Intelligence artificielle et droit d’auteur : nouvelle décision américaine confirmant l’absence de droits d’auteur sur une image générée uniquement par une intelligence artificielle

Dans l’arrêt Thaler v. Perlmutter n° 23-5233 du 18 mars 2025, la Cour d’appel fédérale du District of Columbia a confirmé qu’une IA qui crée une œuvre de manière autonome ne peut se voir reconnaître la qualité d’auteur au sens du Copyright Act de 1976.

Dans cette affaire, le requérant, Stephen Thaler, a créé une intelligence artificielle (IA) générative appelée « Creativity Machine ». Cette IA a généré une image qu’il a intitulée « A Recent Entrance to Paradise ». Le requérant a déposé une demande d’enregistrement de droit d’auteur pour cette image auprès de l’US Copyright Office (USCO)[1]. Sur la demande, le requérant a indiqué que la Creativity Machine était la seule autrice de l’œuvre, et qu’il en été seulement le propriétaire.

Le Copyright Office a rejeté la demande sur le fondement de l’exigence de la paternité humaine de l’œuvre du Copyright Act de 1976[2] : l’œuvre doit être réalisée en premier lieu par un être humain pour être éligible à l’enregistrement des droits d’auteur. Le requérant a demandé le réexamen de la décision de l’Office devant le Tribunal fédéral, en avançant les mêmes arguments que devant le Copyright Office (notamment qu’il s’agissait d’un travail réalisé sur commande, fondé sur le concept de « work made for hire »[3]), et en ajoutant cette fois qu’il était intervenu au processus de création en donnant des instructions à l’IA.

Le Tribunal fédéral a confirmé la décision du Copyright Office en refusant l’enregistrement de cette image créée par une IA auprès de l’US Copyright Office, sans retenir son intervention avancée au processus de création. Le tribunal a en effet rappelé que sa saisine initiale ne portait que sur la question de savoir si une œuvre générée de manière autonome par une IA était éligible au droit d’auteur.

En outre, l’argument selon lequel le transfert au titre d’un contrat de commande fondé sur le concept de « work made for hire » avancé par le requérant n’a pas été retenu, puisque l’IA n’avait justement pas de droits d’auteur à transférer.

Cette décision rappelle l’exigence fondamentale de l’intervention humaine dans le processus créatif pour se voir octroyer des droits d’auteur. En effet, des œuvres réalisées avec l’IA ont déjà pu bénéficier d’une protection au titre du droit d’auteur, sous réserve pour leur auteur, d’apporter la preuve de leur contribution dans le processus créatif.

Tel a pu être le cas dans la décision Invoke en date du 30 janvier dernier, rendue par l’US Copyright Office, qui a accordé l’enregistrement d’un copyright à la composition graphique digitale « A Single Piece of American Cheese », en raison d’une intervention humaine démontrée et suffisante dans le processus de création de l’œuvre (l’artiste a notamment apporté comme preuve une vidéo en accéléré de la création de l’image et une explication de son intervention).

Bien qu’à ce jour, aucune décision n’ait reconnu, en France, la protection par le droit d’auteur d’une création générée par une IA, il est certain que, dans une affaire similaire, le juge exigera la démonstration d’une intervention humaine pour retenir l’application du droit d’auteur. La difficulté portera sur l’évaluation d’une intervention humaine suffisante, pour reconnaitre la protection par le droit d’auteur. La preuve de cette intervention humaine dans le processus créatif est donc fondamentale, et peut être rapportée par tout élément mettant en avant notamment la complexité de l’intervention, le temps passé sur les prompts, ou encore les étapes post-création telles que l’utilisation de logiciels de retouches.

______

 

[1] Il s’agit de l’Office du droit d’auteur des États-Unis

[2] Le Copyright Act 1976 fait de nombreuses références à la paternité humaine (il est d’ailleurs précisé qu’au décès de l’auteur, certains droits sont transmis aux héritiers, excluant de facto des auteurs non humains)

[3] Le concept américain de « work made for hire », permet de transférer la qualité d’auteur et les droits d’auteur y afférent à une personne physique ou morale dans certains cas précis (il peut s’agir de l’employeur ou de toute personne dans le cadre d’un contrat de commande spécifique)

La preuve génétique est-elle infaillible ? La notion de transfert d’ADN

Lorsqu’une trace ADN est découverte sur une scène de crime, il peut s’agir soit d’une trace dite « riche » ou de « valeur » (sperme ou sang), soit d’une trace « pauvre ».

On parle alors de trace de contact, c’est-à-dire de cellules épithéliales (cellules recouvrant la peau) déposées sur un objet après sa manipulation.

Pour autant : est-il obligatoirement vrai qu’un contact direct a eu lieu entre la personne à l’origine de la trace ADN et l’objet ?

À cette interrogation, il convient de répondre par la négative puisqu’il existe des transferts d’ADN (), phénomène déjà mis en évidence dans plusieurs dossiers criminels (II°).

 

I. Classification des transferts d’ADN

Le transfert primaire d’ADN est la transmission d’un tissu biologique (sang, sperme, cellules épithéliales) sur un support.

Il s’agit de la preuve génétique la plus probante puisqu’il est possible de faire un lien direct entre la personne et le support, l’individu ayant touché l’objet analysé.

En revanche, le transfert secondaire d’ADN implique que l’ADN d’un individu se retrouve, sans contact direct, sur un support ou sur une tierce personne.

Cela suppose qu’un vecteur intermédiaire (objet ou personne) est responsable de la diffusion des cellules du donneur initial.

Le cas de figure classique est lorsqu’une personne transporte sur lui l’ADN d’un autre individu qui le dépose sur une troisième personne ou un objet.

De la même manière, les transferts peuvent être tertiaires ce qui implique que l’ADN d’une personne ait été transmis sur un support ou une personne par deux vecteurs.

Ces dernières hypothèses démontrent les limites de la preuve génétique en matière pénale.

Face à un possible transfert d’ADN, la preuve génétique ne peut qu’être perçue comme une orientation d’enquête et non une preuve irréfutable.

Ainsi, il revient aux experts, magistrats et avocats de s’interroger, à la lumière des éléments du dossier, sur l’activité à la source de la trace relevée et l’identité probable du déposant de celle-ci [1].

 

II. Illustrations de transfert d’ADN en procédure pénale

Au cours d’investigations sur un crime commis en région parisienne, une empreinte génétique était découverte sur un verre saisi sur la scène de crime.

Cette empreinte génétique était, dans un second temps, rapprochée avec le profil génétique d’un individu.

Or, il s’avérait que ce dernier ne connaissait pas la victime et, surtout, n’avait jamais mis les pieds à son domicile, en outre, il disposait d’un solide alibi au moment des faits.

Après enquête, il ressortait que cet homme avait, le jour des faits, serré la main du véritable meurtrier dans un bar et que par la suite ce dernier avait déposé l’ADN de l’homme sur le verre, ce qui constitue un exemple de transfert secondaire d’ADN.

Récemment, la Cour d’appel d’Aix-en-Provence relaxait un prévenu en motivant sa décision sur cette même notion[2].

Dans le cadre d’investigations en lien avec une agression violente, un suspect était identifié par la présence de son profil génétique sur la doudoune de la victime, mais également sur les hématomes de celle-ci.

Or, au moment de cette agression, l’individu identifié était entendu par les gendarmes, de sorte qu’il ne pouvait pas être l’auteur recherché.

Afin d’expliquer la présence de son profil génétique, l’individu précisait qu’il avait travaillé, six mois auparavant, chez la victime.

La Cour d’appel relaxait l’individu en prenant pleinement en considération la problématique du transfert secondaire de l’ADN et l’absence d’autres éléments de preuve à charge.

 

Il est donc essentiel de garder à l’esprit que la simple présence de l’ADN d’une personne sur une scène de crime n’est pas nécessairement une preuve directe de sa participation à l’infraction poursuivie.

_____

 

[1] P. REVIRON « Transferts secondaires d’ADN : quand le réel dépasse la fiction », AJ.Pénal, 2024, p.29

[2] CA Aix-en-Provence, Chambre 5-4, 3 octobre 2022, n°22-372

Régularité de l’avis de la commission départementale de coopération intercommunale en formation restreinte relatif à une demande de retrait de communes pour adhérer à un autre groupement de collectivités

Par un arrêt du 21 novembre 2024, la Cour administrative d’appel de Lyon est venue préciser l’étendue et les hypothèses dans lesquelles la commission départementale de coopération intercommunale (CDCI) peut émettre un avis en formation restreinte lorsqu’elle est saisie d’une demande de retrait sur le fondement de l’article L. 5214-26 du Code général des collectivités territoriales (CGCT).

Pour rappel, l’article L. 5214-26 du CGCT prévoit qu’une commune peut être autorisée à se retirer d’une communauté de communes pour adhérer à un autre établissement public de coopération intercommunale (EPCI) à fiscalité propre dont le conseil communautaire a accepté la demande d’adhésion. L’autorisation de retrait est délivrée par l’autorité préfectorale, après avis de la CDCI réunie en formation restreinte, tandis que l’autorisation d’adhésion à un nouvel EPCI est délivrée, par la même autorité, après avis de la CDCI réunie en formation plénière (voir en ce sens : CE, 24 avril 2019, Communauté de communes du Vexin-Thelle, n° 419842).

Dans les faits, trois communes ont demandé à l’autorité préfectorale compétente l’autorisation de se retirer de la communauté de communes dont elles étaient membres pour adhérer à une communauté d’agglomération voisine sur le fondement de l’article L. 5214-26 du CGCT.

La CDCI, réunie en formation restreinte pour se prononcer sur cette demande de retrait, a émis un avis défavorable. L’autorité préfectorale a donc refusé le retrait des trois communes. Et la question de l’adhésion à un nouvel EPCI n’a donc pas été soumis à la CDCI en formation plénière, alors que cette question était inscrite à l’ordre du jour.

Dans cet arrêt, le juge a considéré, dans un premier temps, que la circonstance que les trois communes souhaitaient, après autorisation de leur retrait de la communauté de communes, adhérer à un autre groupement de collectivités, ne justifiait aucunement que la CDCI se réunisse en formation plénière pour examiner leur demande de retrait, en lieu et place de la formation restreinte.

Dans un second temps, la Cour a précisé que la CDCI n’avait pas à se prononcer, en formation plénière, sur l’adhésion des trois communes à un nouvel EPCI dès lors qu’elle s’était déjà prononcée défavorablement, en formation restreinte, sur le retrait de ces mêmes communes à leur EPCI.

Tel qu’indiqué par le rapporteur public dans le cadre de cette affaire, les dispositions du CGCT n’imposaient pas à la CDCI de se prononcer sur une demande d’adhésion dans l’hypothèse où la demande de retrait faisait l’objet d’un avis négatif. Dans ce cas de figure, la procédure de consultation prenait obligatoirement fin.

