La responsabilité de l’État face au vol des données personnelles est aujourd’hui engagée par l’Association ADLF. Il vous est possible de soutenir cette action.
Cette responsabilité est devenue immense, car l’identité numérique est désormais incontournable pour accéder aux services publics.
En pratique, l’identité numérique n’est plus un choix, mais une condition imposée par la puissance publique.
Ainsi, pour accéder à leurs droits, les citoyens doivent transmettre et confier leurs données personnelles à l’État.
Or, lorsque l’État impose cette collecte, il assume nécessairement une obligation renforcée de protection.
Dès lors, toute violation de données engage sa responsabilité juridique.
Engager la responsabilité de la puissance publique constitue donc notre unique levier pour stopper l’identité numérique imposée.
En effet, l’usager ne peut ni refuser le traitement, ni choisir un autre opérateur.
Mais malgré cette contrainte, l’État est incapable d’assurer une sécurité suffisante des données personnelles.
Récemment, les services de la CAF et de France Travail ont été victime d’une cyberattaque. Ainsi, 22 millions de lignes d’informations correspondant aux données personnelles d’environ 4 millions d’allocataires ont été diffusées mercredi 17 décembre sur un forum cybercriminel.
Ces atteintes révèlent des failles graves dans des systèmes pourtant essentiels à la solidarité nationale.
Et pourtant, la dématérialisation des services publics se poursuit et s’intensifie.
L’accès aux prestations sociales repose désormais presque exclusivement sur des plateformes numériques.
Ainsi, l’ouverture ou la gestion d’un dossier impose la transmission de données nombreuses et sensibles.
Cette obligation ne relève pas d’un consentement libre, mais d’une exigence administrative.
Dès lors, l’État place les citoyens face à un risque qu’ils ne peuvent ni éviter, ni maîtriser.
Cette situation appelle une mise en cause directe de la responsabilité de la puissance publique.
Nous vous expliquons tout sur cette action que nous engageons et que vous pouvez soutenir.
Quelle action engagée contre l’Etat par l’ADLF ?
L’ADLF engage une action en responsabilité de l’Etat devant le Tribunal administratif de Paris afin de faire condamner l’Etat dans son incapacité à protéger les données personnelles des citoyens.
En effet, chaque victime pourrait se plaindre d’une usurpation ou d’un vol de ses données personnelles. Or, exercer un recours en justice constitue un cout non négligeable. Connaissance et compétence étant indispensable, de telles actions implique un certain investissement.
La victime doit démontrer le non respect par le DPO de la protection des données personnelles. Le fautif sera condamné si un préjudice est lié directement à ce non respect.
Ici, l’ADLF permettra à tout citoyen de soutenir son action et d’assurer à tous que le nonrespect de la protection de nos données personnelles soit réparer.
Renforcer la sécurité de nos données est indispensable lorsque l’Etat veut nous ficher et donner nos données personnelles à des multinationales.
Les risques d’une telle violation ne sont plus à négliger. Les détenteurs d’armes à feux sont aujourd’hui braqués car des hackeurs ont diffusé leurs adresses sur internet.
Quelles sont les responsabilités en cas de violation ?
L’Etat est responsable du vol des données personnelles, des services qu’il assure. C’est le règlement général de la protection des données dit RGPD qui fixe les règles. Ce règlement assure à tout citoyen la protection des données personnelles.
Qualification juridique du vol de données personnelles
En droit de la protection des données, la notion de « vol » est dépassée au profit de celle de violation de données personnelles.
Le règlement (UE) 2016/679 dit RDPD, définit cette violation. Il s’agit detoute atteinte à la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles, de manière accidentelle ou illicite (article 4, § 12 RGPD).
Ainsi le « hack » ou le « vol » de données personnelles constitue une violation de données personnelles.
Application du RGPD aux administrations et à l’État
Lorsque le responsable du traitement est une administration ou l’État, les règles du RGPD et de la loi n° 78-17 du 6 janvier 1978 modifiée s’appliquent pleinement.
