des données à
caractère personnel, cyber-surveillance des employés par l’employeur qui a été
admise en France à condition que les salariés aient été prévenus à l’avance,
géolocalisation avec par exemple le cas de Google Map ou Street view,
réseaux sociaux) ;
- Droit commercial
 Commerce électronique sécurisation des paiements en ligne).
- Droit de la propriété intellectuelle
 Contrefaçon des œuvres ;
 Puces électroniques
 Intelligence artificielle
 Contrefaçon des marques ou des noms de domaine sur internet, etc.) ;
- Droit pénal
 Usurpation d’identité
 Escroquerie en ligne
 Protection des données à caractère personnel
 Infractions de presse (diffamation, incitation à la haine raciale, etc.) ;
 Responsabilité des acteurs de l’internet (opérateur de télécommunication,
fournisseur d’accès, fournisseur d’hébergement, fournisseur de contenus,
moteurs de recherche, gestionnaires de forum de discussion, blogueurs) ;
 Atteintes aux systèmes d’information ;
 Atteintes aux mineurs (pédophilie, droit à l’image)
- Droit du travail
 Vidéosurveillance
 Utilisation des outils informatiques sur le lieu de travail
 Accès de l’employeur aux comptes ouverts sur internet (email, réseaux sociaux)

Par ailleurs, compte tenu de la dimension internationale des nouvelles technologies de

l’information et de la communication, une harmonisation des législations par le biais des
conventions internationales a été rendue nécessaire.

Les sources du droit de l’internet sont multiples et concernent toutes les branches du droit.
1) Les conventions internationales ratifiées par le Cameroun ;
2) Les textes communautaires (Union Africaine, CEMAC, CEEAC) ;
3) La constitution ;
4) Les lois nationales ;
5) L’autorégulation des acteurs de l’internet (chartes et accords professionnels de bonnes
pratiques) ;

4
I. Les conventions et traités internationaux
Les règles de droit international ainsi que les conventions ratifiées par le Cameroun
s’appliquent sur le territoire national. Nous pouvons citer à cet égard les conventions signées
sous l’égide de l’ONU, de l’UIT ou de l’OMC.

1) L’ONU

- Déclaration universelle des droits de l’homme du 10 décembre 1946 (c’est le premier

texte international dont l’objet est de proclamer les droits de l’homme) ;
- Pacte international relatif aux droits citoyens et politiques de 1966 (droit des peuples à
disposer d’eux-mêmes, le droit à la vie, la liberté de pensée et de religion, le droit à
l’intégrité physique, l’interdiction de la torture, l’interdiction de l’esclavage et du travail
forcé, la non rétroactivité de la loi pénale, etc.) ;
- Pacte international relatif aux droits économiques, sociaux et culturels de 1966 (le droit
au travail, le droit à une rémunération juste et équitable, le droit au repos, la liberté
syndicale, le droit à la santé, le droit à l’instruction, etc.).
- La convention internationale relative aux droits de l’enfant adoptée le 20 novembre 1989
par l’assemblée générale de l’ONU (droit à l’éducation, droit à la santé, droit à une
protection et à des soins attentionnés, droit à des lois pénales adaptées à leur âge et à leur
développement).
EX : Conventions internationales protégeant les droits et les libertés individuelles :
liberté d’expression, liberté de création, droit d’accès à l’information, droit au respect de la
vie privée, E-réputation ou droit à l’oubli sur internet, etc.

2) L’Union internationale des télécommunications (UIT)

Les données Internet peuvent circuler sur une gamme variée de supports de communication:
câble téléphoniques de cuivre, câbles à fibres optiques, satellites, micro-ondes, et des liaisons
sans fil. Même le réseau électrique de base peut être utilisé pour relayer le trafic Internet en
utilisant la technologie du courant porteur en ligne.
Tenant compte du fait que la couche des télécommunications assure le trafic Internet, toute
nouvelle règlementation liée aux télécommunications aura inévitablement un impact sur
l’Internet.
L’infrastructure de télécommunications est réglementée au niveau national et au niveau
international par une variété d’organisations publiques et privées. Parmi les organisations
internationales clés impliquées dans la régulation des télécommunications, il y a l’Union
internationale des télécommunications (UIT), qui a développé et des règles détaillées pour
gérer la relation entre opérateurs nationaux, l’allocation du spectre radio, et la gestion du
positionnement des satellites; et l’Organisation Mondiale du Commerce
(OMC), qui a joué un rôle capital dans la libéralisation des marchés des télécommunications
à travers le monde.
La régulation internationale de l’IUT (ITR) de 1998 a facilité la libéralisation internationale
de la tarification et des services et a permis une plus grande créativité dans l’usage des
services au niveau de l’internet, tel que l’utilisation de lignes internationales louées dans le
domaine de l’Internet. Elle a fourni l’une des bases palpables pour la croissance rapide de
l’Internet dans les années 1990.