La CDCI pouvait donc légalement se réunir en formation restreinte pour rendre un avis défavorable et ne pas se prononcer sur la demande d’adhésion des communes à un nouvel EPCI à fiscalité propre.

Vers une généralisation des scrutins de liste pour les communes de moins de 1.000 habitants ?

Le 12 mars dernier, le Sénat a adopté en première lecture la proposition de loi de l’ancienne députée Elodie Jacquier-Laforge déposée le 19 octobre 2021 visant à harmoniser le mode de scrutin aux élections municipales afin de garantir la viabilité démocratique, la cohésion municipale et la parité.

Cette proposition de loi prévoit notamment l’évolution du mode de scrutin des conseils municipaux des communes de moins de 1.000 habitants, plus de 24.700 communes sont concernées par cette réforme[1].

 

Un texte qui harmonise les modes de scrutin des conseils municipaux

Actuellement, les dispositions de l’article L. 252 du Code électoral prévoient l’élection des membres des conseils municipaux des communes de moins de 1.000 habitants au scrutin majoritaire.

Ce mode de scrutin permet aux candidats de se présenter seuls, ou de former une candidature groupée et donne la possibilité aux électeurs de choisir directement les conseillers qu’ils souhaitent porter au conseil municipal (le panachage) contrairement au scrutin de liste dans lequel les électeurs votent pour une liste « bloquée ».

La proposition de loi votée en première lecture par le Sénat, renvoyée pour examen à l’Assemblée nationale en avril prochain, mettrait donc fin au scrutin majoritaire, au profit d’un scrutin de liste paritaire à deux tours, comme cela est déjà le cas dans les communes de plus de 1.000 habitants. C’est donc l’article L. 260 du Code électoral qui leur serait applicable.

Ainsi, après avoir été supprimé pour les communes de 1.000 à 3.500 habitants à compter des élections municipales de 2014[2], ce mode de scrutin devrait définitivement être abandonné.

 

Un régime juridique qui reste particulier pour les communes de moins de 1.000 habitants

Si le scrutin de liste est généralisé, il devra toutefois répondre aux problématiques rencontrées par les communes de moins de 1.000 habitants parmi lesquelles la difficulté à élire un conseil municipal complet.
Pour répondre à cet enjeu, la loi de 2019 relative à l’engagement de la vie locale et à la proximité de l’action publique[3] avait donné la possibilité aux conseils municipaux des communes de moins de 100 habitants et de 100 à 499 habitants d’être « réputés complets » en dépit de l’incomplétude de leur conseil municipal.

Ce principe permet de déroger à la nécessité d’avoir un conseil municipal complet, c’est-à-dire d’avoir autant de conseillers élus que de sièges à pourvoir, pour procéder à l’élection de l’exécutif.

Le texte actuellement en discussion devrait étendre cette dérogation aux communes de 500 à 999 habitants, permettant ainsi de ne pas bloquer l’élection de l’exécutif si l’ensemble des sièges ne sont pas pourvus à l’issue du renouvellement des conseils municipaux.

Enfin, le texte voté par le Sénat a introduit deux mesures supplémentaires :

  • La possibilité donnée aux candidats dans les communes de moins de 1.000 habitants de déposer des listes incomplètes, ce, afin de favoriser le pluralisme et de faciliter le dépôt de listes ;
  • L’introduction d’un mécanisme d’élections municipales complémentaires pour les communes de moins de 1.000 habitants lorsque le conseil municipal a perdu un tiers ou plus de ses membres afin d’éviter le recours aux municipales partielles intégrales.

Les débats devant l’Assemblée nationale seront donc à suivre avec attention.

_____

 

[1] Chiffres Association des Maires de France

[2] LOI n° 2013-403 du 17 mai 2013 relative à l’élection des conseillers départementaux, des conseillers municipaux et des conseillers communautaires, et modifiant le calendrier électoral

[3] LOI n° 2019-1461 du 27 décembre 2019 relative à l’engagement dans la vie locale et à la proximité de l’action publique

Conformité sous conditions de la procédure de recommandation de l’Arcom (ex-Hadopi) prononcée par la Cour de justice de l’Union européenne (CJUE)

Dans son arrêt en date du 30 avril 2024[1], la Cour de justice de l’Union européenne (CJUE) a estimé que les dispositions de la directives 2002/58[2] et de la Charte européenne des droits fondamentaux ne faisaient pas obstacle à la mise en œuvre d’une réglementation nationale permettant aux autorités publiques d’accéder aux adresses IP préalablement collectées des personnes soupçonnées d’atteinte aux droits d’auteur et droits voisins.

Était contestée la légalité du décret n°2010-236 du 5 mars 2010 relatif au traitement automatisé de données à caractère personnel[3] ayant pour objet de mettre en œuvre la procédure de recommandation par Hadopi (aujourd’hui l’Arcom) en cas d’atteinte aux droits d’auteurs et droits voisins par un utilisateur.

Ce décret prévoit la procédure d’avertissements (de « recommandation ») de l’Arcom aux utilisateurs dont les navigations en ligne sont susceptibles de porter atteinte aux droits d’auteurs (piratages etc.).

Le problème posé par cette procédure est la nécessité de faire correspondre les adresses IP des appareils et les identités civiles des personnes derrière ces appareils, en vue de leur envoyer les avertissements visant à mettre un terme à ces pratiques.

Un tel traitement de données personnelles est sensible puisqu’il permettrait à l’Arcom de tirer des conclusions sur la vie privée des personnes réprimandées, notamment par le biais de leurs recherches et de leur localisation.

La question posée est donc celle de l’obligation d’un contrôle préalable d’une juridiction ou d’une entité administrative indépendante préalablement à l’accès par l’Arcom aux données d’identité civile correspondant aux adresses IP.

Dans son arrêt, la CJUE estime que les dispositions du Code de la propriété intellectuelle sur lesquelles est édicté le décret de 2010[4], notamment celles de l’article L. 331-23 du Code de la propriété intellectuelle, sont conformes au droit européen.

La Cour écarte tout d’abord la nécessité d’un contrôle préalable de l’autorité publique en amont de l’accès aux données personnelles des utilisateurs. Elle justifie sa position par l’absence d’ingérence grave dans leurs droits fondamentaux en se fondant notamment sur sa jurisprudence en la matière, rappelant que la proportionnalité de l’ingérence dans les droits fondamentaux doit être appréciée au regard de l’objectif d’intérêt public poursuivit[5] (cons.133).

La Cour rappelle également le risque, toutefois mesuré, de faux cas positif représenté par l’automaticité du traitement des données, c’est-à-dire la correspondance faite entre une adresse IP et une identité civile sans qu’une infraction ne soit ensuite constatée. Cette situation met ainsi en risque les données personnelles des individus soupçonnés et dont les données seraient exploitées à tort. Elle précise donc que le système de traitement doit être contrôlé à intervalles réguliers par une entité indépendante afin d’en assurer « l’intégrité » et de garantir « son efficacité et sa fiabilité », écartant d’autant plus l’idée d’un contrôle préalable (cons.155-156).

La CJUE conditionne toutefois cette conformité au respect des conditions suivantes :

 

  • S’agissant de la conservation des données

La Cour se penche ensuite sur les modalités techniques de conservation des données. Ces modalités techniques doivent ainsi éviter que l’autorité puisse tirer des conclusions précises sur la vie privée des titulaires des adresses IP relevées lors des atteintes aux droits d’auteurs.

Cet objectif peut être atteint selon la CJUE en mettant en œuvre une séparation étanche dans la conservation des différentes catégories de données : les données relatives à l’identité civile, les adresses IP et les données relatives au trafic et aux données de localisation, cela « de telle sorte que la combinaison de données appartenant à différentes catégories est effectivement exclue » (cons.103 et 164).

De plus, la mise en relation des adresses IP et des données civiles des utilisateurs ne pourra se faire qu’à travers un « procédé technique performant ne remettant pas en cause l’efficacité de la séparation étanche de ces catégories de données » (cons.88), garantissant d’autant plus l’absence de porosité entre les différentes catégories de données.

 

  • S’agissant de l’accès aux données : l’automaticité du traitement

La mise en œuvre d’un traitement automatisé fait également l’objet d’une attention particulière de la CJUE qui analysait cette méthode, permise en France sur la base des dispositions de l’article L. 331-23 du Code de la propriété intellectuelle, à l’aune des dispositions de la directive 2002/58.

En clair, la mise en relation des identités civiles et des adresses IP de titulaires soupçonnés d’infraction aux droits d’auteurs ne doit pas résulter d’un seul traitement uniquement automatisé, mais nécessite l’intervention d’une personne physique (cons.149).

La Cour souligne l’importance d’un juste équilibre dans la mesure de contrôle entre les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et le droit des personnes au respect de leur vie privée, ce qui justifie notamment l’intervention d’une personne physique dans la procédure (cons.148).

En ce sens, il existe un risque que le contrôle préalablement réalisé permette à l’autorité publique de tirer des conclusions sur la vie privée de la personne soupçonnée d’avoir commis l’infraction (cons.145).

_____

 

[1] CJUE, ass. Plen., 30 avril 2024, La Quadrature du Net, C470-21

[2] Directive 2002/58/CE (CELEX : 32002L0058) du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).

[3] Décret n°2010-236 du 5 mars 2010 (NOR : MCCB1004830D) relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-23 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ».

[4] L. 331-15, L. 331-21, L. 331-24, L. 331-25, L. 331-28, L. 331-29 et L. 336-3 du code de la propriété intellectuelle

[5] CJUE, 6 octobre 2020, La Quadrature du Net, C-511/18, C-512/18 et C-520/18

Annulation de la décision d’un maire de recourir à un logiciel de traitement automatisé des images tirées de son dispositif de vidéoprotection

Dans un jugement en date du 24 janvier 2025[1], le Tribunal administratif de Grenoble a annulé la décision du Maire de Moirans de recourir au logiciel Briefcam pour traiter les images tirées du nouveau système de vidéoprotection de la commune.

Ce logiciel développé par la société israélienne Briefcam opère une analyse algorithmique des images collectées par la vidéoprotection, allant de la simple analyse de comportement à la mise en œuvre d’alertes détectées grâce à l’analyse automatique des images.

Le juge administratif motive son annulation en rappelant tout d’abord que les images d’une personne physique collectées par une caméra constituent une donnée à caractère personnel dès lors qu’elles permettent d’identifier la personne concernée (cons.13), s’appuyant en ce sens sur les dispositions de l’article 3 de la directive de 2016 relative à l’information, aux fichiers et aux libertés[2].

Cette qualification lui permet de mettre en relation les dispositions de l’article 8 de la CESDH[3] relatives au droit à la protection de la vie privée et familiale et de la directive 2016/680 du 27 avril 2016, avec celle de l’article 4 de la loi du 6 janvier 1987 rappelant que la collecte, la conservation et le traitement de telles données n’est possible sous réserve (cons.18) :

  • De poursuivre des finalités légitimes ;
  • Que le choix, la collecte et le traitement sont adéquats et proportionnés au regard des finalités.