L’État agit alors comme responsable de traitement au sens de l’article 4, § 7 du RGPD et ne bénéficie d’aucune exonération de principe liée à sa qualité de puissance publique.
En cas de vol de données personnelles, c’est lui qui en est responsable.
Obligation générale de sécurité des données personnelles
L’article 5, f), du RGPD impose que les données personnelles soient traitées de manière à garantir une sécurité appropriée.
Cette obligation est précisée par l’article 32 du RGPD, qui impose la mise en œuvre de mesures techniques et organisationnelles adaptées aux risques, notamment le contrôle des accès, le chiffrement et la protection contre les intrusions.
Sécurité dès la conception et par défaut
Le responsable public doit intégrer la protection des données dès la conception du traitement et par défaut, conformément à l’article 25 du RGPD.
Cette exigence implique d’éviter toute exposition inutile des données et de limiter strictement les accès, y compris en interne, au sein des services administratifs.
Pourquoi engager la responsabilité de l’Etat du fait du vol des données personnelles ?
Engager la responsabilité de l’État s’impose dès lors que le vol de données personnelles est la conséquence directe de dispositifs d’identification qu’il a lui-même imposés ou rendus incontournables.
Une identité numérique rendue incontournable par l’État
L’État a progressivement rendu l’identité numérique indispensable pour accéder aux services publics, par la généralisation des téléservices et la mise en place de dispositifs tels que FranceConnect, FranceConnect+ ou la carte nationale d’identité électronique.
Ces outils, fondés sur des textes législatifs et réglementaires, conditionnent désormais l’accès effectif aux droits sociaux, administratifs et fiscaux à une identification numérique préalable.
La dématérialisation des démarches administratives repose d’abord sur le principe posé par le code des relations entre le public et l’administration.
L’article L. 112-8 du CRPA prévoit que toute personne peut saisir l’administration par voie électronique.
Dorénavant tous les services de l’Etat organisent des téléservices pour l’accomplissement des démarches administratives.
Si ce texte n’impose pas formellement l’identité numérique, il constitue la base juridique permettant à l’administration de substituer des procédures numériques aux démarches physiques.
Ainsi, en pratique, les démarches papiers, sans être interdites, sont rendues particulièrement difficiles.
La généralisation de l’identité numérique
Le décret n° 2019-452 du 13 mai 2019 a créé le dispositif d’authentification électronique Alicem, fondé sur l’utilisation de données biométriques pour établir une identité numérique.
Ce texte constitue l’un des rares exemples explicites d’un dispositif d’identité numérique institué par voie réglementaire, et il a été contesté précisément en raison de l’absence d’alternative non biométrique.
En outre, le décret n° 2016-1460 du 28 octobre 2016 a créé le fichier des titres électroniques sécurisés.
Ce fichier centralise les données nécessaires à la délivrance des cartes nationales d’identité et des passeports.
Ce fichier, en rendant possible une identification numérique fiable et pérenne des personnes, constitue l’infrastructure juridique essentielle de l’identité numérique de l’État.
Il s’agit d’un texte fondamental dans la construction d’une identité administrative numérique unifiée.
Le contrôle de l’Etat sur les mineurs
Afin d’instaurer des mesures de sécurité pour les mineurs, l’Etat a imposé une identification pour accéder aux réseaux sociaux. La majorité numérique est fixée à 15 ans (article 45 de la loi n° 78-17 du 6 janvier 1978).
Cette mesure a été instaurée par la loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne.
Toutefois, les décrets d’application nécessaires à l’entrée en vigueur complète de ces obligations n’ont pas été publiés.
Cela résulte des réserves de la Commission européenne, notamment au regard du règlement sur les services numériques (DSA).
Or, pour contrôler les mineurs, il faut contrôler l’ensemble de la population. Cela signifie que des données biométriques seront entre les mains de plateformes étrangères (META, TIK TOK, X etc…).
Comment la victime doit réagir face à une fuite de données ?
En tant que victime vous devez être informée par le responsable du traitement. Ensuite, adoptez un comportement prudent.