5
L’UIT définit des normes techniques détaillées non contraignantes, les règlementations
internationales spécifiques des télécommunications, et fournit une assistance aux pays
en développement.

 Le règlement des radiocommunications

Le Règlement établit les principes généraux qui se rapportent a la fourniture et a
l'exploitation des services internationaux de télécommunication offerts au public ainsi qu'aux
moyens sous-jacents de transport internationaux pour les télécommunications utilises pour
fournir ces services II fixe aussi les règles applicables aux administration. Ce Règlement est
établi dans le but de faciliter l'interconnexion et les possibilités d'interfonctionnement a
l'échelle mondiale des moyens de télécommunication et de favoriser le développement
harmonieux des moyens techniques et leur exploitation efficace ainsi que l'efficacité, l'utilité
et la disponibilité pour le public de services internationaux de télécommunication.

 Le Règlement des télécommunications internationales (RTI)

Il énonce des principes visant à garantir l’interconnexion des réseaux et la distribution
efficace et équitable des services de communication électronique.

 Les Recommandations de l’UIT

Sans avoir une force obligatoire comme le Règlement, elles constituent un ensemble de
normes techniques qui définissent les modalités d’exploitation et d’interfonctionnement des
réseaux de télécommunications. Elles acquièrent la force obligatoire en cas de transposition
dans la législation nationale. L’UIT comprend plus de 190 pays membres auxquels il faut
ajouter environ 700 entreprises du secteur privé, les Universités et les régulateurs du secteur
des communications.

3) L’OMC

L’Organisation Mondiale du Commerce(OMC), qui a joué un rôle capital dans la

libéralisation des marchés des télécommunications à travers le monde.
L’Organisation mondiale du commerce (OMC). C’est la seule organisation internationale qui
s’occupe des règles régissant le commerce entre les pays. Sa principale fonction est de
favoriser autant que possible la bonne marche, la prévisibilité et la liberté des échanges.
La libéralisation des marchés nationaux des télécommunications a donné aux grands groupes
de télécommunications telles qu’AT & T, Câble and Wireless, France Telecom, Sprint, et
World Com, l’opportunité d’étendre leur marché à l’échelle mondiale. Comme une grande
partie du trafic Internet est transportée via les infrastructures de télécommunication de ces
sociétés, ces dernières ont une influence importante sur le développement de l’Internet.

a) L’Accord général sur le commerce des services(AGCS)

L’AGCS s’applique à tous les services entrant dans le commerce international, par exemple
les services bancaires, les télécommunications, le tourisme, les services professionnels, etc.
dans lequel sont énoncés les principes régissant le commerce de tous les services (non-
discrimination, libéralisation des marchés ; etc.).

6
- Traitement de la nation la plus favorisée (NPF) Une faveur accordée à l’un doit l’être à
tous. Le principe NPF signifie l’égalité de traitement pour tous les partenaires
commerciaux, selon le principe de la non-discrimination. Dans le cadre de l’AGCS, si un
pays ouvre un secteur à la concurrence étrangère, il doit accorder des possibilités égales
dans ce secteur aux fournisseurs de services de tous les autres membres de l’OMC. Les
services publics sont explicitement exclus de l’accord et aucune disposition de l'AGCS
n’oblige les pouvoirs publics à privatiser les industries de services. En fait, le mot
“privatiser” n’apparaît même pas dans l’AGCS. Celui-ci ne proscrit pas non plus les
monopoles publics ni même les monopoles privés. Cette exclusion constitue un
engagement explicite de la part des gouvernements membres de l’OMC d’autoriser les
services financés sur des fonds publics dans les domaines essentiels relevant de leur
responsabilité. Dans l’accord, les services publics sont définis comme étant les services
qui ne sont pas fournis sur une base commerciale ni en concurrence avec d'autres
fournisseurs. Ces services ne sont pas soumis aux disciplines de l’AGCS, ils ne sont pas
visés par les négociations, et les engagements en matière d’accès aux marchés et de
traitement national (application du même traitement aux sociétés étrangères et nationales)
ne s’appliquent pas à ces services.