Sur la base de ces dispositions, le tribunal estime qu’en l’absence de détermination d’une finalité déterminée et explicite, et de garanties relatives au traitement de ces données, les requérants sont fondés à soutenir la méconnaissance des dispositions précitées (cons.18).

En défense, la commune avait vainement tenté de rappeler la mise en place d’un règlement communal d’utilisation du système de vidéoprotection, un argument écarté par le juge en raison de l’absence de dispositions relatives à l’utilisation d’un traitement algorithmique des images collectées (cons.19).

En outre, le juge rappelle que l’autorisation du préfet de mettre en œuvre un système de vidéoprotection n’emporte pas autorisation d’utiliser un système de traitement algorithmique des données (cons.19).

Ainsi, la solution dégagée par le juge, sans proscrire l’utilisation d’un système de traitement algorithmique des données, rappelle qu’une telle utilisation ne peut être menée sans en encadrer l’utilisation, notamment en l’absence de garanties relatives à la protection de la vie privée des habitants.

_____

[1] TA de Grenoble, 24 janvier 2025, n°2105328

[2] Directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision cadre 2008/977/JAI du Conseil

[3] Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales

Le Conseil d’État précise les conditions permettant d’interrompre l’utilisation d’un réseau social

Dans un arrêt du 1er avril 2025[1], le Conseil d’État a annulé la décision du Premier ministre en date du 14 mai 2024 d’interrompre l’accès à TikTok sur le territoire de la Nouvelle-Calédonie. Il s’est, à cette occasion, prononcé sur les conditions dans lesquelles le Gouvernement pouvait interrompre l’utilisation d’un réseau social.

Pour rappel, la décision du Premier ministre était motivée par l’utilisation massive de ce réseau social pour « diffuser des contenus incitant au recours à la violence » (cons.10) lors des émeutes du printemps 2024 en Nouvelle-Calédonie.

Dans son arrêt, le Conseil d’État précise ainsi les circonstances dans lesquelles une telle mesure peut être édictée par le Premier ministre, en se fondant notamment sur le régime juridique des circonstances exceptionnelles[2] caractérisé par (cons.2) :

  • Des circonstances de nature à entraver le fonctionnement régulier des pouvoirs publics, à compromettre de manière immédiate la santé de la population ou son accès aux services essentiels ou à porter une atteinte grave à l’ordre public ;
  • Des circonstances qui impliquent le recours à des mesures qui sortent du droit commun, sous réserve que ces mesures soient indispensables au regard des faits prévalant à la date de la décision.

Toutefois, la mesure édictée par le Premier ministre, si elle peut être motivée par le « péril imminent résultant d’atteintes graves à l’ordre public ou à un événement présentant le caractère de calamité publique », doit quelles qu’en soient les circonstances, être strictement nécessaires[3] à la situation à laquelle il convient de mettre un terme.

En l’espèce, le Conseil d’État rappelle que la mesure d’interruption du réseau social doit être appréciée au regard des termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 qui garantit la liberté de communication. Il rappelle ainsi « le développement généralisé des services de communication au public en ligne » et « l’importance prise par ces services pour la participation à la vie démocratique économique et sociale et l’expression des idées et des opinions, la libre communication des pensées et des opinions » (cons.6).

Ainsi, en sus des circonstances exceptionnelles, le Conseil d’Etat établit les conditions dans lesquelles le Gouvernement peut procéder à l’interruption d’un service de communication, et annule sur cette base la décision du Premier ministre.

Cette mesure d’interruption complète est donc possible sous réserve :

  • De l’absence de moyen technique immédiat permettant de prendre des mesures moins attentatoires aux droits et libertés, ce qui était le cas en l’espèce puisque l’article 11 de la loi de 1955 sur l’état d’urgence[4] permet seulement la suspension des services de communication provoquant à la commission d’actes terroristes ou en faisant l’apologie[5];
  • De son caractère provisoire et déterminé, pour un temps strictement nécessaire pour trouver une mesure moins attentatoire aux droits et libertés, ce que le Conseil d’Etat a retenu pour annuler la décision, considérant que le Premier ministre avait procédé à « une interruption totale du service pour une durée indéterminée (…) sans subordonner son maintien à l’impossibilité de mettre en œuvre des mesures alternatives » (10).

Le juge annule ainsi la décision du Premier ministre en raison de la durée indéterminée de la mesure édictée, ainsi que l’absence de conditionnement de son maintien à la mise en œuvre d’une solution alternative.

_____

[1] CE, 1er avril 2025, n°494511-494583-495174, LDH c/ La Quadrature du net

[2] CE, 28 février 1919, n° 61593, Dames Dol et Laurent ; CE, 28 juin 1918, n° 63412, Heyriès

[3] CE, ass., 19 octobre 1962, n° 58502, Canal, Robin et Godot

[4] Qui a été déclenché en Nouvelle-Calédonie entre le 15 mai 2024 et le 27 mai 2024, soit 12 jours, conformément aux dispositions de l’article 2 de la loi du 3 avril 1955 relative à l’état d’urgence

[5] Article 11, II de la loi n°55-385 du 3 avril 1955 relative à l’état d’urgence

Retour sur les mises en demeure de la Commission nationale de l’informatique et des libertés (CNIL) à l’égard du ministère de l’Intérieur et de 6 communes sur l’utilisation de logiciels d’analyse vidéo

CNIL, Utilisation de BriefCam et d’autres logiciels d’analyse vidéo par l’État et des communes : la CNIL prononce plusieurs mises en demeure

Parmi les axes du plan stratégique 2022-2024[1] de la Commission Nationale de l’Informatique et Libertés (CNIL) figure la réponse au défi de l’intensification de l’usage des données personnelles. En ce sens, elle a retenu comme prioritaire la thématique des caméras augmentées et de leurs usages, notamment par la mise en œuvre d’algorithmes prédictifs.

C’est sur la base de cet axe stratégique que la CNIL a diligenté plusieurs contrôles auprès d’autorités publiques utilisant des logiciels de traitement vidéo dans le cadre de leurs missions.

Ont notamment été contrôlés, les services du ministère de l’Intérieur et huit communes faisant usage des logiciels de la société Briefcam. Cette société israélienne a fait parler d’elle en raison des dispositifs de reconnaissance faciale et de recherches algorithmiques ciblées qu’elle propose. Dans un article de novembre 2023, le journal d’investigation Disclose a révélé[2] l’utilisation par les services du ministère de l’Intérieur d’un logiciel de cette société, ce qui a donné lieu à un contrôle des services ministériels.

A l’issue de ces contrôles, la CNIL a prononcé des mises en demeure à l’encontre des services du ministère de l’Intérieur (I) et de 6 communes sur les 8 contrôlées (II).

 

I. La mise en demeure adressée au ministère de l’Intérieur

La CNIL a tout d’abord ciblé les manquements à l’obligation de traiter les données de manière licite.

Le traitement d’enregistrements vidéo visant à identifier les auteurs d’infraction et à réunir des preuves à l’appui d’un logiciel est légal dans la seule hypothèse où constitue un logiciel de rapprochement judiciaire à des fins d’analyse criminelle (LRJ). La légalité de ce type de système se fonde notamment sur la procédure très encadrée dans laquelle s’inscrit ce mode de recherche d’infraction, placée sous le contrôle d’un magistrat, en raison des risques qu’il présente pour les droits et libertés des individus[3].

La CNIL, au même titre que le ministère de l’Intérieur, considère que les logiciels utilisés par les forces de l’ordre pour les traitements vidéo s’inscrivent dans le cadre des LRJ. Toutefois, la Commission relève que la doctrine du ministère de l’Intérieur sur le cadre légal d’utilisation de ces logiciels ne date que de 2023.

Ainsi, avant 2023, les services du ministère ont fait usage de ces dispositifs en dehors du cadre légal et réglementaire prévu, en ne transmettant pas les engagements de conformité à la CNIL, mais également en ne procédant pas aux demandes d’autorisations judiciaires pour chaque procédure, ce qui est réglementairement[4] prévu pour les LRJ.

La CNIL met donc en demeure le ministère de l’Intérieur de produire les engagements de conformité au règlement unique RU-18 et de lui transmettre le projet de révision du décret de 2012 traitant en particulier de l’encadrement des LRJ.

 

  • Sur l’obligation de diligenter les analyses d’impact relatives à la protection des données (AIPD).

L’article 90 de la loi informatique et libertés (LIL)[5] prévoit l’obligation d’effectuer une analyse d’impact relative à la protection des données en cas de risque élevé pour les droits et libertés des personnes physiques concernées par les traitements de données.

Les logiciels de la société Briefcam sont utilisés depuis 2015 par les services du ministère de l’Intérieur.

Toutefois, ces analyses d’impact ont été transmises à la CNIL plusieurs années après le début de leur utilisation.

Si la Commission rappelle que l’obligation de diligenter une AIPD ne date que de 2019 et qu’elle avait laissé deux ans pour opérer une mise en conformité, force est de constater que le ministère de l’Intérieur n’avait pas transmis ces analyses à temps, emportant ainsi violation de l’article 90 de la LIL.

C’est pour cette raison qu’elle met également en demeure les services du ministère de réaliser ces études d’impact dans un délai de deux mois.

 

  • Sur l’interdiction des dispositifs de reconnaissance faciale.

Conformément aux dispositions de l’article 88 de la LIL[6], le traitement de données biométriques n’est possible qu’en cas de nécessité absolue, sous réserve de garantir les droits et libertés de la personnes concernée par ce traitement.

Ce traitement ne peut ainsi être mis en œuvre uniquement s’il est autorisé par une disposition législative ou règlementaire, ou s’il est mis en œuvre pour protéger les intérêts vitaux d’une personne physiques, ou encore s’il porte sur des données rendues publiques par la personne objet du traitement.

La CNIL a relevé que le logiciel de la société Briefcam contenait une fonctionnalité de reconnaissance faciale sans pour autant que celle-ci ne soit utilisée par les services du ministère.

Ainsi, bien que la Gendarmerie ait désinstallé ce logiciel, tel n’est pas le cas des autres services. En ce sens, la CNIL relève une double violation de l’article 88 susmentionné en ciblant l’utilisation de la reconnaissance faciale et l’absence de garantie technique empêchant l’utilisation cette technique.

 

La CNIL met donc en demeure le ministère de prendre des mesures visant à empêcher l’utilisation de fonctionnalités de reconnaissance faciale.

 

II. Les mises en demeure adressées aux communes

Sur l’ensemble des communes ayant fait l’objet d’un contrôle, six d’entre-elles ont reçu une mise en demeure de la CNIL afin de mettre fin aux manquements constatés. Si la Commission n’a pas rendu publique ces mises en demeure contrairement à celle adressée au ministère de l’Intérieur, elle a toutefois établi la liste des différents usages des caméras augmentées qu’elle a relevés, dont certains sont interdits.