Droit à l’information en cas de fuite de données
Tout d’abord, en tant que victime d’une fuite de données, vous devez être informée par le responsable du traitement.
Cette notification doit être claire, compréhensible et rapide.
Elle doit préciser quelles données ont été exposées, les risques encourus pour la protection de la vie privée et les mesures de sécurité mises en place pour limiter les conséquences. À défaut d’information suffisante, vous êtes en droit de demander des explications ou de saisir l’autorité compétente.
Vigilance et précautions personnelles à adopter
Une fois informée, vous devez réagir avec prudence. Changez vos mots de passe, sécurisez vos comptes et restez attentive aux tentatives de fraude liées à la fuite de données.
Adoptez des mesures de sécurité adaptées et conservez les preuves de l’incident. Ce comportement prudent est essentiel pour limiter les impacts et préserver durablement la protection de la vie privée.
Qui est responsable en cas de piratage ?
Il convient d’envisager la responsabilité des plateformes en charge de la protection des données, ainsi que de l’Etat qui impose un tel traitement.
Principe général : le responsable de traitement en première ligne
En cas de piratage impliquant des données à caractère personnel, le premier responsable est le responsable de traitement.
Il s’agit de l’entité qui détermine les finalités et les moyens du traitement des données.
À ce titre, il répond juridiquement des atteintes subies par les personnes concernées, même lorsque le piratage est commis par un tiers malveillant.
Responsabilité des plateformes en cas de piratage
Lorsqu’une plateforme numérique, y compris une plateforme de streaming pornographique comme PORNHUB, collecte et traite des données à caractère personnel, elle agit en qualité de responsable de traitement.
En cas de piratage, sa responsabilité civile peut être engagée.
Selon la gravité des faits, une responsabilité pénale peut également être encourue. Ce sera le cas si un manquement grave aux obligations légales liées au traitement des données est établi.
Particularité des plateformes contraintes par la loi
La situation est spécifique lorsque la plateforme est contrainte par la loi de collecter certaines données.
L’obligation faite aux plateformes pornographiques d’empêcher l’accès des mineurs repose principalement sur la loi n° 2024-449 du 21 mai 2024, dite loi SREN, visant à sécuriser et réguler l’espace numérique.
Ici, c’est l’Etat qui impose de collecter des données personnelles.
En droit, la loi n’impose pas formellement une identification nominative.
Initialement, c’est la vérification de l’âge qui est imposé.
Toutefois, en pratique, cette obligation conduit les plateformes, y compris étrangères accessibles depuis la France comme PORNHUB, à collecter ou traiter des données permettant d’établir la majorité des utilisateurs.
Dans ce cas, la responsabilité de l’Etat peut elle être recherchée ?
L’Etat est il responsable lorsqu’il impose par la loi à une plateforme une collecte de données personnelles ?
En principe l’Etat n’est pas responsable. Cependant, des arguments plaident en cette faveur.
Une responsabilité limitée
Le fait que la loi impose à une plateforme privée de collecter certaines données personnelles n’entraîne pas automatiquement la responsabilité de l’État en cas de fuite.
En droit administratif, la responsabilité de l’État du fait des lois est un régime exceptionnel, strictement encadré par la jurisprudence.
Selon la jurisprudence classique du Conseil d’État (CE, ass., 14 janv. 1938, Société La Fleurette), cette responsabilité sans faute peut être engagée lorsque l’application d’une loi régulière fait peser sur certains acteurs une charge grave et spéciale, rompant l’égalité devant les charges publiques, sans que le législateur ait entendu exclure toute indemnisation.
Le préjudice doit résulter directement de la loi elle-même, et non des choix techniques ou organisationnels de l’opérateur.
Une responsabilité possible
Bien que difficilement démontrable, il peut être plaidé que dès lors que l’Etat n’est pas en mesure de s’assurer que les données des utilisateurs ne seront pas violées, une telle obligation est fautive.