 Transparence D’après l’AGCS, les gouvernements doivent publier toutes les

lois et réglementations pertinentes, et créer des points d’information dans leurs
administrations. Les sociétés et gouvernements étrangers peuvent alors
s’adresser à ces points d’information pour se renseigner sur les
réglementations régissant tel ou tel secteur des services. Les gouvernements
doivent aussi notifier à l’OMC tout changement apporté aux réglementations
applicables aux services visés par des engagements spécifiques.

 Non-discrimination dans le secteur des Télécommunications Le secteur des

télécommunications joue un double rôle: il est à la fois un secteur d’activité
économique distinct et un élément de l’infrastructure au service d’autres
activités économiques (par exemple les transferts financiers électroniques).
D’après l’annexe, les gouvernements doivent assurer l’accès sans
discrimination des fournisseurs étrangers de services aux réseaux publics de
télécommunications.

b) L’Annexe à l’Accord général sur le commerce des services relatif aux

télécommunications qui traite des mesures qui affectent l’accès et le recours aux
réseaux et services publics de transport des télécommunications. Elle pose les
principes du droit d’accès aux réseaux de télécommunications et la non-discrimination
entre les fournisseurs de service.

c) L’Accord de l’OMC sur les Aspects de droit de la propriété intellectuelle qui

touchent au commerce

II. Les Textes communautaires (UA, CEMAC, CEEAC)

- La Charte africaine des droits de l’homme et des peuples de 1981. Elle reprend pour
l’essentiel les dispositions des précédentes conventions mais en y ajoutant certains droits
et libertés (le droit au développement

7
- La directive n°09/08/UEAC/133/CM/18 portant harmonisation des régimes juridiques des
activités électroniques dans les Etats membres de la CEMAC.
- Le règlement n°2/08/UEAC/13/CM/18 relatif à l’harmonisation des règlementations des
communications électroniques au sein des Etats membres de la CEMAC entrée en
vigueur le 19 décembre 2008.
- La Loi type relative au cadre juridique de la lutte contre la cybercriminalité dans les états
membres de la CEEAC-CEMAC, adoptée à Libreville le 26 février 2013.
- La Convention du 17 janvier 1992 sur l’harmonisation de la règlementation bancaire en
zone CEMAC

III. Le droit interne

1) La Constitution du 2 juin 1972 révisée le 18 janvier 1996 et 14 avril 2008.

Le préambule de la constitution garantit notamment :

- La Liberté de communication ;
- La Liberté d’expression ;
- La Liberté de religion ;
- La Liberté de la presse ;
- La Liberté syndicale ;
- La Liberté d’association ;
- Le droit de grève ;
- Les droits de l’enfant ;
- Le droit au travail ;
- La présomption d’innocence ;
- Le secret des correspondances ;
- L’égalité de tous les citoyens devant la loi.

2) Les lois et règlements

- La loi n°2010/013 du 21 décembre 2010 régissant les communications

électroniques au Cameroun ;
- La loi n°2015/006 du 20 avril 2015 modifiant et complétant certaines dispositions
de la loi n°2010/013 du 21 décembre 2010 régissant les communications
électroniques au Cameroun ;
- La loi n°2010/012 du 21 décembre 2010 relative à la cybersécurité et la
cybercriminalité au Cameroun ;
- La loi n°2010/021 du 21 décembre 2010 régissant le commerce électronique au
Cameroun ;
- La loi-cadre n°2011/012 du 06 mai 2011 portant protection du consommateur au
Cameroun ;
- Le Décret n°2013/03996/PM du 27 février 2013 fixant les modalités
d’exploitation et de contrôle de l’utilisation des fréquences radioélectriques ;
- Le Décret n°2013/03998/PM du 27 février 2013 fixant les modalités de mise en
œuvre du service universel et du développement des communications
électroniques ;

8
 - Le Décret n°2013/0399/PM du 27 février 2013 fixant les modalités de protection
des consommateurs des services de communications électroniques ;
- La Loi n°2000/011 du 19 décembre 2000 relative au droit d’auteur et aux droits
voisins ;
- L’Accord de Bangui du 2 mars 1977 révisé le 24 février 1999 instituant une
organisation africaine de la propriété intellectuelle (OAPI) ;
- La Loi n° 2014/028 du 23 décembre 2014 portant répression des actes de
terrorisme.
- Le Code pénal
- Le Code civil (Réparation des préjudices subis par les personnes physiques ou
morales – Droit des contrats) ;
- La loi n°2017/012 du 12 juillet 2017 portant Code de justice militaire, etc.

