Salut,
Le juriste que je suis depuis un moment me laisse à penser qu'il faut
faire appel au syllogisme juridique tout simplement.
Pour porter plainte et/ou assigner quelqu'un au tribunal, il faut :
- Une victime
- Un préjudice (physique, matériel, ou moral).
Les fuites de données, et par extension, le défaut de sécurisation d'un
système automatisée de traitement des données relèvent en général de
plusieurs réglementation et contrat. Normalement on va du plus haut au
plus bas, mais je vais volontairement faire l'inverse car c'est plus
simple pour des non juristes.
Au premier ordre, vous avez les CGV qui vous lie au prestataire, qui
vont en général exclure toute responsabilité quand à ce qu'il advient de
vos données en dehors de ce que la loi impose (broking de donnée privée
tout particulièrement).
Donc en droit commercial, cette clause éteindra toute autre action
juridique contre votre opérateur, vous avez signé en connaissance de
cause, vous assumerez les clauses du contrat (d’où l'importance du
détail concernant les GTI/GTR accessoirement).
Si on remonte d'une strate juridique, il y a la loi, notamment
informatique et liberté qui permet à l’État de faire juger des
opérateurs qui n'ont pas respecté une obligation de moyen évidente
(retenez bien ce terme), comme par exemple : laisse un mot de passe par
défaut, laisser une interface de mgmt accessible sur le net, ou laisser
tous les pouvoirs root à une personne fraichement arrivé. Et croyez moi
que ça suffit déjà largement à faire condamner les entreprises.
Il y a eu beaucoup de rajout sur ces réglementations avec les
différentes lois relevant de la sécurité intérieure notamment. Ce serait
long de faire le détail mais globalement, la bonne sécurisation des
données est rarement évoqué (contrairement au DPI, réquisitions,
coopérations, et autres règles pour les enquêtes).
Au dessus, on a le droit Européen avec le RGPD qui dit qu'on ne doit pas
conserver des données inutilement (et plein d'autres trucs dont
certaines choses logique et d'autres complètement bullshit). Mais le
droit Européen, c'est compliqué à appliquer car il faut que tous les
autres recours nationaux n'ai pas déjà été épuisés (et si un tribunal FR
condamne en dernière instance uniquement). Bref, ça n'arrive presque jamais.
Enfin, on a le code civil dans ce méli mélo de loi qui permet de faire
réparer un dommage qu'on a subit (rappel : physique, matériel ou moral).
Dans le cas d'un vol de données, on est typiquement dans le préjudice
moral, la donnée étant immatérielle.
Or, en préjudice moral, il faut se lever très tôt pour réussir à
démontrer qu'il existe, avec, par exemple, des expertises sur une
potentielle perte de chance lié à la parution des données, ou à un
stresse si intense qu'il empêche de vivre correctement. Bref, c'est très
très compliqué (en droit du travail comme en droit civil, même combat).
En résumé : Les chances de gagner sont infime au civil, et au pénal, il
faut qu'il y ai une faute démontrée (volontaire ou non) dans la manière
de sécuriser le SI. D'ailleurs, NIS2 vient apporter un certain nombre de
"bonnes pratiques" qu'il faut impérativement mettre en place si on est
concerné, afin de pouvoir prouver qu'on a justement mis tous les moyens
en œuvre avant de se faire poutrer. A défaut, l’État et le juge pourront
considérer qu'il y a une faute par manque de moyen (ou de mise en
conformité vis à vis de ce réglement), et imposer une condamnation.
Tant bien même tu pourrais gagner en tant que partie civil, ou en
assignation directe, tu ne pourrais prendre que quelques milliers
d'Euros, tellement la répétition de ces fuites dégrade automatiquement
la valeur des préjudices. "De toute façon monsieur, vos données sont
déjà dans la nature, le mal est donc moins grave avec cette nouvelle
fuite" (oui c'est une conclusion tout à fait possible d'un juge pour
justifier une condamnation avec les éléments que la partie adverse
n'hésitera pas à apporter pour diminuer le préjudice potentiel).
En espérant avoir répondu à tes questions :)
Jérémy
Le 05/09/2025 à 16:39, Stéphane Rivière a écrit :
à titre de curiosité, certains ici (ou ailleurs) ont déjà déposé
plainte pour non sécurisation des données?
C'est une bonne question.
Pour ma part (bonjour Free, SFR au hasard), je ne l'ai pas fait.
J'aurais pu au moins consulter un avocat pour avoir un avis. L'idée
étant qu'en dessous de 80% de chances de gagner, on ne va pas à la foire.
Serais également intéressé d'avoir des avis...
le prestataire de service, a t-il une obligation de moyens, ou de
résultats?
Je suppose qu'on est dans l'obligation de moyens. Ce qui n'est déjà
pas simple. Mais, là encore, j'aimerai avoir un avis plus précis. Il
faudrait creuser dans les derniers jugements voire jurisprudences.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