Il peut être soutenu que, dès lors que l’État impose par la loi une collecte de données personnelles à des plateformes privées, il lui incombe de s’assurer que cette obligation est compatible avec un niveau de protection effectif des données des utilisateurs.
Or, lorsque l’État n’est pas en mesure de garantir, au moment de l’adoption de la loi, que les données ainsi collectées ne seront pas exposées à des violations prévisibles, cette obligation légale peut être regardée comme fautive dans sa conception même.
En effet, imposer une collecte obligatoire sans s’assurer de l’existence de garanties suffisantes, tant juridiques que techniques, revient à créer un risque structurel pour les droits fondamentaux des personnes concernées.
Ce risque est d’autant plus caractérisé lorsque la collecte porte sur des données sensibles ou socialement stigmatisantes, ou lorsqu’elle concerne des populations particulièrement vulnérables. Dans une telle hypothèse, le préjudice ne résulte pas uniquement du piratage commis par un tiers, mais trouve sa source dans la décision normative de l’État ayant rendu cette collecte inévitable.
Certes, la démonstration d’une telle faute est délicate, car elle suppose d’établir un lien direct entre la loi et le dommage subi. Toutefois, il peut être plaidé que l’État commet une carence fautive lorsqu’il impose une obligation de collecte de données sans avoir préalablement vérifié que cette obligation peut être mise en œuvre dans des conditions respectueuses du droit au respect de la vie privée et de la protection des données personnelles.
La faute ne résiderait alors pas dans la survenance du piratage, mais dans l’édiction d’une norme créant un risque excessif et insuffisamment maîtrisé.
Quelles sanctions en cas de non respect du RGPD ?
L’Etat, tout comme les entreprises, s’expose à des sanctions qui doivent plaider en faveur d’une opposition à l’identité numérique.
Cadre général des sanctions prévues par le RGPD
Le règlement européen relatif à la protection des données personnelles prévoit un régime de sanctions gradué en cas de non-respect de ses dispositions.
Toute entreprise ou tout organisme, public ou privé, traitant des données à caractère personnel engage un risque juridique dès lors qu’un manquement est constaté, qu’il résulte d’un acte volontaire ou d’une négligence dans la gestion des systèmes informatiques.
Sanctions administratives prononcées par la CNIL
La CNIL est l’autorité compétente pour contrôler l’application du RGPD et prononcer des sanctions administratives. Elle peut infliger une amende pouvant atteindre 20 millions d’euro ou 4 % du chiffre d’affaires annuel mondial, selon la nature et la gravité du manquement. Ces sanctions visent notamment les violations des principes essentiels du règlement européen, comme l’absence de base légale ou le défaut de sécurité des traitements.
Autres mesures administratives et correctrices
Outre l’amende, la CNIL peut adopter toute mesure relative à la mise en conformité, comme une mise en demeure, une limitation ou une suspension d’un traitement, voire l’interdiction définitive de celui-ci. Ces mesures ont pour objectif de rétablir la confiance des personnes concernées et de prévenir la répétition des manquements.
Responsabilité civile et réparation des préjudices
Le non-respect du RGPD peut également entraîner une responsabilité civile. Les personnes concernées peuvent obtenir réparation d’un préjudice moral, notamment en cas d’atteinte à leur vie privée ou à leur liberté individuelle. Cette réparation est indépendante des sanctions administratives et repose sur le dommage subi du fait du manquement.
Sanctions pénales en cas de manquement grave
Enfin, certains manquements peuvent relever du droit pénal. Des infractions prévues par le code pénal sanctionnent les atteintes aux données personnelles, notamment lorsque le traitement est effectué en violation délibérée de la loi. Dans ces cas, l’auteur peut être puni de peines d’emprisonnement et d’amendes pénales, ces sanctions visant à protéger la liberté et les droits fondamentaux des personnes.
Le non-respect du RGPD expose donc tout responsable à un ensemble de sanctions administratives, civiles et pénales. Au-delà de la sanction financière, le véritable enjeu réside dans la perte de confiance des usagers et dans la remise en cause durable de la légitimité des traitements de données mis en œuvre.