IV. L’AUTOREGULATION

En dehors des normes juridiques, les professionnels de l’internet ont adopté des chartes et des
accords professionnels de bonnes pratiques auxquels il faut ajouter les conditions générales
d’utilisation des réseaux sociaux.
EX : l’inscription sur Facebook, l’ouverture d’un compte sur Twitter ou Google permet
d’accéder aux réseaux sociaux et emporte l’adhésion aux conditions générales d’utilisation du
réseau social.

L’objectif du cours est de vous permettre d’appréhender les enjeux juridiques liés à
l’environnement numérique et d’avoir des notions suffisantes sur les problèmes juridiques
que suscite l’informatisation croissante de la société d’une manière générale, à laquelle
n’échappe pas le continent africain, malgré la persistance de la fracture numérique entre les
pays pauvres et les pays riches.
En tant qu’enseignant d’informatique, et donc d’utilisateur d’outils informatiques, vous
encourrez un certain nombre de risques et vous devez sensibiliser vos élèves sur les dangers
de l’internet, vous devez donc être informé de la dimension juridique de ces activités.

A cet effet, différents thèmes relatifs à ces différentes problématiques seront abordés dans le
cadre de ce cours.

9
THEME 1 – LES DONNEES A CARACTERE
PERSONNEL
Sous-thème 1 - La protection des données à caractère personnel
Sous-thème 2 - Les sanctions de la violation des données à caractère personnel
Sous-thème 3 - L’usurpation d’identité numérique

TEXTES APPLICABLES

 UNION AFRICAINE
Convention de l’union africaine sur la cybersécurité et la protection des données personnelles
adoptée à Malabo le 27 juin 2014 dans le but d’harmoniser les législations des Etats membres
(Convention de Malabo).
Etat des signatures : 8 pays (Bénin, Tchad, Congo, Guinée Bissau, Mauritanie, Sierra Léone,
Sao-Tomé).
Etat des ratifications : 1 pays (Sénégal).

 CEMAC
Directive n°07/08-UEAC-133-CM-18 fixant le cadre juridique de la protection des droits des
utilisateurs des réseaux et services de communications électroniques au sein de la CEMAC.
Règlement n°03 /16-CEMAC-UMAC-CM du 21 décembre 2016 relatif aux systèmes, moyens et
incidents de paiement.

 CAMEROUN
Absence de texte spécifique mais on peut citer les textes suivants :
- Loi n°2010/013 du 21 décembre 2010 régissant les communications électroniques au
Cameroun.
- Décret n°2013/0399/PM du 27 février 2013 fixant les modalités de protection des
consommateurs des services de communications électroniques.
Article 5 : « Les opérateurs de réseaux et les fournisseurs de service garantissent aux
consommateurs des services de communications électroniques (…) la protection des données
à caractère personnel ». Ils doivent notamment permettre aux consommateurs de masquer
leur numéro ou de refuser de figurer dans l’annuaire pour les abonnés qui en font la demande,
et mettre en place un dispositif visant à empêcher l’écoute, l’interception et le stockage non
autorisés des communications et des données de trafic.

 Lois en matière de communications électroniques

 Code pénal
 Code civil, etc.

10
SOUS-THEME 1 - LA PROTECTION DES DONNEES A
CARACTERE PERSONNEL

Avant l'apparition de l'informatique, les fichiers existaient, en général sous forme écrite. Un
fichier est un traitement de données qui s'organise dans un ensemble stable et structuré de données.
Les données d'un fichier sont accessibles selon des critères déterminés.

Avec le développement des nouvelles technologies, d’internet et des réseaux sociaux ces vingt
dernières années, la production de données numériques personnelles et non personnelles a été de plus
en plus nombreuse : textes, photos, vidéos, sons, etc.
On parle aujourd’hui du phénomène de BIG DATA ou mégadonnées pour désigner
l’ensemble des données numériques produites par l’utilisation des nouvelles technologies à
des fins personnelles ou à des fins professionnelles :
- Les données d’entreprises (courriels, documents, bases de données, etc.) ;
- Les contenus publiés sur internet (images, sons, vidéos, textes) ;
- Les données issues des transactions de commerce électronique (achats en ligne,
historique des transactions, dépenses effectuées) ;
- Les échanges sur les réseaux sociaux (Facebook, Instagram, Twitter ou X, Google,
YouTube, Tik Tok, etc.) ;
- Les données transmises par les objets connectés (smartphones, compteurs de gaz ou
d’électricité numériques, etc.) ;
- Les données de géolocalisation ;
- Les données de connexion à travers les cookies (sites visités, heures de connexion,
etc.)