La CNIL portait ici son attention sur l’utilisation des caméras augmentées par les communes contrôlées. Tandis que la Commission n’avait pas relevé d’utilisation de telles caméras par les services du ministère de l’Intérieur, elle a constaté l’utilisation de tels dispositifs dans les communes contrôlées.

Pour rappel, les caméras augmentées mettent en œuvre des dispositifs de traitement automatisé des images captées par les caméras, sans pour autant se confondre avec un quelconque procédé de reconnaissance biométrique.

Leur utilisation fait l’objet d’un encadrement juridique très succinct et reste d’ailleurs toujours en construction comme en témoigne la récente prolongation[7] jusqu’au 1er mars 2027 de l’expérimentation du traitement algorithmique des images de vidéoprotection.

Leur utilisation est ainsi permise sous certaines conditions dont celle de ne pas analyser les images en temps réel, ce que rappelle la CNIL dans son bilan.

Ainsi, la CNIL a relevé les usages suivants :

  • En premier lieu, elle a relevé un usage permettant la détection automatisée de situations laissant présumer une infraction sur le domaine public qui actuellement interdit.
  • En second lieu, la Commission a relevé un usage permettant de générer des statistiques qui, à défaut d’être illégal, doit faire l’objet d’une publicité suffisamment importante à destination du public.
  • Enfin, la CNIL fait mention d’une utilisation de dispositifs de recherche automatique d’informations dans les images collectées dans le cadre des réquisitions judiciaires et en profite pour rappeler l’importance de la sécurisation des images et la nécessité pour les policiers municipaux d’agir dans le cadre des réquisitions judiciaires en raison de leur défaut d’habilitation.

L’utilisation de caméras augmentées, en raison des risques qu’elle fait peser sur les droits et libertés fondamentaux, fait l’objet d’une attention particulière de la CNIL. L’utilisation de données personnelles dans le cadre des dispositifs de traitement algorithmique, proposés notamment par la société Briefcam, ne peut se faire que dans un cadre légal susceptible de prévenir une utilisation débridée de ces outils.

 

_____

 

[1] Commission nationale informatique et libertés (CNIL). 2021. Plan stratégique 2022-2024 « Être à vos côtés pour construire une société numérique de confiance ».

[2] Disclose. 14 novembre 2023. « La police nationale utilise illégalement un logiciel israélien de reconnaissance faciale ».

[3] Article 230-20 et suivants et R. 40-39 à R. 40-41 du code de procédure pénale (CPP) ; décret n°2012-687 du 7 mai 2012

[4] Décret n°2012-687 du 7 mai 2012 (NOR : IOCD1206343D) relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d’analyse criminelle

[5] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[6] Ibid

[7] Loi relative au renforcement de la sécurité dans les transports adoptée par l’Assemblée nationale le 18 mars dernier par l’Assemblée nationale.

Cybercriminalité : Publication du rapport d’activité 2024 de Cybermalveillance.gouv.fr

Pour mémoire, le site Cybermalveillance.gouv.fr est une plateforme officielle mise en place par l’État français pour aider les particuliers, les entreprises et les collectivités territoriales à se protéger contre les cybermenaces. Il s’agit d’un service de prévention, de sensibilisation et d’accompagnement en cas de cyberattaque.

Son rapport d’activité 2024 a été publié le 27 mars 2025 et vient mettre en lumière les tendances de la menace cyber en France pour l’année écoulée.

Plusieurs points intéressants y sont relevés :

  1. Fréquentation de la plateforme : La plateforme a enregistré une forte augmentation de ses visites avec 5,4 millions de visiteurs (+47 %) et plus de 420.000 demandes d’assistance (+49,9 %). Cette hausse est due à l’élargissement de l’offre de services et à des initiatives comme SensCyber et 17Cyber.
  2. Tendances clés de la menace :
    • L’hameçonnage reste la menace principale, avec 1,9 million de consultations et 64.000 demandes d’assistance.
    • Des violations massives de données personnelles ont eu un impact majeur, touchant des organisations comme la Fédération Française de Football.
    • Le piratage de comptes a augmenté, notamment via l’hameçonnage ciblant les messageries personnelles et professionnelles ainsi que les réseaux sociaux.
    • Les rançongiciels, bien qu’en baisse, continuent de toucher principalement les professionnels.
    • L’escroquerie par faux support technique persiste avec 136.500 consultations.
  3. Évolution de la victimologie : Certaines menaces ont modifié leur cible. Par exemple, la sextorsion touche désormais de plus en plus de jeunes, et le cyberharcèlement affecte aussi les professionnels. Les fraudes au virement sont en forte hausse, notamment auprès des particuliers.
  4. Diversification des menaces : Les cybermenaces deviennent plus variées, avec des arnaques en ligne plus accessibles à des cybercriminels moins expérimentés. Les méthodes d’hameçonnage se multiplient, intégrant des thèmes divers tels que les livraisons de colis ou les fraudes bancaires.

Il est précisé par le rapport les principales recherches d’assistance sur la plateforme pour les collectivités et les administrations.

Ainsi, l’hameçonnage demeure la principale menace pour les collectivités et administrations (24 %), suivi des attaques par rançongiciels (19 %) et du piratage de compte en ligne (16 %). D’autres menaces, telles que les violations de données (6,2 %), les défigurations de sites Internet (3,9 %), les fraudes au faux support technique (5,3 %) et les programmes malveillants (virus) (6,2 %), connaissent une diminution en volume. Les faux ordres de virement (FOVI) représentent une forte augmentation des recherches d’assistance 3,4 %. Enfin, le cyberharcèlement fait son entrée dans le classement des principales menaces, avec une importante progression (2,3 %).

Le rapport souligne enfin une nouvelle fois l’importance de la sensibilisation et de la collaboration entre les acteurs publics et privés pour faire face à ces menaces croissantes.

Marché conclu avec le lauréat d’un concours : le Conseil d’État confirme l’absence d’obligation de respecter un délai de stand-still

Le marché conclu avec le lauréat d’un concours, peut être signé sans qu’un délai de stand-still doive être respecté, y compris si la valeur du marché dépasse les seuils de procédure formalisée.

Cette précision est apportée par le Conseil d’État à l’occasion d’un référé contractuel dirigé contre un contrat de maîtrise d’œuvre portant sur la construction d’une nouvelle médiathèque, conclue entre la commune de Migennes et un groupement qui avait précédemment été déclaré lauréat d’un concours organisé par la collectivité à cet effet.

Un candidat évincé, également lauréat du concours, mais écarté de la procédure à la suite de la phase de négociation ayant précédé l’attribution du contrat, a d’abord saisi le Juge des référés du Tribunal administratif de Dijon d’un référé précontractuel qui a été rejeté, le contrat ayant déjà été signé à la date de saisine du tribunal. Le candidat évincé a ensuite saisi le même tribunal d’un référé contractuel, qui a également été rejeté, puis a saisi le Conseil d’État d’un pourvoi contre cette ordonnance.

Le Conseil d’État confirme néanmoins l’ordonnance du tribunal et rejette tous les moyens soulevés par le requérant.

D’une part, il affirmait que l’ordonnance du juge des référés était entachée d’une erreur de droit dès lors que ce dernier avait considéré que l’obligation de respecter un délai de stand-still de onze jours entre la date d’envoi de la notification de rejet des offres et la date de signature du marché par l’acheteur, prévu par l’article R. 2182-1 du Code de la commande publique, ne s’appliquait pas au cas d’un marché attribué au lauréat d’un concours.

En effet, le respect de ce délai de stand still ne s’impose qu’à la signature des marchés passés selon une procédure formalisée, le requérant affirmait donc que la procédure d’attribution au lauréat d’un concours devait être considérée comme une procédure formalisée.

Le Conseil d’État a préféré suivre les conclusions du rapporteur public, M. Nicolas LABRUNE, qui avait conclu que ni le code de la commande publique ni les textes européens ne prévoient que cette technique d’achat constitue une procédure formalisée. Les textes prévoient au contraire que le marché conclu avec le lauréat d’un concours à l’issue de ladite procédure l’est sans publicité ni mise en concurrence préalable, et ce y compris si ce marché dépasse le seuil de la procédure formalisée.

Le juge administratif suprême confirme donc que le marché conclu avec le lauréat d’un concours n’est pas une procédure formalisée et confirme l’ordonnance du tribunal :

« Le respect du délai de suspension prévu à l’article R. 2182-1 du Code de la commande publique n’est exigé que pour les marchés qui sont passés selon une procédure formalisée et pour lesquels la publication préalable d’un avis de marché au Journal officiel de l’Union européenne est imposée et, d’autre part, qu’un marché de maîtrise d’œuvre conclu par le maître d’ouvrage avec l’un des lauréats d’un concours restreint n’a pas à être passé selon une procédure formalisée, quand bien même il répondrait à un besoin dont le montant est égal ou supérieur aux seuils de procédure formalisée et qu’un avis de concours devrait être publié en application de l’article R. 2162-15 du même code ».

Le respect d’un délai de stand-still n’est donc pas obligatoire lors de la conclusion d’un marché avec le lauréat d’un concours, peu importe la valeur du marché en question.

D’autre part, le requérant relevait que, indépendamment des obligations prévues par les textes, la commune de Migennes avait informé les candidats de son intention de respecter un délai de stand-still avant la signature du contrat, ce qu’elle n’a finalement pas fait. Le requérant considérait que cela constituerait un manquement de nature à justifier la saisine du juge du référé contractuel.

La requérante se fondait ici sur le principe jurisprudentiel selon lequel l’administration se doit de respecter les règles de procédure qu’elle a librement décidé de s’imposer (CE, 10 octobre 1994, Ville de Toulouse, n° 108691). Toutefois le Conseil d’État avait déjà eu l’occasion de rejeter l’application de ce principe jurisprudentiel dans le cas de la saisine du juge du référé contractuel (CE, 25 octobre 2013, Commune de la Seyne-sur-Mer, n° 370393).

Le Conseil d’État a maintenu sa jurisprudence sur cette question, considérant que les manquements entrant dans l’office du juge du référé contractuel sont fixés limitativement par la loi et que l’irrespect d’un délai auquel s’astreint librement la personne publique ne fait pas partie des manquements en question.

Le Conseil d’État constate donc que le Juge des référés du Tribunal administratif de Dijon n’a pas commis d’erreur de droit en rejetant le référé contractuel au vu de l’absence de manquement aux obligations de publicité et de mise en concurrence préalable.

Le pourvoi du requérant a donc été rejeté.

Tables Informatique et Libertés – La Commission nationale de l’informatique et des libertés (CNIL) actualise et centralise la doctrine sur la protection des données personnelles

Le 5 mars 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a publié une mise à jour de ses Tables Informatique et Libertés, un ouvrage diffusé pour la première fois en décembre 2023.

