En me relisant, je me rend compte que j'oublie une notion importante :
Le RGPD (tout comme toute réglementation Européenne à transposition
nationale) a été réintégré dans le droit national avec ses subtilités,
comme pour d'autres réglementations EU.
Les juges ont tout à fait la latitude de faire appel à ces
transpositions pour permettre de condamner les entreprises (c'est
d'ailleurs le cas notamment sur la condamnation de Google par la France
il y a quelques jours).
Mais sur la question des données personnelles, les actions individuelles
se raccrochent toujours à l'obligation de moyen qu'il faut apporter
devant le juge pour prouver son préjudice, et c'est là, en conclusion,
que réside le véritable problème pour les assignations civile ou partie
civile sur ce type de préjudice.
Jérémy
Le 05/09/2025 à 23:23, Jeremy a écrit :
Salut,
Le juriste que je suis depuis un moment me laisse à penser qu'il faut
faire appel au syllogisme juridique tout simplement.
Pour porter plainte et/ou assigner quelqu'un au tribunal, il faut :
- Une victime
- Un préjudice (physique, matériel, ou moral).
Les fuites de données, et par extension, le défaut de sécurisation
d'un système automatisée de traitement des données relèvent en général
de plusieurs réglementation et contrat. Normalement on va du plus haut
au plus bas, mais je vais volontairement faire l'inverse car c'est
plus simple pour des non juristes.
Au premier ordre, vous avez les CGV qui vous lie au prestataire, qui
vont en général exclure toute responsabilité quand à ce qu'il advient
de vos données en dehors de ce que la loi impose (broking de donnée
privée tout particulièrement).
Donc en droit commercial, cette clause éteindra toute autre action
juridique contre votre opérateur, vous avez signé en connaissance de
cause, vous assumerez les clauses du contrat (d’où l'importance du
détail concernant les GTI/GTR accessoirement).
Si on remonte d'une strate juridique, il y a la loi, notamment
informatique et liberté qui permet à l’État de faire juger des
opérateurs qui n'ont pas respecté une obligation de moyen évidente
(retenez bien ce terme), comme par exemple : laisse un mot de passe
par défaut, laisser une interface de mgmt accessible sur le net, ou
laisser tous les pouvoirs root à une personne fraichement arrivé. Et
croyez moi que ça suffit déjà largement à faire condamner les
entreprises.
Il y a eu beaucoup de rajout sur ces réglementations avec les
différentes lois relevant de la sécurité intérieure notamment. Ce
serait long de faire le détail mais globalement, la bonne sécurisation
des données est rarement évoqué (contrairement au DPI, réquisitions,
coopérations, et autres règles pour les enquêtes).
Au dessus, on a le droit Européen avec le RGPD qui dit qu'on ne doit
pas conserver des données inutilement (et plein d'autres trucs dont
certaines choses logique et d'autres complètement bullshit). Mais le
droit Européen, c'est compliqué à appliquer car il faut que tous les
autres recours nationaux n'ai pas déjà été épuisés (et si un tribunal
FR condamne en dernière instance uniquement). Bref, ça n'arrive
presque jamais.
Enfin, on a le code civil dans ce méli mélo de loi qui permet de faire
réparer un dommage qu'on a subit (rappel : physique, matériel ou moral).
Dans le cas d'un vol de données, on est typiquement dans le préjudice
moral, la donnée étant immatérielle.
Or, en préjudice moral, il faut se lever très tôt pour réussir à
démontrer qu'il existe, avec, par exemple, des expertises sur une
potentielle perte de chance lié à la parution des données, ou à un
stresse si intense qu'il empêche de vivre correctement. Bref, c'est
très très compliqué (en droit du travail comme en droit civil, même
combat).
En résumé : Les chances de gagner sont infime au civil, et au pénal,
il faut qu'il y ai une faute démontrée (volontaire ou non) dans la
manière de sécuriser le SI. D'ailleurs, NIS2 vient apporter un certain
nombre de "bonnes pratiques" qu'il faut impérativement mettre en place
si on est concerné, afin de pouvoir prouver qu'on a justement mis tous
les moyens en œuvre avant de se faire poutrer. A défaut, l’État et le
juge pourront considérer qu'il y a une faute par manque de moyen (ou
de mise en conformité vis à vis de ce réglement), et imposer une
condamnation.
Tant bien même tu pourrais gagner en tant que partie civil, ou en
assignation directe, tu ne pourrais prendre que quelques milliers
d'Euros, tellement la répétition de ces fuites dégrade automatiquement
la valeur des préjudices. "De toute façon monsieur, vos données sont
déjà dans la nature, le mal est donc moins grave avec cette nouvelle
fuite" (oui c'est une conclusion tout à fait possible d'un juge pour
justifier une condamnation avec les éléments que la partie adverse
n'hésitera pas à apporter pour diminuer le préjudice potentiel).
En espérant avoir répondu à tes questions :)
Jérémy
Le 05/09/2025 à 16:39, Stéphane Rivière a écrit :
à titre de curiosité, certains ici (ou ailleurs) ont déjà déposé
plainte pour non sécurisation des données?
C'est une bonne question.
Pour ma part (bonjour Free, SFR au hasard), je ne l'ai pas fait.
J'aurais pu au moins consulter un avocat pour avoir un avis. L'idée
étant qu'en dessous de 80% de chances de gagner, on ne va pas à la
foire.
Serais également intéressé d'avoir des avis...
le prestataire de service, a t-il une obligation de moyens, ou de
résultats?
Je suppose qu'on est dans l'obligation de moyens. Ce qui n'est déjà
pas simple. Mais, là encore, j'aimerai avoir un avis plus précis. Il
faudrait creuser dans les derniers jugements voire jurisprudences.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
