On Fri, Sep 5, 2025 at 11:23 PM Jeremy <[email protected]> wrote: > > Salut, > > Le juriste que je suis depuis un moment me laisse à penser qu'il faut > faire appel au syllogisme juridique tout simplement. > > Pour porter plainte et/ou assigner quelqu'un au tribunal, il faut : > - Une victime Moi, et je peux le prouver > - Un préjudice (physique, matériel, ou moral). Des dizaines des tentatives de scam, par email ou telephone. je n ose meme plus repondre au telephone a un numero inconnu. Pour moi le pire c' est le piratage de pôle emploi . . . qu' une société commerciale se fasse pirater ca ne me surprend meme pas, mais quand c est l etat ( qui me prends environ 70 % de la richesse que je génère sans offrir grand chose en retour ) qui se fait voler mes infos personnelles . . . ça m'énerve au plus haut point . . .
> > Les fuites de données, et par extension, le défaut de sécurisation d'un > système automatisée de traitement des données relèvent en général de > plusieurs réglementation et contrat. Normalement on va du plus haut au > plus bas, mais je vais volontairement faire l'inverse car c'est plus > simple pour des non juristes. > Au premier ordre, vous avez les CGV qui vous lie au prestataire, qui > vont en général exclure toute responsabilité quand à ce qu'il advient de > vos données en dehors de ce que la loi impose (broking de donnée privée > tout particulièrement). > Donc en droit commercial, cette clause éteindra toute autre action > juridique contre votre opérateur, vous avez signé en connaissance de > cause, vous assumerez les clauses du contrat (d’où l'importance du > détail concernant les GTI/GTR accessoirement). Et si cest l état qu on attaque ? moi quand pole emploi m a dit qu il falait porter plainte, je leur ai répondu que c est contre eux, et contre l état , que je souhaitais porter plainte . . . plus aucune réponse après ca :p > > Si on remonte d'une strate juridique, il y a la loi, notamment > informatique et liberté qui permet à l’État de faire juger des > opérateurs qui n'ont pas respecté une obligation de moyen évidente > (retenez bien ce terme), comme par exemple : laisse un mot de passe par > défaut, laisser une interface de mgmt accessible sur le net, ou laisser > tous les pouvoirs root à une personne fraichement arrivé. Et croyez moi > que ça suffit déjà largement à faire condamner les entreprises. > Il y a eu beaucoup de rajout sur ces réglementations avec les > différentes lois relevant de la sécurité intérieure notamment. Ce serait > long de faire le détail mais globalement, la bonne sécurisation des > données est rarement évoqué (contrairement au DPI, réquisitions, > coopérations, et autres règles pour les enquêtes). > > Au dessus, on a le droit Européen avec le RGPD qui dit qu'on ne doit pas > conserver des données inutilement (et plein d'autres trucs dont > certaines choses logique et d'autres complètement bullshit). Mais le > droit Européen, c'est compliqué à appliquer car il faut que tous les > autres recours nationaux n'ai pas déjà été épuisés (et si un tribunal FR > condamne en dernière instance uniquement). Bref, ça n'arrive presque jamais. > > Enfin, on a le code civil dans ce méli mélo de loi qui permet de faire > réparer un dommage qu'on a subit (rappel : physique, matériel ou moral). > > Dans le cas d'un vol de données, on est typiquement dans le préjudice > moral, la donnée étant immatérielle. > Or, en préjudice moral, il faut se lever très tôt pour réussir à > démontrer qu'il existe, avec, par exemple, des expertises sur une > potentielle perte de chance lié à la parution des données, ou à un > stresse si intense qu'il empêche de vivre correctement. Bref, c'est très > très compliqué (en droit du travail comme en droit civil, même combat). > > En résumé : Les chances de gagner sont infime au civil, et au pénal, il > faut qu'il y ai une faute démontrée (volontaire ou non) dans la manière > de sécuriser le SI. D'ailleurs, NIS2 vient apporter un certain nombre de > "bonnes pratiques" qu'il faut impérativement mettre en place si on est > concerné, afin de pouvoir prouver qu'on a justement mis tous les moyens > en œuvre avant de se faire poutrer. A défaut, l’État et le juge pourront > considérer qu'il y a une faute par manque de moyen (ou de mise en > conformité vis à vis de ce réglement), et imposer une condamnation. > > Tant bien même tu pourrais gagner en tant que partie civil, ou en > assignation directe, tu ne pourrais prendre que quelques milliers > d'Euros, tellement la répétition de ces fuites dégrade automatiquement > la valeur des préjudices. "De toute façon monsieur, vos données sont > déjà dans la nature, le mal est donc moins grave avec cette nouvelle > fuite" (oui c'est une conclusion tout à fait possible d'un juge pour > justifier une condamnation avec les éléments que la partie adverse > n'hésitera pas à apporter pour diminuer le préjudice potentiel). > > En espérant avoir répondu à tes questions :) > > Jérémy > > Le 05/09/2025 à 16:39, Stéphane Rivière a écrit : > >> à titre de curiosité, certains ici (ou ailleurs) ont déjà déposé > >> plainte pour non sécurisation des données? > > > > C'est une bonne question. > > > > Pour ma part (bonjour Free, SFR au hasard), je ne l'ai pas fait. > > J'aurais pu au moins consulter un avocat pour avoir un avis. L'idée > > étant qu'en dessous de 80% de chances de gagner, on ne va pas à la foire. > > > > Serais également intéressé d'avoir des avis... > > > >> le prestataire de service, a t-il une obligation de moyens, ou de > >> résultats? > > > > Je suppose qu'on est dans l'obligation de moyens. Ce qui n'est déjà > > pas simple. Mais, là encore, j'aimerai avoir un avis plus précis. Il > > faudrait creuser dans les derniers jugements voire jurisprudences. > > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