En parallèle, la Commission a également mis à disposition des Cahiers récapitulatifs pour l’année 2024, qui synthétisent ses décisions majeures ainsi que les éléments clés de la jurisprudence nationale et européenne relative à la protection des données personnelles.

 

I. Les Tables Informatique et Libertés : un panorama de la doctrine en matière de protection des données personnelles

Les Tables Informatique et Libertés ont pour objectif d’offrir aux professionnels de la protection des données (avocats, délégués à la protection des données, etc.) ainsi qu’aux universitaires un accès privilégié aux prises de position doctrinales de la CNIL, ainsi qu’aux décisions des juridictions nationales et européennes, telles que la Cour Européenne des Droits de l’Homme (CEDH), la Cour de Justice de l’Union européenne (CJUE), le Conseil d’État ou encore la Cour de cassation.

Cet ouvrage reprend les principes établis et largement connus des professionnels, comme l’application des obligations de sécurité par exemple, mais il va également au-delà en développant des points issus de décisions spécifiques prises par la CNIL, qui jusqu’alors n’étaient pas publiées.

Rappelons que la CNIL se trouve quotidiennement confrontée à un grand nombre de questions pratiques liées à l’application du Règlement Général sur la Protection des Données (RGPD)[1] et de la loi Informatique et Libertés[2]. À travers ses mesures correctrices – rappels aux obligations légales, mises en demeure, sanctions – ainsi que ses rejets de plaintes, la Commission prend régulièrement position sur une multitude de problématiques concrètes concernant la protection des données personnelles.

Au sein des Tables Informatique et Libertés, l’ensemble des décisions est organisé selon un plan thématique structuré, facilitant la recherche de précédents et garantissant une meilleure lisibilité de la doctrine applicable.

 

II. Les Cahiers Informatique et Libertés : l’essentiel des décisions rendues en 2024

Les Cahiers Informatique et Libertés rassemblent et classent les décisions marquantes de la CNIL et des juridictions européennes et nationales de l’année écoulée.

Les Cahiers constituent ainsi une extraction des Tables Informatique et Libertés : ils ont été créés pour structurer annuellement, et ainsi progressivement, la doctrine de la CNIL à partir des centaines de décisions rendues chaque année.

 

III. Un bref retour sur l’année 2024

L’année 2024 s’est révélée particulièrement riche en matière de protection des données à caractère personnel.

La CJUE a par exemple précisé les modalités d’indemnisation des personnes concernées en cas de violation de leur droit à la protection des données (CJUE, 25 janvier 2024, MediaMarktSaturn, C-687/21 ; CJUE, 4 octobre 2024, Patērētāju tiesību aizsardzības centrs, C-507/23).

La Cour de cassation a quant à elle apporté des éclairages importants en droit social, notamment sur l’opposabilité des données lors d’un licenciement (Cass, soc., 6 mars 2024, n° 22-11.016).

De son côté, le Conseil d’Etat a précisé les modalités de recours contre la clôture d’une plainte par la CNIL (CE, 10ème-9ème chambres réunies, 9 février 2024, MM. D…, n°472215).

Il ne s’agit que d’un aperçu des avancées majeures réalisées en 2024, une année marquée par des progrès significatifs dans la protection des données personnelles et la clarification des droits des individus.

_____

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

 

[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

La Commission nationale de l’informatique et des libertés (CNIL) dévoile son plan stratégique 2025-2028 : Intelligence artificielle, cybersécurité et protection des mineurs au cœur de ses priorités

Dans un environnement où les technologies ne cessent de progresser à un rythme effréné, la Commission Nationale de l’Informatique et des Libertés (CNIL) se trouve confrontée à la délicate mission de concilier le respect des droits fondamentaux avec les impératifs d’innovation technologique.

Dans ce contexte, la CNIL a identifié, début janvier, quatre sujets au cœur des enjeux numériques et justifiant, dès lors, une attention particulière pour les prochaines années à venir.

Ces différentes thèmes – que sont l’intelligence artificielle (IA), la cybersécurité, les mineurs, les usages du quotidien numérique (applications mobiles et identité numérique) – dessinent les contours du plan stratégique de la CNIL pour la période 2025-2028.

 

Axe 1 – Promouvoir une IA éthique et respectueuses des droits

L’IA s’impose aujourd’hui comme une technologie incontournable transformant de nombreux secteurs du quotidien, tels que la santé, le transport, la finance et l’éducation. Les avantages qu’elle offre sont indéniables et ouvrent la voie à des progrès majeurs dans ces domaines.

Toutefois, il est essentiel de noter que l’IA présente des risques considérables, qui touchent à la fois à la vie privée des individus (modalités de collecte des données personnelles), à leur sécurité (vulnérabilité aux cyberattaques) et à leur éthique (biais algorithmiques).

Dans cette optique, la CNIL se donne pour mission de promouvoir une IA qui respecte pleinement les droits fondamentaux des individus. Pour ce faire, elle entend relever plusieurs défis stratégiques, à savoir :

  • participer au partage de connaissances et d’expertises au sein de l’écosystème de l’IA ;
  • clarifier le cadre juridique applicable et mettre en œuvre une régulation effective ;
  • sensibiliser le grand public aux enjeux de l’IA ;
  • contrôler la conformité des systèmes d’IA.

 

Axe 2 – Protéger les mineurs et leurs données dans l’univers numérique

« 67 % des 8-10 ans sont présents sur les réseaux sociaux et 1 famille sur 4 déclare avoir été confrontée au cyberharcèlement » (source Caisse d’Epargne / e-enfance – 2023).

« Les jeunes âgés de 7 à 19 ans passent 3h11 sur les écrans chaque jour en moyenne » (source IFOP – CNIL 2024).

Ces chiffres alarmants témoignent de l’omniprésence des technologies dans le quotidien des mineurs. Cette hyper-connectivité engendre des risques significatifs, notamment en ce qui concerne la protection de la vie privée des enfants, la sécurité en ligne et les phénomènes de cyberharcèlement.

La protection des données personnelles des mineurs représente ainsi une priorité absolue selon la CNIL. Dans le cadre de son plan stratégique 2025-2028, la Commission s’engage à collaborer avec l’ensemble des parties prenantes — parents, éducateurs, acteurs publics, entreprises, régulateurs et organisations internationales — afin de promouvoir un environnement numérique plus sûr et favorable développement des mineurs.

 

Axe 3 – Faire de chacun un acteur de la cybersécurité pour renforcer la confiance dans le numérique

La multiplication des cyberattaques entraînant des violations massives de données confirme que la cybersécurité est désormais un enjeu majeur pour la société.

L’évolution rapide des technologies (Internet des objets, cloud, IA, applications mobiles) modifie le paysage de la cybercriminalité, les interconnexions entre ces dispositifs accroissant les zones de vulnérabilité.

De plus, la sophistication des cybermenaces complique la détection et la réponse aux attaques, rendant ces dernières de plus en plus insidieuses.

Face à ces constats, la CNIL s’engage à renforcer la coopération au sein de l’écosystème de la cybersécurité, à soutenir les individus et les organisations confrontés à des violations de données, et à contribuer activement au développement de solutions techniques garantissant une protection optimale de la vie privée.

 

Axe 4 – Mettre un œuvre des activités ciblées sur des usages numériques du quotidien

La CNIL a également choisi de focaliser ses actions sur deux enjeux majeurs du quotidien numérique des Français.

D’une part, elle souhaite veiller à garantir la conformité des applications mobiles tout en intensifiant la sensibilisation des utilisateurs.

D’autre part, elle compte s’assurer du développement et du déploiement, tant par les acteurs publics que privés, d’une identité numérique qui, d’une part, respecte pleinement les normes réglementaires et, d’autre part, protège les droits et libertés fondamentaux.

Seule la surface de plancher dédiée aux logements compte pour apprécier l’obligation de créer des logements sociaux dans un immeuble collectif

En application de l’article L. 302-9-1 du Code de la construction et de l’habitation, le Préfet du Val-de-Marne a, d’une part, pris un arrêté de carence à l’encontre de la commune de Saint-Maur-des-Fossés dans la réalisation de ses objectifs de production de logements sociaux, et d’autre part, décidé que pour l’ensemble du territoire de la commune, la délivrance des permis de construire, pour les opérations de construction ou de changement de destination à destination d’habitation, relèveraient de sa compétence, à l’exception des opérations créant 3 logements ou moins.

Par un arrêté du 14 décembre 2022, le Préfet du Val-de-Marne a refusé de délivrer à la société Edelweiss Paradise LDA un permis de construire portant sur un immeuble de dix logements, trois commerces et des parkings, conduisant à la construction d’une surface de 759 m² de logement sur une surface de plancher totale de 934 m².

La société requérante a saisi le Tribunal administratif de Melun qui a annulé cet arrêté par un jugement du 3 octobre 2023.

Saisi d’un pourvoi en cassation, le Conseil d’Etat rappelle d’abord les dispositions de l’article L. 111-24 du code de l’urbanisme qui prévoient que pour les communes faisant l’objet d’un arrêté de carence, « dans toute opération de construction d’immeubles collectifs de plus de douze logements ou de plus de 800 mètres carrés de surface de plancher, au moins 30 % des logements familiaux sont des logements locatifs sociaux définis à l’article L. 302-5 dudit code ».

Le Conseil d’Etat valide ensuite l’interprétation du tribunal administratif qui a déduit de ces dispositions que pour apprécier le seuil de 800 m² de surface de plancher, seule la surface de plancher du projet dédiée aux logements devait être prise en compte, et ce quelle que soit la destination principale de l’immeuble.

Partant, il rejette le pourvoi formé par le ministre de la Transition écologique et de la Cohésion des territoires.

L’expertise devant la Commission d’indemnisation des victimes d’infractions (CIVI) : un levier essentiel pour obtenir une réparation juste et intégrale de ses préjudices

En cas d’auteur non identifié ou insolvable, ou en parallèle d’une procédure pénale en cours, une victime peut saisir la Commission d’Indemnisation des Victimes d’Infractions pénales (CIVI) afin d’être indemnisée de ses préjudices[1].

Au cours de cette procédure d’indemnisation, il peut être opportun de recourir à une expertise, notamment en cas de préjudices lourds.

En effet, l’expertise permet d’évaluer précisément et objectivement les répercussions des faits sur la victime, et ce dans toutes les sphères de sa vie, que ce soit sur le plan physique, psychologique, économique ou professionnel.

L’expert passera en effet en revue tous les pans de la vie de la victime, depuis les faits jusqu’au jour de l’expertise, afin de pouvoir décrire la totalité des conséquences entraînées par les faits.

Cela permet dans le même temps de justifier du lien de causalité entre l’infraction subie et les préjudices invoqués et d’apporter des bases solides sur lesquelles les juges s’appuieront pour statuer.

