Divulgation de données personnelles

La divulgation de données personnelles[1], appelée doxing ou doxxing en anglais[1], est une infraction consistant à rechercher et à divulguer sur l'internet des informations sur l'identité et la vie privée d'un individu dans le but de lui nuire. Les informations révélées peuvent être l'identité, l'adresse, le numéro de sécurité sociale, le numéro de compte bancaire, etc.

Le terme doxing vient soit du verbe anglais to document, qui signifie « fournir des preuves », soit de dox, variante orthographique de docs, pluriel de doc, abréviation de document[2].

Statistiques

D'après les recherches publiées en 2017 par des universitaires de l’Illinois et de New York, la moyenne d'âge des victimes est d'environ 21 ans et les hommes en représentent 82 %. Néanmoins, ce type de harcèlement ne touche pas que les plus jeunes, les victimes ayant de 10 à 74 ans. Les personnes les plus visées sont les hackers, les passionnés de jeux vidéo et les célébrités[3].
En France en 2024, après divers incidents concernant des enseignants ou des personnels de structures d'enseignement[4], l'angoisse monte dans ce milieu professionnel qui craint le phénomène en raison de ses conséquences parfois dramatiques, tels les assassinats des professeurs Samuel Paty et Dominique Bernard [5],[6].

But

Article connexe : cyberharcèlement.

La divulgation de données personnelles est souvent initiée par une personne ou un groupe de personnes en colère qui se focalisent sur une personne, éventuellement bouc émissaire, dans le but de lui nuire[7],[3]. Les internautes divulgateurs travaillent généralement de manière coordonnée[réf. nécessaire]. Les raisons sont diverses, allant par exemple de vengeances personnelles à la dénonciation de maltraitance d'animaux[8], au rapport d'actes de pédophilieetc.

La compétition, le désir de revanche ou de justice et l'appartenance à une idéologie politique semblent être les quatre principales motivations des personnes pratiquant la divulgation de données personnelles[3].

Conséquences

Une fois les informations rendues publiques, la vindicte populaire peut s’abattre sur la personne ciblée. Dans le cas où cette dernière a commis des actes illégaux, elle peut être dénoncée à la police. Dans certains cas extrêmes, cela peut avoir des conséquences très graves comme la perte d'un emploi ou des difficultés familiales. En fin de compte, la divulgation de données personnelles peut éliminer l'anonymat ou la crédibilité de quelqu'un[9].

Quelques exemples de harcèlement [réf. nécessaire]:

  • des commandes de pizzas livrées à domicile ;
  • appel des secours au domicile : pompiers, ambulance ;
  • appel des forces d'intervention spéciales au domicile, appelé swatting ;
  • menaces de mort ou menaces corporelles (dont menace de viol) avec des détails bien précis sur la personne pour lui faire peur.

Pour lutter contre cette pratique, des chercheurs américains souhaitent l'aide des forces de l’ordre pour reconnaître les victimes afin d'éviter un possible swatting, conséquence d'une divulgation de données personnelles alimentée par un crime imaginaire[3].

Légalité dans les pays francophones

En France

En France, la divulgation de données personnelles peut relever, selon les méthodes employées, de la loi pénale sur les atteintes à la personnalité, notamment :

  • atteinte à la vie privée ;
  • dénonciation calomnieuse ;
  • atteinte au secret (violation du secret des correspondances) ;
  • atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques : collecte, traitement et divulgation de données personnelles sans le consentement de l'intéressé ou sans autorisation légale.

Sanctions judiciaires

En outre, la loi no 2021-1109 du confortant le respect des principes de la République[10] a créé un délit spécifique (article 223-1-1 du code pénal) de mise en danger de la vie d'autrui par diffusion d'informations relatives à la vie privée, familiale ou professionnelle. Ce délit est puni de trois ans d'emprisonnement et de 45 000 euros d'amende. La responsabilité du directeur de publication d'un journal, d'un média audiovisuel ou d'un site Internet peut également être engagée. Les peines sont portées à cinq ans d'emprisonnement et 75 000 euros d'amende lorsque la victime est un agent public, un élu, un journaliste, si elle est mineure ou d'une particulière vulnérabilité (âge, maladie, infirmité, handicap, grossesse). Cette disposition fait suite à l'assassinat de Samuel Paty, qui eut lieu à la suite de la diffusion d’informations privées sur un réseau social, ayant conduit à l'identification du professeur. La divulgation des données dans le but de nuire était déjà condamnée dans d'autres articles du code pénal et aussi dans la loi du sur la liberté de la presse[11],[12].

