Données personnelles piratées : le droit dispose-t-il déjà des outils pour agir ?
Les lookups, moteurs de recherche alimentés par des données personnelles parfois issues de cyberattaques, illustrent les défis du numérique. Pourtant, le droit français et européen dispose déjà d'outils pour les encadrer. L'enjeu tient moins à un vide juridique qu'à l'effectivité des contrôles et des poursuites.
Publié le
Par Jean Sirinelli, Professeur de Droit public à l’Université Rennes
Les lookups, au croisement du droit des données et de la régulation numérique
Au risque de la simplification, il semble possible de qualifier les services de lookups au regard de ce qu’ils sont et de ce qu’ils font. D’une part, en leur qualité de moteurs de recherche, ils constituent des services intermédiaires au sens de l’article 3 du règlement du 19 octobre 2022 sur les services numériques (DSA), leurs fournisseurs relevant ainsi des dispositions du chapitre II de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. D’autre part, parce qu’ils agrègent des données personnelles, ils doivent être, conformément à la jurisprudence de la Cour de justice (CJUE, 13 mai 2014, Google Spain SL et Google Inc., aff. C-131/12), qualifiés de traitements de données relevant du RGPD et de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
On touche ici, sans doute, à l’une des explications de la difficulté à saisir de telles activités d’un point de vue juridique. Parce que les lookups se situent au carrefour de législations liées mais indépendantes juridiquement et formellement, leur traitement juridique global se révèle délicat. Si cette fragmentation normative est logique du point de vue du droit européen, qui tend à développer son oeuvre législative en silos, elle paraît plus étonnante en droit français, compte tenu de sa tradition de codification. De ce point de vue, l’appréhension juridique des lookups fait apparaître à la fois la difficulté légistique, pour le droit français, à intégrer de manière cohérente et systémique dans l’ordre juridique les législations européennes, et tout l’intérêt d’y parvenir.
Quels leviers pour faire cesser l’exploitation illicite des données ?
En premier lieu, en sa qualité de responsable de traitement, l’exploitant du lookup peut relever du pouvoir d’injonction de la CNIL. Toutefois, ce pouvoir, parce qu’il se rattache à la compétence de sanction de l’autorité, doit respecter un formalisme et des garanties procédurales stricts. Ce régime juridique protecteur, inhérent à la répression administrative, constitue logiquement un obstacle à une correction rapide du comportement illicite identifié.Une simple mise en demeure adressée par le président de la CNIL ou une procédure simplifiée, appliquée pour les dossiers peu complexes ou de faible gravité, pourraient tempérer cette réserve, pour les cas les moins graves. On le voit, ce n’est pas ici la nature particulière et originale des lookups qui complique l’exercice de ses pouvoirs par l’autorité publique mais plutôt leurs limites concrètes, inhérentes au contrôle des activités numériques.
En second lieu, en sa qualité de prestataire de services intermédiaires, les services de lookups relèvent de l’arsenal juridique destiné à contrôler les services numériques. En particulier, au moins en pur droit, peuvent leur être adressées des injonctions d’agir contre des contenus illicites prévues par l’article 9 du DSA. Ce dernier définit à son article 3 un contenu illicite comme toute « information qui, en soi ou par rapport à une activité, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union ». A la lumière de cette définition large, qui ne se limite pas à appréhender l’illicite au regard de la nature de l’information, l’effort pour considérer comme tel le contenu des lookups ne semble pas déraisonnable. Si, en soi, une donnée personnelle n’est pas un contenu illicite, la circonstance qu’elle aurait été recueillie et traitée en méconnaissance du droit européen et français pourrait suffire à la rendre illicite. Dans ces conditions, conformément à l’article 6-3 de la loi pour la confiance dans l’économique numérique, le président du tribunal judiciaire, statuant selon la procédure accélérée au fond, pourra prescrire toutes les mesures propres à prévenir ou faire cesser les conséquences de l’activité illicite.
Quelles responsabilités et quelles sanctions pour les exploitants ?
En premier lieu, le gestionnaire de lookup paraît pouvoir être poursuivi en sa qualité de responsable d’un traitement de données personnelles. En effet, l’article 2 du DSA relatif à son champ d’application dispose que celui-ci « s’entend sans préjudice » du droit de l’Union en matière de protection des données à caractère personnel. Par cette disposition, le législateur européen a ainsi entendu préserver la pleine efficacité du RGPD, en dépit des règles qu’il consacre et en particulier de celles qui restreignent la responsabilité des fournisseurs de services intermédiaires. En effet, la locution « sans préjudice » signifie, classiquement, que la règle énoncée est sans incidence sur l’application d’une autre règle qui peut donc être sanctionnée normalement. Une telle approche a été confirmée par la Cour de justice (CJUE, 2 décembre 2025, X c/ Russmedia Digital SRL et Inform Media Press SRL, aff. C‑492/23). Il s’ensuit, d’une part, que les exploitants des lookups, dès lors qu’ils peuvent être considérés comme des responsables de traitement de données personnelles au sens du RGPD, encourent les sanctions pénales qui s’y rattachent. On pense ici notamment à l’article 226-18 du code qui punit de cinq ans d’emprisonnement et de 300 000 euros d’amende « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite », ou encore, le cas échéant, aux articles 226-16 et 226-19 du même code. D’autre part, la responsabilité civile des exploitants peut aussi être engagée, conformément aux dispositions de l’article 82 RGPD relatives au droit à réparation et à la responsabilité du responsable du traitement. Enfin, en sa qualité de responsable de traitement, le gestionnaire du lookups relève du pouvoir de sanction administrative de la CNIL.
En second lieu, les règles relatives à la responsabilité des fournisseurs de services intermédiaires ne semblent pas, en dépit de leur caractère restrictif, constituer un obstacle de principe à la mise en cause des exploitants de lookups. La question est cependant un peu plus délicate, car elle est liée aux solutions techniques retenues par l’exploitant et aux conditions dans lesquelles les données personnelles traitées par le moteur de recherche ont été collectées. Les moteurs de recherche ne relèvent, a priori, d’aucun des régimes de responsabilité limités des fournisseurs de services intermédiaires énumérés aux articles 4 à 6 du DSA. A la lumière de la jurisprudence récente de la Cour de justice (CJUE, 16 juin 2026, Coyote System, aff. C-190/24), qui cantonne le champ d’application des articles 14 et 15 de la directive 2000/31, il semble possible d’estimer que les exploitants du lookups, par les techniques qu’ils mobilisent, et notamment leur algorithme, ne peuvent être regardés comme ayant un comportement « purement technique, automatique et passif », de sorte qu’ils ne pourraient que difficilement bénéficier du régime juridique protecteur des hébergeurs. A ce titre, leur responsabilité civile ou pénale pourrait être recherchée, en leur qualité même d’exploitants de services numériques.