À l’issue de l’expertise, l’expert remet en effet un rapport détaillé comprenant la liste des différents postes de préjudices caractérisés avec l’évaluation correspondante, en se fondant sur la nomenclature Dintilhac ainsi que sur les autres postes de préjudice mis en évidence par la jurisprudence.

Pour rappel, cette nomenclature mise en place en 2005 structure et clarifie les différents préjudices pouvant exister à la suite d’un fait dommageable, les distinguant en deux grandes catégories à savoir les préjudices patrimoniaux (économiques) et extra-patrimoniaux (moraux, physiques, affectifs), au sein desquels sont listés les principaux postes de préjudices, tout en précisant qu’il est nécessaire de ne pas retenir une nomenclature trop rigide afin de laisser la place à des préjudices atypiques ou exceptionnels[2]. Si elle n’a pas de valeur légale, cette nomenclature est néanmoins systématiquement utilisée par les médecins-experts et les juges.

C’est sur la base de ce rapport d’expertise que la victime pourra chiffrer ses demandes pour chacun de ses préjudices. L’expertise est donc la plupart du temps décisive pour l’aboutissement favorable d’une demande devant la CIVI et l’obtention d’une indemnisation juste et intégrale.

L’expertise ordonnée devant la CIVI est contradictoire avec le Fonds de Garantie (FGTI) qui y participe et non directement contre l’auteur des faits.

Avant l’expertise, il est important de faire parvenir à l’expert toutes les pièces importantes concernant la victime (pièces médicales, attestations de psychologue ou psychiatre, justificatifs de pertes de salaire ou de tous types de frais engagés…).

La victime peut se faire accompagner par un médecin-conseil de son choix et par son avocat.

Pendant l’expertise, un parcours de vie de la victime est retracé, puis cette dernière est invitée à formuler ses doléances, avant que l’expert ne procède à l’examen de son état de santé, qu’il analyse en lien avec les faits.

Après l’expertise, et après d’éventuelles observations des parties sur un premier pré-rapport, l’expert remet son rapport définitif et le transmet à la CIVI. La victime pourra alors s’appuyer dessus pour formuler ses demandes détaillées et chiffrées d’indemnisation.

Il est indispensable de bien passer en revue, pendant l’expertise, l’ensemble des sphères de la vie de la victime, afin que le rapport établi par l’expert soit le plus représentatif possible de la réalité des répercussions des faits.

Le rôle de l’avocat, qui peut être présent à l’expertise, peut alors se révéler essentiel.

_____

[1] Brève LAJ du 12/03/2025

[2] Nomenclature Dintilhac

Délit de blessures involontaires : Prescription et point de départ

La Cour de cassation est venue clarifier la question du point de départ du délit de blessures involontaires en le fixant au jour de l’accident, et non à la date de fixation de l’ITT par le médecin légiste.

*

Selon les articles 9 et 9-1 du Code de procédure pénale, le point de départ du délai de prescription est fixé au jour où l’infraction a été commise, hors les cas de dissimulation.

En l’espèce, une société avait été relaxée par le tribunal correctionnel des infractions à la réglementation sur l’hygiène et la sécurité des travailleurs[1] et de la contravention de blessures involontaires[2].

Dans un arrêt du 29 août 2023, la Cour d’appel de Douai infirmait le jugement rendu en première instance et condamnait la société prévenue des chefs susvisés, au motif que le délai de prescription courait à compter du jour où l’infraction est constituée en tous ses éléments, c’est-à-dire à la date de fixation de l’ITT par le médecin.

Le prévenu formait un pourvoi en cassation, arguant notamment du fait que la détermination du point de départ de la prescription de l’action publique en matière de blessures involontaires, devait être fixé au jour où le comportement fautif a été adopté, c’est-à-dire au jour de l’accident.

Dans son arrêt du 18 mars 2025, la Chambre criminelle cassait la décision et rappelait qu’effectivement le point de départ de l’action publique doit, sur le fondement des articles 9 et 9-1 du Code de procédure pénale, être fixé, sauf dans l’hypothèse des infractions occultes ou dissimulées, au jour où l’infraction est commise – savoir au jour de l’accident.

_____

[1] Article R. 625-2 du code pénal.

[2] Article L. 4741-1 du code du travail.

Outrage ou injure ? Quand la qualification de droit commun gagne du terrain

Voici un arrêt des plus explicite qui souligne, au titre du cumul idéal d’infractions entre l’outrage (infraction de droit commun) et l’injure (infraction de presse), le recul du champ d’application de cette seconde infraction – circonstance assez rare pour qu’elle soit remarquée ! La jurisprudence n’est pourtant pas nouvelle (Crim., 26 octobre 2010, n°09-88.460 ; Crim., 1 mars 2016, n°15-82.824).

Gardons à l’esprit qu’il ne s’agit pas d’un cumul réel, car pour un même propos invectivant ou insultant les qualifications sont incompatibles et exclusives l’une de l’autre. En somme, en cas d’invective, il faut choisir et, en cas de doute, retenir l’injure quitte à solliciter au besoin une requalification.

Il est vrai que la distinction entre les deux n’est pas aisée, d’autant plus que la définition de l’injure – marquée par « l’introgression » de l’adjectif qualificatif « outrageante » au sein de l’élément matériel du délit de presse – n’est pas pour aider les justiciables : « toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait est une injure » (article 29 alinéa 2 de la loi du 29 juillet 1881).

L’article 434-24 du Code pénal donne de l’outrage à magistrat la définition suivante : « (…) paroles, gestes ou menaces, par écrits ou images de toute nature non rendus publics ou par l’envoi d’objets quelconques adressé à un magistrat, un juré ou toute personne siégeant dans une formation juridictionnelle dans l’exercice de ses fonctions ou à l’occasion de cet exercice et tendant à porter atteinte à sa dignité ou au respect dû à la fonction dont il est investi ».

L’article 433-5 alinéa 1er du Code pénal donne de l’outrage à personne chargée d’une mission de service public la définition suivante : « (…) les paroles, gestes ou menaces, les écrits ou images de toute nature non rendus publics ou l’envoi d’objets quelconques adressés à une personne chargée d’une mission de service public, dans l’exercice ou à l’occasion de l’exercice de sa mission, et de nature à porter atteinte à sa dignité ou au respect dû à la fonction dont elle est investie »

En comparant les deux textes, il n’y a guère de place à un cumul idéal d’infraction que pour des invectives ou des insultes qui auraient pour support d’expression la parole ou l’écrit dont l’image, les infractions de presse ne pouvant être consommées par le geste ou la remise d’un objet.

Dans ce cadre, les deux textes sur l’outrage donnent des critères cumulatifs de distinction :

  • Le critère de publicité, l’outrage reposant sur un support non public d’expression ;
  • Le critère interpersonnel, c’est-à-dire le choix du prévenu d’adresser directement ses insultes ou ses invectives à sa victime ou à l’un de ses rapporteurs nécessaires.

Ainsi, nous serions tentés de conclure qu’une invective relève de l’outrage et non de l’injure si elle n’est pas publique (aucun des vecteurs de publicité de l’article 23 de la loi du 29 juillet 1881 n’a été utilisé par l’auteur des propos) et si les propos ont été adressés à la victime ou à un rapporteur nécessaire de cette victime.

Toutefois, le critère de la publicité est en réalité un faux critère et la décision commentée nous le démontre une fois de plus :

  • D’abord, ce critère de publicité ne permet pas de résoudre le conflit idéal d’infraction entre l’injure non publique et l’outrage ; ce conflit de qualification entre le délit d’outrage par écrit non rendu public et la contravention de première classe d’injure non publique est en vérité réglé en faveur de l’outrage par le critère interpersonnel (, 24 janvier 1991, n° 87-90.214) ;
  • Ensuite, il existe des cas où des propos, même rendus publics au sens de l’article 23 de la loi du 29 juillet 1881, constitueront un outrage ; tel est le cas dans l’espèce commentée où un justiciable mécontent avait diffusé sur sa page Facebook publique une vidéo dans laquelle il s’adressait au magistrat en ces termes « vous êtes des guignols, des nuls, imperformants, inefficaces, dangereux, vous êtes dangereuse madame la juge », en la qualifiant de « folle » et « criminelle » et en ajoutant « ça va très mal se passer (…) je vous le dis madame la juge, je vous le dis dans les yeux ».

Et la Cour de cassation de conclure : « 9. Toute expression outrageante, qu’elle s’adresse directement ou par la voie d’un rapporteur nécessaire à un magistrat de l’ordre judiciaire, dans l’exercice de ses fonctions ou à l’occasion de cet exercice, entre dans les prévisions de ce texte, même si elle présente un caractère public ».

C’est d’ailleurs ce même critère interpersonnel propre à l’outrage qui, selon le Conseil constitutionnel, rend les textes d’incrimination parfaitement constitutionnels puisque suffisamment distincts dans leur élément matériel (Cons. const. 9 avril 2021, n°2021-896 QPC).

Certains objecteront que l’arrêt est rendu au visa du seul article 434-24 du Code pénal et qu’il s’agirait ainsi d’une décision propre à l’infraction d’outrage à magistrat… Donc impossible d’étendre sa portée aux faits relevant de l’article 433-5 sur l’outrage à personne chargée d’une mission de service public (tel qu’un agent public ou un élu).

La critique est ferme, certes !

Mais néanmoins, une lecture attentive des deux textes démontre – ce que le Conseil constitutionnel soulignait lui-même en 2021 – une similarité de rédaction de l’élément matériel.

La forte ressemblance est telle qu’elle n’a pu être que délibérément voulue par le législateur. Dès lors, il semble possible, sans trop de risque et sans pour autant encourir la colère de la déesse Thémis, de tenir un raisonnement par analogie même si l’on connaît le sort habituellement réservé par le Droit pénal et la Pratique à ce mode d’interprétation.

Enfin, l’intérêt stratégique de cette extension pourrait être de taille, du moins tant que la Chambre criminelle admettra que le délit d’outrage n’est pas impacté par le champ d’application de l’article 10 de la Convention européenne des droits de l’homme (Crim., 29 mars 2017, n°16-80.637).

L’invective publique d’un élu ou d’un agent public personnellement reçue sur les réseaux sociaux pourrait alors échapper à la dureté juridique des infractions de presse et permettre – pour une plus grande défense de nos valeurs républicaines – une juste sanction.

Candidature à un marché public : l’exclusion facultative relative à l’obtention d’informations confidentielles ne concerne que des circonstances se rattachant à la procédure de passation en cours

Par une ordonnance rendue le 12 mars 2025, le Juge des référés précontractuels du Tribunal administratif de Grenoble a précisé les conditions d’application dans le temps de l’exclusion de soumissionner facultative relative à l’obtention d’informations confidentielles prévue à l’article L. 2141-8 du Code de la commande publique.