Sont consacrés dans l’article 223-1-1 du code pénal français deux éléments constitutifs de l’infraction : un élément matériel de l’infraction, consistant en la divulgation de données privées permettant l’identification de la victime, de son adresse ou de ses proches, et un élément moral, qui implique que l’auteur de l’infraction ait connaissance des conséquences négatives de son acte, que lesdites conséquences soient recherchées par l’auteur. Cette infraction est continue, la diffusion d’informations privées avant l’entrée en vigueur de la loi pourra donc être sanctionnée si le support de diffusion, comme peut l’être un tweet, est encore accessible passé l’entrée en vigueur de la loi.

En République Démocratique du Congo

En République Démocratique du Congo, la Loi n° 20/017 du 25 novembre 2020 marque une avancée importante dans la protection des données personnelles et de la vie privée dans les télécommunications et les TIC. Elle garantit le secret des correspondances et interdit l'interception ou la divulgation sans autorisation du Parquet général. La loi exige le consentement préalable pour la collecte et le traitement des données personnelles, avec une protection renforcée pour les données sensibles. Les violations peuvent entraîner des sanctions pénales, des amendes et aussi des mesures de suspension ou de retrait d'autorisations administratives[13].

Le Décret n° 22/07 du 2 mars 2022, créant un fichier général de la population (FGP), renforce aussi la protection des données. Il centralise les informations biographiques et biométriques avec des règles strictes pour l'enregistrement et l'accès aux données, limité aux autorités autorisées, et impose des mesures de sécurité rigoureuses. Des sanctions sont prévues pour les actes frauduleux lors de l'enregistrement[14].

Au Canada

Au Canada, la protection des renseignements personnels est régie par deux lois fédérales principales : la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La Loi sur la protection des renseignements personnels s'applique aux ministères et organismes fédéraux, régissant la gestion des données personnelles par ces entités.

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) s'adresse aux entreprises du secteur privé et établit les règles pour la collecte, l'utilisation, et la divulgation des renseignements personnels.

La LPRPDE impose des obligations spécifiques en matière de divulgation non autorisée de données personnelles :

1. Consentement préalable : La loi exige que les organisations obtiennent le consentement explicite des individus avant de divulguer leurs renseignements personnels. Toute divulgation sans ce consentement est considérée comme illégale.

2. Sanctions : Les divulgations non autorisées constituent une violation de la loi, pouvant entraîner des sanctions civiles. Les personnes concernées peuvent déposer des plaintes auprès du Commissariat à la protection de la vie privée du Canada, qui a le pouvoir d'enquêter et de recommander des mesures correctionnelles.

3. Recours : Les individus peuvent avoir recours à des audits et à des poursuites judiciaires contre les entreprises en cas de divulgation non autorisée, pouvant mener à des amendes significatives pour les contrevenants.

Le Commissariat à la protection de la vie privée du Canada supervise la mise en œuvre de la LPRPDE et fournit des conseils aux entreprises pour assurer leur conformité à la loi. Il publie également des guides et des bulletins pour aider les entreprises à comprendre et à respecter les exigences législatives. En outre, des lois provinciales peuvent remplacer la LPRPDE si elles sont jugées essentiellement similaires.

Le gouvernement canadien met à disposition des guides, des bulletins d'interprétation, et des informations sur les règlements et décrets associés à la LPRPDE[15],[16],[17].

En Belgique

La loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a été publiée et est entrée en application le 5 septembre 2018. Elle remplace la loi sur la vie privée de 1992 et incorpore les principes du Règlement Général sur la Protection des Données (RGPD). Cependant, en ce qui concerne le droit à l'image, les principes demeurent largement les mêmes.

La loi s'applique principalement aux images de personnes. Les photos ou vidéos de biens ne sont pas couvertes, sauf si elles permettent d'identifier une personne. Dans ce cas, ces images sont considérées comme des données personnelles et doivent être analysées au cas par cas. Des exceptions à la loi incluent les images prises à des fins personnelles dans un cadre privé, comme pour un album de famille, ou les images mises en ligne avec un accès limité, par exemple sur des groupes privés de médias sociaux.

La loi prévoit également des limitations pour les finalités journalistiques et insiste sur le principe du consentement pour le traitement des données personnelles[18]. Cette loi remplace la législation de 1992 et adapte les principes au RGPD, concernant les traitements de données à caractère personnel[19]. En cas d'infraction liée à la protection des données personnelles, une plainte peut être introduite auprès de l'Autorité de protection des données (APD). Il est nécessaire d'avoir fait valoir ses droits auprès du responsable du traitement ou d'attendre un mois après cette demande avant de déposer la plainte. Les plaintes peuvent être soumises par courrier ou via le site de l'APD en utilisant un formulaire spécifique. Le traitement des plaintes peut prendre plusieurs mois et l'APD n'accorde pas d'indemnités aux plaignants, mais peut imposer des sanctions[20],[21].