On décrit le big data selon le principe des 3 V :

- Le Volume compte tenu du nombre colossal de données circulant sur les réseaux
numériques,
- La Variété à cause des différents types de données disponibles, qui peuvent être
brutes, structurées, semi structurées ou non structurées,
- La Vélocité qui désigne le fait que ces données sont produites, récoltées et analysées
en temps réel.
On a ajouté 2 autres V, la Vitesse avec laquelle les données sont traitées, et la Valeur car
elles possèdent une valeur intrinsèque.

La question de la protection des données à caractère personnel a été amplifiée au cours de ces
dernières années par le développement des algorithmes et le marché colossal qu’elles
représentent.

On distingue des moyens juridiques et des moyens techniques. Mais avant de les étudier, il
convient au préalable de définir les données à caractère personnel.

I. Définition des données à caractère personnel

Les données à caractère personnel sont définies comme toute information concernant une
personne physique identifiée ou identifiable. Il existe 2 types d’identification :
11
 - L’identification directe (un nom, un prénom, une photo, un enregistrement vocal, etc.)
- L’identification indirecte : dans cette hypothèse, est réputée « identifiable » une
personne physique qui peut être identifiée, notamment par référence à un identifiant
(un numéro d’immatriculation, un numéro de téléphone, un numéro de sécurité
sociale, une adresse postale personnelle ou professionnelle, une adresse IP, un numéro
de carte de paiement, un matricule interne tel que celui des étudiants ou des
fonctionnaires, un identifiant numérique tel qu’une une adresse mail, les données
biométriques telles que les empreintes digitales, l’ADN, le scan de l’iris, la
numérisation des veines de la paume de la main, etc. ).

Parmi les données à caractère personnel, il existe une catégorie spéciale, celle des données
« sensibles » qui bénéficient d’une protection particulière :
- Origine raciale ou ethnique ;
- Opinions politiques ;
- Convictions religieuses ou philosophiques ;
- Appartenance syndicale ;
- Traitement des données génétiques ;
- Données biométriques destinées à vous identifier de manière unique en tant que
personne physique;
- Santé ;
- Vie sexuelle ou orientation sexuelle.

A) Le débat sur la qualification des données a caractère personnel

La liste des données à caractère personnel n’est pas exhaustive. A plusieurs reprises, les
tribunaux ont été amenés à décider si les données objet du litige pouvaient bénéficier de la
qualification et par conséquent de la protection des données à caractère personnel

B) Les moyens par lesquels les données personnelles peuvent être collectées
Il existe différentes formes de violation de la règlementation en matière de protection des
données à caractère personnel.

1. Lors de l’inscription sur les réseaux sociaux.

2. Lors des publications sur les réseaux sociaux (vidéos, photos, textes, sons, etc.).

3. Les cookies qui sont installés sur le disque dur de l’internaute par le gestionnaire du site
afin de collecter des informations telles que les sites et pages consultés, les logiciels installés
et utilisés, les caractéristiques techniques de l’ordinateur. Lors de la connexion suivante, ces
informations sont transmises au gestionnaire du site pour être exploitées. Toutefois,
l’utilisation des cookies peut être parfaitement légitime et dans cette hypothèse, le
gestionnaire du site doit en informer l’internaute et lui donner la possibilité de refuser qu’un
dispositif de connexion soit installé dans son terminal.

4. Les spams ou spamming qui consistent à envoyer des courriers électroniques non sollicités
à des personnes avec lesquelles l’expéditeur n’a jamais eu de contact et dont il a capté

12
l’adresse email de façon irrégulière. Cette forme de communication commerciale est souvent
utilisée par les annonceurs publicitaires.

5. Le phishing ou hameçonnage qui consiste à utiliser l'identité d'une autre personne, d'une
compagnie ou d'une organisation digne de confiance pour demander à la personne de fournir
des renseignements personnels. Cette forme de fraude se fait couramment par des courriels et
des sites web frauduleux, mais aussi par téléphone, par forums de discussion, par publicités
mensongères, etc.

6. Les objets connectés ou internet des objets (IDO)

7. Les fichiers automatisés créés par l’état

8. Les données à caractère personnel concernant la santé

9. Les données à caractère personnel provenant de la surveillance des lieux publics : tic et
sécurité

10. Les logiciels espions ou spyware qui sont introduits dans le terminal de l’utilisateur à son
insu et permettent de collecter des informations personnelles telles que les sites les plus
visités, les mots de passe, etc. ex : affaire PEGASUS.