Cet article dispose que : « L’acheteur peut exclure de la procédure de passation d’un marché les personnes qui : 1° Soit ont entrepris d’influer indûment sur le processus décisionnel de l’acheteur ou d’obtenir des informations confidentielles susceptibles de leur donner un avantage indu lors de la procédure de passation du marché, ou ont fourni des informations trompeuses susceptibles d’avoir une influence déterminante sur les décisions d’exclusion, de sélection ou d’attribution ; (…). »

Pour le cas d’exclusion relative aux tentatives d’influence du processus décisionnel de l’acheteur, le Conseil d’État, dans son arrêt Département des Bouches-du-Rhône I, avait considéré qu’un acheteur public peut prendre en compte le comportement d’un opérateur économique dans d’autres procédures récentes pour l’exclure de celle à laquelle il candidate (CE, 24 juin 2019, Département des Bouches-du-Rhône, n° 428866). Par l’arrêt Département des Bouches-du-Rhône II, le Conseil d’État avait précisé la période pendant laquelle un opérateur peut être exclu pour ce cas.

Pour le cas d’exclusion relative à l’obtention d’informations confidentielles, le Conseil d’État avait jugé dans la retentissante affaire du SEDIF que cette exclusion facultative est constituée lorsque l’acheteur « identifie des éléments précis et circonstanciés indiquant que l’opérateur a effectué des démarches qu’il savait déloyales en vue d’obtenir des informations dont il connaissait le caractère confidentiel et qui étaient susceptibles de lui procurer un avantage indu dans le cadre de la procédure de passation » (CE, 2 février 2024, Société Suez Eau France, req. n° 489820).

La question des modalités d’application dans le temps de ce motif d’exclusion pouvait se poser. C’est la question qui était posée au Juge des référés du Tribunal administratif de Grenoble par une société évincée de l’attribution d’un accord-cadre qui demandait, au visa de l’article L. 551-1 du Code de justice administrative, l’annulation du rejet de son offre en plus de celle de la décision d’attribution.

Dans cette espèce, la société candidate évincée soutenait à l’appui de sa requête qu’une des sociétés membre du groupement retenu avait eu connaissance par le passé de certaines de ses informations confidentielles.

Le juge des référés rejette la demande en considérant que le membre du groupement attributaire visé n’a pas participé à la préparation de la procédure de passation du marché litigieux et il n’est pas établi, ni même allégué, qu’il aurait entrepris d’obtenir des informations confidentielles auprès de l’acheteur ou de ses concurrents dans le cadre de cette procédure. Il constate au surplus que le membre du groupement attributaire visé ne peut davantage être regardée comme ayant entrepris des démarches déloyales en vue d’obtenir des informations dont elle connaissait le caractère confidentiel et qui étaient susceptibles de lui procurer un avantage indu.

L’extension du principe de transparence des conventions d’occupation du domaine public : l’obligation pour l’autorité gestionnaire de communiquer aux candidats la composition de l’entité chargée de l’examen des candidatures

Par une décision en date du 28 février 2025, la Cour administrative d’appel de Marseille s’est prononcée sur les règles de transparence et de procédure de sélection d’une convention d’occupation du domaine public (ci-après, « CODP ») et a considéré que celles-ci imposaient à l’autorité gestionnaire du domaine d’indiquer, dans les documents de la consultation, la composition de l’entité chargée d’analyser les candidatures.

En l’espèce, la société GCV Services avait sollicité du Tribunal administratif l’annulation d’une CODP de cabines dans les halles du marché municipal de la commune de Beausoleil afin d’y exercer une activité de vente, distribution et présentation de produits alimentaires assorti de conclusions indemnitaire du fait de son éviction. Le Tribunal administratif de Nice a rejeté sa demande. La société GCV Service a fait donc fait appel de ce jugement.

L’arrêt de la Cour administrative d’appel de Marseille est d’un double apport.

D’une part, elle a considéré que le principe de transparence visé à l’article L. 2122-1-1 du Code général de la propriété des personnes publiques (ci-après, le « CG3P »), impose la communication aux candidats de la composition de l’entité gestionnaire qui est chargé de l’examen des candidatures.

Or, l’avis d’appel à candidatures, se limitant seulement à préciser que les dossiers devaient être adressés au service patrimoine et en ne mentionnant que l’adresse électronique de l’agent chargé de fournir, le cas échéant, des renseignements complémentaires, sans donner aucune autre indication, n’était pas suffisant pour garantir une transparence suffisante.

D’autre part, la Cour exerce un réel contrôle de la complétude des dossiers de candidature au regard des informations exigées par les documents de la consultation en considérant qu’ils ne servaient pas à classer les candidatures mais seulement à vérifier la recevabilité des candidats.

La Cour a donc annulé le jugement du Tribunal administratif de Nice sur le fondement de la méconnaissance de principe de transparence.

Il est à noter que la Cour administrative de Marseille fait preuve d’une lecture particulièrement stricte du principe de transparence s’imposant aux CODP, se rapprochant des exigences de complétude des candidatures et offres qui s’imposent aux candidats à des contrats soumis au Code de la commande publique.

 

Le Sénat lance une commission d’enquête sur la commande publique

Depuis le 5 mars 2025, une commission d’enquête du Sénat se penche sur « les coûts et les modalités effectifs de la commande publique et la mesure de leur effet d’entraînement sur l’économie française ».

Cette commission d’enquête a été initiée en partant du constat, d’une part, que la commande publique irrigue l’économie française, avec plus de 170 milliards d’euros de dépenses cumulées par an mais, d’autre part, qu’elle est critiquée de manière récurrente pour sa complexité, tant du côté des acheteurs publics que des acteurs économiques.

La méthodologie de cette commission d’enquête sera la suivante :

  • Réaliser un état des lieux, auprès de toutes les parties prenantes, du cadre juridique actuel, afin d’élaborer des propositions de simplification des procédures au bénéfice des acheteurs publics et des petites et moyennes entreprises (PME) ;
  • Examiner plusieurs cas concrets de marchés publics pour lesquels elle s’attachera à déterminer si leurs conditions d’attribution et d’exécution ont respecté la réglementation applicable ;
  • Se rendre à Bruxelles pour échanger avec l’ensemble des acteurs du processus en cours de révision des directives européennes du 14 février 2014.

Dans ce cadre, un riche programme d’auditions, disponibles en vidéo, est organisé. Ont d’ores et déjà été entendus les représentants des maires et intercommunalités, des départements, des régions, de l’Etat, des armées, de l’Union des groupements d’achats publics (UGAP), de la Cour des comptes, ainsi que de juristes, d’économistes, de dirigeants d’entreprises et d’élus.

En complément, le Sénat a ouvert une consultation en ligne afin de recueillir directement l’avis des élus locaux, jusqu’au 30 avril 2025 à 18 h.

Ces auditions et consultations visent à recueillir des témoignages sur les principaux enjeux faisant l’actualité de la commande publique, à savoir la professionnalisation de la fonction achat, le recours aux centrales d’achat, le développement des achats durables, le risque juridique et pénal, la complexité de la réglementation et des procédures, le soutien aux TPE-PME, à l’économie locale ou à l’innovation.

Les conclusions de cette commission d’enquête sont attendues pour le mois de juin 2025.

Le droit d’accès aux données à caractère personnel : quels enjeux et quelles obligations pour les responsables de traitement ?

Le droit d’accès, consacré à l’article 15 du Règlement Général sur la Protection des Données (RGPD)[1], vise à garantir aux personnes concernées une transparence totale sur le traitement de leurs données personnelles.

Ce droit permet à toute personne concernée par un traitement de données personnelles d’obtenir du responsable de traitement la communication desdites données.

Notons qu’en 2024 la Commission Nationale de l’Informatique et des Libertés (CNIL) a placé ce droit au cœur de ses contrôles[2].

A l’occasion d’une action coordonnée au niveau européen, la CNIL a mené une série d’investigations auprès d’entités publiques et privées afin d’évaluer si celles-ci répondaient, conformément aux exigences du RGPD, aux demandes de droit d’accès[3]. Elle a alors pris des mesures répressives à l’encontre de nombreux organismes qui ne répondaient pas – ou seulement partiellement – aux personnes concernées.

Ainsi, le droit d’accès s’affirme aujourd’hui comme l’un des droits fondamentaux octroyés à toute personne concernée par un traitement de données personnelles.

Cependant, bien qu’il soit essentiel et de plus en plus invoqué par les individus, ce droit demeure empreint d’incertitudes quant à ses contours. Sa large portée et les défis pratiques qu’il soulève rendent son application complexe, tant pour les responsables de traitement que pour les personnes concernées

Examinons donc de manière détaillée l’étendue du droit d’accès (I), les conditions dans lesquelles les personnes concernées doivent l’exercer (II), ainsi que le type de réponse que peuvent apporter les responsables de traitement (III). Enfin, revenons sur les limites inhérentes à ce droit d’accès aux données personnelles (IV).

 

I. L’étendue du droit d’accès : que comprend concrètement ce droit ?

Le droit d’accès permet à toute personne d’obtenir, auprès d’un organisme responsable de traitement, la confirmation du traitement de ses données personnelles (1), et, le cas échéant, l’accès, d’une part, à ses données personnelles (2), et, d’autre part, aux modalités de traitement de ses données (3).

 

1. La confirmation – ou non – du traitement de données à caractère personnel

La première composante du droit d’accès réside dans la possibilité, pour la personne concernée, de savoir si des données personnelles la concernant font l’objet d’un traitement par l’organisme.

Dans le cas où aucune donnée personnelle n’est traitée, le responsable du traitement doit se contenter de notifier qu’aucune donnée relative à la personne concernée n’est en cours de traitement. En revanche, lorsque des données sont effectivement traitées, le responsable a l’obligation de confirmer ce fait à la personne concernée.

 

2. L’accès aux données à caractère personnel

L’accès aux données à caractère personnel, deuxième composante du droit d’accès prévu à l’article 15, paragraphe 1, constitue l’essence même de ce droit.

Il est important de préciser que ce droit englobe l’accès aux données permettant d’identifier directement, mais également indirectement, la personne concernée.

Ainsi, l’éventail des données susceptibles de relever de ce droit est particulièrement vaste et inclut toutes les informations relatives à la personne concernée, dès lors qu’elles sont traitées par le responsable.

 

3. L’accès aux caractéristiques du traitement

Le droit d’accès confère également à la personne concernée le droit d’obtenir des informations détaillées sur les caractéristiques du traitement de ses données personnelles. Ces informations doivent permettre à l’individu de comprendre pleinement le traitement auquel ses données sont soumises et d’en vérifier la licéité.