En Suisse

En Suisse, le doxing est prohibé par des lois visant à protéger les données personnelles et la vie privée, notamment par la Loi fédérale sur la protection des données (LPD) et certaines dispositions du Code pénal suisse (CP). La LPD, révisée en 2023, renforce les sanctions pour violation des obligations liées à la protection des données. Voici quelques points clés concernant les sanctions pénales à cet égard :

Infractions intentionnelles

Les violations commises de manière intentionnelle sont punissables sur le plan du droit penal.

Responsabilité individuelle

Les infractions touchent principalement les personnes physiques. Toutefois, les dirigeants d'entreprise peuvent être poursuivis si les violations ont lieu dans un cadre professionnel.

Amendes

Les peines maximales peuvent atteindre 250 000 CHF. En cas de petites amendes (moins de 50 000 CHF), l'entreprise peut être condamnée à la place de l'individu si une enquête serait disproportionnée.

Obligation d’informer

Le traitement de données personnelles implique une transparence vis-à-vis des personnes concernées. Les responsables doivent les informer sur l'usage de leurs données et garantir le droit d'accès et de correction.

Devoir de discrétion

Certaines professions sont soumises à un devoir de discrétion, semblable au secret professionnel, punissant la divulgation illégale de données sensibles.

Protection accrue

Des dispositions pénales supplémentaires dans le CP (art. 179) couvrent des infractions telles que l'usurpation d'identité ou la soustraction de données non accessibles.

La divulgation malveillante de données personnelles telles que doxing peut donc entraîner des sanctions sévères, allant de l'amende à la condamnation pénale[22].

Notes et références

  1. a et b « divulgation de données personnelles », Grand Dictionnaire terminologique, Office québécois de la langue française (consulté le ).
  2. (en) Megan Garber, « Doxing: An Etymology », The Atlantic,‎ (lire en ligne).
  3. a b c et d « « Doxing » : pourquoi certains internautes divulguent les données privées de leurs cibles », Le Monde,‎ (ISSN 1950-6244, lire en ligne, consulté le ).
  4. Telles par exemple les menaces de mort envers le proviseur du lycée Maurice Ravel à Paris au printemps 2024. Voir l'article de Julie Urbach, « Laïcité à l’école : Le point après la démission du proviseur de Maurice-Ravel, menacé de mort », sur 20 minutes, (consulté le )
  5. Amandine Hirou, « L'angoisse des profs face au "doxing" : "On a peur de voir notre nom livré sur les réseaux sociaux" », sur L'Express, (consulté le )
  6. Julien Lausson, « Après l’affaire Samuel Paty, « doxer » les internautes est désormais passible de prison en France », sur Numerama, (consulté le )
  7. « Le doxxing : une nouvelle forme de violence sur internet », sur filsantejeunes.com (consulté le ).
  8. Maïté Warland, « Dusty : un chat maltraité sauvé par les internautes », RTL People,‎ (lire en ligne, consulté le ).
  9. (en) David M. Douglas, « Doxing: a conceptual analysis », Ethics and Information Technology (en), vol. 18, no 3,‎ , p. 199–210 (ISSN 1388-1957 et 1572-8439, DOI 10.1007/s10676-016-9406-0).
  10. « Article 36 de la loi no 2021-1109 », sur Légifrance (consulté le ).
  11. Julien Lausson, « 7 questions pour comprendre ce qu’est le doxing », sur Numerama, .
  12. Cédric Ingrand, « "Mise en danger par la publication de données personnelles" : sur les réseaux sociaux, le gouvernement veut punir le "doxing" », sur TF1 Info, .
  13. « Quelle protection de la vie privée et des données à caractère personnel dans la loi congolaise relative aux télécommunications et aux TIC ? », sur Legal RDC, (consulté le )
  14. « Décret 22.04.02.03 du 2 mars 2022 sur l'identification », sur Leganet.cd, (consulté le )
  15. « Commissariat à la protection de la vie privée du Canada », sur Commissariat à la protection de la vie privée du Canada (consulté le )
  16. « Protection des renseignements personnels et documents électroniques (LPRPDE) », sur Législation du gouvernement du Canada (consulté le )
  17. « Résumé de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) », sur Commissariat à la protection de la vie privée du Canada (consulté le )
  18. « La nouvelle loi du 30 juillet 2018 », sur Autorité de protection des données (consulté le )
  19. « Loi du 30 juillet 2018 », sur Administration fédérale de l'économie (consulté le )
  20. « Introduire une plainte », sur Autorité de protection des données (consulté le )
  21. « Introduire une plainte », sur Autorité de protection des données (consulté le )
  22. « Dispositions pénales - PFPDT », sur Préposé fédéral à la protection des données et à la transparence (PFPDT) (consulté le )

Articles connexes

  • icône décorative Portail de l’informatique
  • icône décorative Portail de la sécurité informatique
  • icône décorative Portail d’Internet