11. La télésurveillance des examens a distance par les universités, etc.

C) Le traitement des données

Lorsqu’une opération ou un ensemble d’opérations portant sur des données personnelles sont
effectuées, on considère qu’il s’agit d’un traitement de données personnelles qui est défini
comme une opération, ou ensemble d’opérations, portant sur des données personnelles, quel
que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation,
modification, extraction consultation, utilisation, communication par transmission ou
diffusion ou toute autre forme de mise à disposition, rapprochement).
La CNIL donne les actions suivantes à titre d’exemple du traitement des données :
- Tenue d’un fichier de ses clients
- Collecte de coordonnées de prospects via un questionnaire.
- Mise à jour d’un fichier de fournisseurs

Peu importe que ces informations soient confidentielles ou publiques. A noter : pour que ces
données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes
de manière à rendre impossible toute identification de la personne concernée : noms masqués,
visages floutés, etc.

Il existe deux moyens essentiels de protection des données a caractère personnel, les
moyens juridiques qui permettent de sanctionner les violations de données ainsi que les
moyens techniques.

II. Les moyens juridiques de protection des données à caractère personnel

13
Dans les pays disposant d’une législation spéciale, la protection des données à caractère
personnel s’organise autour de 3 règles :
- Les droits de la personne concernée par les données traitées ;
- Les obligations du responsable du traitement de données à caractère personnel ;
- La mise en place d’une autorité de contrôle.

A) LES DROITS DE LA PERSONNE CONCERNEE PAR LES DONNEES

TRAITEES

La personne concernée par un traitement de données à caractère personnel est celle à laquelle
se rapportent les données qui font l’objet du traitement.
La loi accorde à la personne dont les données à caractère personnel font l’objet d’un
traitement un certain nombre de droits auxquels il peut être dérogé dans certains cas.

- Le droit au consentement préalable de la personne concernée : elle doit en

principe donner son consentement avant toute collecte des données personnelles sauf
exception prévue par la loi. Par exemple : le responsable ou le destinataire du
traitement respecte une obligation (obligation pour les opérateurs de téléphonie
mobile d’identifier leurs clients) ou exécute une mission de service public
(recensement des fonctionnaires, des pensionnés), etc.

- Le droit à l’information préalable : les fichiers ne doivent pas être créés à l’insu des
personnes concernées qui doit notamment être informée de la finalité poursuivie par le
traitement (pour les entreprises ou les administrations par exemple, une note de
service doit informer les salariés de la création et de la finalité du fichier). Des
dérogations sont prévues par exemple lorsque les données sont collectées pour le
compte de l’Etat et intéressent la défense nationale ou la sécurité publique.

- Le droit d’opposition : les personnes concernées ont le droit de s’opposer, pour des
raisons légitimes, à ce que des données les concernant fassent l’objet d’un traitement
sauf dans le cas où le traitement obéit à une obligation légale.

- Le droit d’accès aux données : la personne concernée peut interroger le responsable

du traitement pour obtenir la confirmation d’un traitement de ses données
personnelles, pour s’informer sur la finalité du traitement ou pour obtenir la
communication des données qui la concernent. Ce droit peut être limité lorsque les
données intéressent la sûreté de l’Etat, la défense nationale ou la sécurité publique.

- Le droit de rectification : la personne concernée peut demander au responsable du

traitement de corriger les erreurs qu’elle a pu déceler (informations incomplètes,
inexactes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou
la conservation est interdite).

- Le droit à l’oubli : les personnes dont les données font l’objet d’un traitement
disposent d’un droit à l’oubli, selon lequel la conservation des données à caractère

14
 personnel ne doit pas excéder la durée nécessaire aux finalités poursuivies. (Mais il
n’est pas prévu dans toutes les législations).

B) LES OBLIGATIONS DU RESPONSABLE DU TRAITEMENT DE DONNEES

A
CARACTERE PERSONNEL

Il doit respecter des formalités préalables ainsi des obligations liées à la collecte, le traitement
et la conservation des données.
Le traitement est défini comme « toute opération ou tout ensemble d’opérations portant sur
des données à caractère personnel, quel que soit le procédé utilisé, et notamment la collecte,
l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification,
l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou
toute forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le
verrouillage, l’effacement ou la destruction ».
Le responsable du traitement est « la personne physique ou morale qui détermine les finalités
et les moyens de traitement des données à caractère personnel ».
Constitue un fichier de données à caractère personnel « tout ensemble structuré et stable de
données à caractère personnel accessibles selon des critères déterminés ».