Elles incluent notamment les éléments suivants :

  • Les finalités du traitement : la raison pour laquelle les données sont collectées et traitées ;
  • Les catégories de données personnelles concernées : les types de données traitées (par exemple : données d’identification, données de localisation, etc.) ;
  • Les destinataires des données : les personnes ou entités auxquelles les données ont été ou seront transmises, en particulier lorsqu’elles sont destinées à des destinataires situés dans des pays tiers ou des organisations internationales ;
  • La durée de conservation des données ou, si cela n’est pas possible, les critères permettant de déterminer cette durée ;
  • Les droits de la personne concernée et notamment le droit de demander la rectification, l’effacement ou la limitation du traitement de ses données, ainsi que le droit de s’opposer à ce traitement ;
  • Le droit de déposer une réclamation : la personne concernée doit être informée de son droit d’introduire une réclamation auprès de l’autorité de contrôle compétente ;
  • Les sources des données : si les données ne sont pas collectées directement auprès de la personne concernée, celle-ci doit être informée de la source de ces données ;
  • Les décisions automatisées : lorsqu’un traitement automatisé, y compris un profilage, est effectué, la personne concernée a droit à des informations concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour elle.

 

II. L’évaluation de la demande par le responsable de traitement : quelles conditions pour qu’une demande soit considérée comme valide ?

Il convient de préciser que les demandes d’accès ne sont soumises à aucune condition de forme particulière (1), et que, sauf exceptions, les personnes concernées ne sont pas tenues de justifier de leur identité (2).

 

1. L’absence de condition tenant à la forme de la demande

Le RGPD n’impose aucune exigence formelle quant à la manière dont les personnes concernées doivent soumettre leur demande d’accès aux responsables de traitement.

En conséquence, ces dernières peuvent exercer ce droit par tout moyen de communication, qu’il soit électronique ou postal.

La CNIL rappelle toutefois que si la demande d’accès est formulée par voie électronique, le responsable de traitement doit répondre par voie électronique, à moins que la personne concernée indique expressément qu’elle souhaite obtenir une réponse par un autre moyen, tel que par courrier papier[4].

 

2. L’absence de condition tenant à la justification de l’identité de la personne concernée

L’article 15 du RGPD consacrant le droit d’accès ne fait état d’aucune condition tenant à la justification de l’identité de la personne formulant une demande.

La CNIL considère que, bien souvent, l’authentification du demandeur est évidente et peut découler du contexte dans lequel s’inscrit la demande, de sorte que la fourniture d’une pièce d’identité ne constituerait pas une collecte de données pertinente et proportionnée.

Notons toutefois que la Commission admet que lorsque le responsable de traitement a des doutes raisonnables sur l’identité de la personne demandeuse, il est en mesure de demander des informations complémentaires pour confirmer son identité[5].

Dans cette hypothèse, le responsable de traitement doit veiller à ne pas recueillir plus de données à caractère personnel que ce qui est nécessaire pour permettre l’authentification de la personne demandeuse.

A titre d’illustration, la CNIL considère que peu de doute subsiste quant à l’identité d’un salarié qui demande à son employeur, via sa messagerie professionnelle, l’accès à la communication des données personnelles qu’il détient sur lui[6].

 

III. Les modalités d’accès aux données : comment répondre à une personne concernée ?

Il convient désormais de préciser les exigences relatives aux modalités de réponse à une demande d’accès, en examinant successivement le contenu de la réponse (1), le format requis (2) et les délais dans lesquels elle doit être fournie (3).

 

1. Le contenu de la réponse à une demande d’accès

L’article 15, paragraphe 3, du RGPD prévoit que le responsable du traitement doit fournir une « copie des données à caractère personnel faisant l’objet d’un traitement ».

Il convient alors d’analyser à quoi renvoie la notion de « copie » de données personnelles.

À cet égard, dans un arrêt rendu le 4 mai 2023[7], la Cour de justice de l’Union européenne (CJUE) a apporté des éclairages essentiels concernant l’interprétation qui doit être faite de cette notion.

Dans cet arrêt, la CJUE était notamment interrogée sur le fait de savoir si le droit d’accès doit être interprété « en ce sens qu’il consacre pour la personne concernée un droit général à la remise d’une copie – également – de l’intégralité des documents dans lesquels les données à caractère personnel de la personne concernée sont traitées (…) ou bien prévoit-il pour la personne concernée – uniquement – un droit à la reproduction fidèle à l’original des données à caractère personnel » ?

La CJUE a indiqué que le libellé de l’article 15 ne mentionne pas un droit à la remise des copies des documents, mais uniquement un droit d’accès aux données personnelles contenues dans ces documents.

La Cour a précisé que le terme « copie » se réfère non pas aux documents en tant que tels, mais aux données personnelles qu’ils contiennent, ces dernières devant être fournies dans leur intégralité[8].

Partant, les responsables de traitement doivent, au sein de leur réponse aux demandes d’accès, veiller à fournir à la personne concernée les données la concernant, sans qu’ils ne soient dans l’obligation de fournir la copie des documents les contenant.

 

2. Le format de la réponse à une demande d’accès

L’article 12.1 du RGPD prévoit que : « (…) Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens. »

Il résulte de cet article que le RGPD n’impose pas un moyen unique au responsable de traitement pour répondre à une demande de droit.

Le Comité Européen de la Protection des Données (CEPD) précise à ce sujet que, dès lors que les informations doivent perdurer au fil du temps, les informations écrites, y compris par voie électronique, sont préférables à d’autres formes[9].

 

3. Les délais accordés au responsable de traitement pour répondre à une demande d’accès

L’article 12.3 du RGPD prévoit que les responsables de traitement doivent répondre aux demandes d’accès « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande»

Il prévoit ensuite que « au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes ».

En principe, le responsable de traitement dispose donc d’un délai d’un mois, à compter de la réception de la demande, pour répondre à la personne ayant exercé un droit.

Toutefois, deux hypothèses permettent de prolonger ce délai d’un mois de deux mois, à savoir lorsque la demande est complexe ou lorsque la structure concernée par l’exercice de droits a reçu de nombreuses demandes.

Le CEPD fournit « certains des facteurs qui pourraient être considérés comme pertinents »[10] pour apprécier la complexité d’une demande, tels que :

  • la quantité de données traitées par le responsable du traitement ;
  • la manière dont les informations sont stockées, notamment lorsqu’il est difficile de les récupérer et de les rassembler, par exemple lorsque les données sont traitées par différentes unités du responsable de traitement[11].

Bien que le délai de principe d’un mois puisse être prolongé dans certains cas particuliers, il importe de garder à l’esprit que l’objectif premier du droit d’accès, tel qu’établi par le RGPD, est de garantir une réponse aux personnes concernées dans des délais raisonnables, afin de d’assurer de la transparence des traitements de données.

 

IV. Les limites du droit d’accès : dans quels cas le responsable de traitement peut-il refuser la communication des données ?

 

L’article 12.5 du RGPD prévoit que le responsable de traitement peut refuser de répondre à une demande d’accès lorsque la demande apparaît manifestement infondée (1) ou excessive (2).

 

1. Le cas de la demande manifestement infondée

Dès lors qu’il existe très peu de conditions préalables à l’exercice d’une demande d’accès, le CEPD précise que les cas dans lesquels un responsable de traitement peut légitimement refuser une demande d’accès pour cause de fondement manifestement insuffisant sont exceptionnellement rares.

Bien que le Comité ne fournisse pas d’exemples précis de demandes infondées, il indique que celles-ci pourraient concerner des requêtes portant sur des activités de traitement qui ne relèvent manifestement pas des opérations effectuées par le responsable de traitement[12].

 

2. Le cas de la demande excessive

Conformément à l’article 12.5 du RGPD, une demande d’accès peut être refusée si elle est manifestement excessive, « notamment en raison de [son] caractère répétitif ».

Bien que le RGPD ne fournisse pas de définition précise du terme « excessif », il ressort des lignes directrices du CEPD que ce caractère excessif s’apprécie au regard des circonstances spécifiques de chaque demande.

Dès lors, le responsable du traitement est tenu d’évaluer, au cas par cas, si les demandes successives d’une même personne concernée dépassent un délai raisonnable. Cette évaluation doit prendre en compte des éléments tels que la fréquence de mise à jour des données, la sensibilité des informations demandées, la finalité du traitement poursuivie, etc.[13].

Par exemple, dans des secteurs où les données sont fréquemment actualisées (ex : réseaux sociaux), des demandes régulières peuvent être considérées comme raisonnables. En revanche, des demandes répétées concernant les mêmes données, sans changement substantiel dans celles-ci, peuvent être jugées excessives.

Ainsi, le responsable du traitement doit agir avec discernement, en s’appuyant sur les attentes raisonnables des personnes concernées, tout en veillant à ne pas entraver l’exercice de leurs droits.

En tout état de cause, il résulte de la position de la CNIL et du CEPD en la matière que ces notions de demande « infondée » et « excessive » doivent être interprétées de manière restrictive, les principes de transparence et de gratuité des droits des personnes concernées ne devant pas être compromis.

En conclusion, le droit d’accès aux données personnelles constitue un pilier fondamental du RGPD, garantissant la transparence des traitements et l’autodétermination informationnelle des individus. Toutefois, si ce droit incarne une avancée majeure en matière de protection des données, sa mise en œuvre concrète demeure semée d’embûches pour les responsables de traitement : articulation avec d’autres droits fondamentaux, complexité technique de certaines demandes, évaluation du caractère excessif ou infondé… autant de défis auxquels ils doivent faire face au quotidien. Dès lors, garantir un exercice effectif de ce droit impose aux acteurs publics et privés non seulement une parfaite connaissance de leurs obligations légales, mais aussi une organisation rigoureuse et une vigilance constante. À l’heure où les contrôles de la CNIL se renforcent, le droit d’accès ne peut plus être perçu comme une simple formalité : il est désormais au cœur de la conformité et de la confiance numérique.

_____

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[2] Fiche CNIL – Les contrôles de la CNIL en 2024 : données des mineurs, Jeux Olympiques, droit d’accès et tickets de caisse dématérialisés (février 2024)

[3] Fiche CNIL – Droit d’accès : bilan des contrôles de la CNIL dans le cadre d’une action coordonnée européenne (janvier 2025)

[4] Fiche CNIL – Le droit d’accès : connaître les données qu’un organisme détient sur vous (septembre 2023)

[5] Fiche CNIL – Le droit d’accès : connaître les données qu’un organisme détient sur vous (septembre 2023)

[6] Fiche CNIL – Le droit d’accès des salariés à leurs données et aux courriels professionnels (MAJ en janvier 2025)

[7] CJUE, 4 mai 2023, ÖSTERREICHISCHE DATENSCHUTZBEHÖRDE ET CRIF, C-487/21

[8] Ibis § 29 et § 32

[9] Lignes directrices 01/2022 sur les droits des personnes concernées — Droit d’accès (mars 2023) –

Point 150

[10] Ibid, point 163.

[11] Ibid, point 163.

[12] Ibid, point 179.

[13] Ibid, point 185.