1) Les formalités préalables

Le traitement automatisé des informations nominatives doit être déclaré ou soumis à l’avis de
l’autorité de contrôle afin de responsabiliser les utilisateurs des données nominatives, de
permettre le contrôle des responsables de traitement et de garantir les droits des personnes
concernées (procédure de déclaration préalable et procédure d’autorisation).

2) Les obligations du responsable de traitement

- L’obligation de loyauté : un traitement ne peut porter que sur des données à

caractère personnel collectées et traitées de manière loyale et licite.

- L’obligation d’exactitude : les données collectées doivent être exactes, complètes et

mises à jour si nécessaire, par le responsable du traitement.

- L’obligation de respecter la finalité du traitement : les fichiers de données à

caractère personnel sont créés pour atteindre des objectifs précis et ces finalités
doivent être indiquées par le responsable du traitement lors des formalités préalables
effectuées auprès de l’autorité de contrôle. Le détournement de finalité est donc
interdit sauf dans certains cas prévus par la loi : l’intérêt public, la santé, sur
autorisation de la personne concernée ou de l’autorité de contrôle.

- L’obligation de sécurité et de confidentialité : le responsable du traitement doit

prendre toutes les mesures nécessaires pour préserver la sécurité des données et
empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y
aient accès.

- L’obligation de respecter la durée de conservation : les données sont conservées

sous une forme permettant l’identification des personnes concernées pendant une

15
 durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles ont été
collectées ou traitées. L’objectif étant d’éviter les fuites.

3) Les obligations du sous-traitant

Il s’agit de toute personne traitant des données à caractère personnel pour le compte du
responsable du traitement. Il est soumis à une obligation de sécurité et de confidentialité
comme le responsable du traitement.

C) L’AUTORITE DE CONTROLE

Il s’agit de la Commission chargée de la protection des données à caractère personnel dont les
missions consistent à :
- Veiller au respect de la règlementation en matière de données à caractère personnel ;
- Délivrer les récépissés de déclaration et de répondre aux demandes d’avis ;
- Informer les personnes concernées et les responsables de traitement de leurs droits et
de leurs obligations ;
- Contrôler les traitements de données ;
- Sanctionner les manquements constatés, notamment le non-respect des formalités
préalables, le détournement de finalité, la collecte des données à caractère personnel
par un moyen frauduleux, déloyal ou illicite ou encore sans le consentement de la
personne intéressée, en cas de mesures insuffisantes pour garantir la sécurité et la
confidentialité.
Les sanctions infligées aux responsables de traitement sont susceptibles de recours
devant les tribunaux.

1) Le non-respect des formalités préalables : Tous les traitements automatisés de

données personnelles doivent faire l’objet d’une déclaration ou d’une autorisation de
l’autorité de contrôle, à l’exception de cas définis par la loi. Le fait de constituer des
fichiers de données à caractère personnel sans avoir respecté ces formalités constitue
une infraction pénale. De même lorsque la collecte est interdite par rapport à la nature
des données 1
2) L’absence de consentement de la personne concernée : Plusieurs techniques
peuvent être utilisées pour collecter illégalement des données à caractère personnel
sur internet : les logiciels espions, les cookies, les spams ou spamming, le
hameçonnage. La loi sanctionne de la collecte illicite de données.

3) Le non-respect de l’obligation de sécurité des données à caractère personnel

4) Le détournement de finalité : Le traitement doit être réalisé pour des finalités

déterminées, explicites et légitimes conformes à celles qui ont été déclarées à
l’autorité de contrôle. Par conséquent, tout nouveau traitement réalisé à partir de ces
données collectées, incompatible avec ces finalités, est interdit, sauf exception (à des
fins statistiques, de recherche scientifique ou historique ou encore avec le
consentement express des personnes concernées.
5) L’entrave au contrôle de l’ANTIC
6) Violation des droits des personnes
7) Le non-respect des règles de sécurité
8) Protection des bases de données par le droit d’auteur

16
III. Les moyens techniques de protection des données à caractère personnel

Il s’agit de prendre les mesures techniques nécessaires pour éviter la collecte et l’utilisation
abusive des données à caractère personnel en utilisant des antivirus, logiciels légitimes au lieu
des logiciels pirates, etc.
En fonction du type de menace numérique concerné, il existe des fiches disponibles sur
internet qui décrivent les mesures à prendre pour sensibiliser les populations (phishing, etc.).

VOIR FICHES TECHNIQUES DE LA CNIL OU DE CYBERSURVEILLANCE

DISPONIBLES SUR INTERNET.

17
 SOUS-THEME 2 - LA VIOLATION DES DONNEES A
CARACTERE PERSONNEL

La protection des données a caractère personnel est devenue une nécessité à cause des
conséquences de la violation des données. Différentes formes d’atteintes sont recensées : le
vol de données, l’usurpation d’identité numérique avec la création de faux profils sur les
réseaux sociaux, la violation de la vie privée, achats frauduleux en ligne grâce aux données
bancaires du client.
Par ailleurs, le coût des violations de données à caractère personnel est très élevé pour les
entreprises. En 2021, Le coût moyen d'une violation de données était estimé à 4,24 millions
de dollars par incident (frais pour détecter et contenir l’intrusion, mise en œuvre de nouvelles
solutions de sécurité, notification des victimes, indemnisation des victimes).

En cas de violation des données à caractère personnel, il existe deux types de recours : le
recours administratif devant l’autorité de contrôle et le recours judiciaire devant les
tribunaux.

I. Le recours administratif devant l’autorité de contrôle

Dans les pays disposant d’une législation spécifique en matière de protection des données à
caractère personnel, il s’agit de l Commission la Commission chargée de la protection des
données à caractère personnel, dont les missions consistent généralement à :
- Veiller au respect de la règlementation en matière de données à caractère personnel ;
- Délivrer les récépissés de déclaration et de répondre aux demandes d’avis ;
- Informer les personnes concernées et les responsables de traitement de leurs droits et
de leurs obligations ;
- Contrôler les traitements de données ;
- Sanctionner les manquements constatés, notamment le non-respect des formalités
préalables, le détournement de finalité, la collecte des données à caractère personnel
par un moyen frauduleux, déloyal ou illicite ou encore sans le consentement de la
personne intéressée, en cas de mesures insuffisantes pour garantir la sécurité et la
confidentialité.
Les sanctions infligées par l’autorité de contrôle à l’encontre des responsables de traitement
qui ne respectent pas la législation en vigueur sont susceptibles de recours devant les
tribunaux. En général, les incriminations sont prévues par ces législations concernent :

A. Le non-respect des formalités préalables

Tous les traitements automatisés de données personnelles doivent faire l’objet d’une
déclaration ou d’une autorisation de l’autorité de contrôle, à l’exception de cas définis par la
loi. Le fait de constituer des fichiers de données à caractère personnel sans avoir respecté ces
formalités constitue une infraction pénale. De même lorsque la collecte est interdite par
rapport à la nature des données.

18
 B. L’absence de consentement de la personne concernée

Plusieurs techniques peuvent être utilisées pour collecter illégalement des données à caractère
personnel sur internet : les logiciels espions, les cookies, les spams ou spamming, le
Hameçonnage. La loi sanctionne de la collecte illicite de données.

C. Le non-respect de l’obligation de sécurité des données à caractère

personnel

De nombreuses entreprises ont été sanctionnées à cause du vol et de la mise en ligne des
données à la suite d’une cyberattaque ou d’une négligence interne.
Exemples :
- Suppression accidentelle de données médicales conservées par un établissement
de santé et non sauvegardées par ailleurs ;
- Perte d’une clef USB non sécurisée contenant une copie de la base clients d’une
société ;
- Introduction malveillante dans une base de données scolaires et modification des
résultats obtenus par les élèves.

D. Le détournement de finalité

Le traitement doit être réalisé pour des finalités déterminées, explicites et légitimes
conformes à celles qui ont été déclarées à l’autorité de contrôle. Par conséquent, tout nouveau
traitement réalisé à partir de ces données collectées, incompatible avec ces finalités, est
interdit, sauf exception (à des fins statistiques, de recherche scientifique ou historique ou
encore avec le consentement express des personnes concernées.

E. La Violation des droits des personnes

F. L’entrave au contrôle de sécurité

II. Les recours judiciaires

Le Code pénal prévoit différentes incriminations relatives à la collecte illicite ou à

l’utilisation illicite des données à caractère personnel.
Par ailleurs, conformément au droit de la responsabilité civile, toute personne ayant subi un
préjudice du fait d'une violation a le droit d'obtenir du responsable du traitement ou du sous-
traitant réparation pour les dommages matériels, économiques ou moraux.
- Les recours judiciaires en cas d’atteinte aux droits des personnes : vie privée, droit a
l’image, etc.
- Les recours judiciaires en cas d’usurpation d’identité
- Les recours judiciaires concernant l’exercice du droit a l’oubli
- Les sanctions judiciaires prononcées par le tribunal contre les operateurs
o Blocage de site internet
o Obligation de déréférencer les contenus illicites.

19
20