GuiGui's Show

+ Décret n° 2025-840 du 22 août 2025 relatif à la protection des informations relatives au domicile de certaines personnes physiques mentionnées au registre du commerce et des sociétés
+ Délibération n° 2025-058 du 17 juillet 2025 portant avis sur un projet de décret en Conseil d’État relatif à la protection des informations personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au registre du commerce et des sociétés

Le bordel…

Par obligation légale, l'INPI est chargé de publier le Registre national des entreprises (RNE) et le Registre du commerce et des sociétés (RCS), cf. L123-52 Code du commerce. Publication de toutes les infos et pièces annexées au registre. Or, les pièces contiennent bien plus de données à caractère personnel (profession, signature, situation matrimoniale, etc.) que celles qui doivent expressément être mises à la disposition du public. Le même problème se pose avec la base SIRENE de l'INSEE.

L'ensemble de ces données est exploité à mauvais escient et/ou republié par de nombreux sites web (Société.com, Pappers, etc.), parfois sous une forme qui permet des recherches automatiques sur les mentions dont la mise à disposition du public n'est pas obligatoire (date de naissance complète au lieu de mois et année, signature, profession, situation matrimoniale, etc.). Mais, a minima, les actes sont disponibles en PDF, ce qui se traite facilement et en masse avec de l'OCR. Ces republications sont fondées sur l'intérêt légitime (article 6(1)f du RGPD) de chaque éditeur, donc un entrepreneur peut s'y opposer… en fonction de sa situation… et l'éditeur peut opposer un motif impérieux, ce n'est pas acquis (voir la FAQ de la CNIL : 1, 2). Et faire ça pour chaque site présent ou futur, laisse béton…

Première piste pour résoudre le problème à la racine : dans les actes constitutifs d'une société commerciale, en fonction de son statut juridique (SNC, SAS, SA, SCI, etc.), il n'y a aucune obligation légale de faire figurer certaines infos, comme la profession ou le statut matrimonial d'un dirigeant ou d'un associé. Pour moi, l'« identité », c'est nom, prénom, lieu et date de naissance, point, pas profession ou statut matrimonial. Mais, comme d'hab, les mauvais exemples se propagent plus vite que la bonne littérature, donc beaucoup mettent trop d'infos.

Deuxième piste : depuis le décret d'août 2025 sus-cité, il est possible de demander la confidentialité de l'adresse personnelle d'un dirigeant OU d'un associé indéfiniment responsable (donc exit SARL, SA, SAS… 😑️), y compris quand elle figure dans une pièce, via le guichet unique INPI. Uniquement numérique, uniquement FranceConnect+, et donc uniquement GAFAM. Évidemment, si siège social = adresse personnelle (auto-entrepreneur, EI, EURL, etc.), alors pas d'anonymisation puisque toute façon l'adresse de la personne morale est publique.

Rien n'est explicitement prévu pour les autres données que l'adresse du domicile… Décret pavlovien en réaction aux enlèvements dans l'univers des cryptomonnaies… Dans l'avis précité, la CNIL consigne être saisie de nombreuses plaintes, et dans un document de 2024, elle dit travailler sur la question (bas de page 5). 😑️

La CJUE avait retoqué la publication des bénéficiaires effectifs. Mais du coup, les fondateurs et dirigeants, ça serait OK ? 😮️ Dans son arrêt C-200/23 de fin 2024, elle a jugé que la publication de pièces contenant des données personnelles autres que celles dont la publication est exigée par l'État-Membre, n'est pas obligatoire au sens de la directive UE (je prolonge : donc intérêt légitime, donc opposition et possibilité de fournir version occultée). De même, une signature manuscrite est une donnée à caractère personnel (sans déc' !).

Reste à voir comment appliquer ce dernier arrêt CJUE puisque le L123-52 Code du commerce précité prévoit la publication de l'intégralité des actes annexés au registre, et que la fourniture des actes est obligatoire. A priori, le guichet unique permet le dépôt d'une version occultée et d'une version complète d'un même acte sans limiter à l'adresse perso, mais à voir comment ça se passe en pratique pour les données autres que le domicile.

Cela me rappelle la réutilisation des données publiques de trafic aérien pour suivre les jets privés et/ou calculer leur empreinte carbone…

Dans Google Street View, il est possible de demander le floutage d'une photo si elle contient un visage ou une propriété privée (maison, véhicule, plaque d'immatriculation, objet), ou de signaler à Google qu'il a emprunté une route privée.

Sur la prise de vue litigieuse, dans le pied de page, en bas à droite, il y a un lien « Signaler un problème ». Remplir le très court formulaire. Aucun justificatif n'est demandé (j'ai eu du mal à y croire venant de l'ogre Google).

J'ignore si cela est permanent, car, en trois ans, Google n'est pas repassé dans ma rue.

Ma demande a été traitée en 28 h il y a trois ans. La photo montrait tout pile et bien l'intérieur de ma piaule, en haute qualité, au point qu'on pouvait y reconnaître la charte graphique de certains documents administratifs posés sur un bureau. Entre son apparition, ma détection, et le floutage, la photo est restée en ligne environ six mois.

Je ne m'attendais pas à ce que ça fonctionne. À l'époque, j'étais dégoûté, persuadé que je partais pour trouzemilles années de procédures avec la lente et inutile CNIL, l'inutile Conseil d'État, etc.

Dans Writer, on peut chercher (et remplacer) du texte en fonction de son apparence (style, gras, italique, souligné, surligné, police, taille, position, etc.). Idem pour des paragraphes, à partir de son style.

Pour ce qui m'intéresse : ctrl+h (rechercher/remplacer), bouton « Format ».

#Libre Office

Arrêt de la CEDH sur une législation prévoyant, entre autres, le décryptage des communications chiffrées de bout en bout (E2E). Ici, Telegram.

Communiqué de presse.

Points 76 et suivants :

• Affaiblir le chiffrement (pour tout le monde) et une obligation de décrypter les communications (de tout le monde) = pas proportionné ;
  
  
• Loi de surveillance secrète, donc les autorisations des services de renseignement n'ont pas été montrés = opacité, et accès direct aux communications stockées par les services secrets… ;
  
  
• La législation russe prévoyait aussi une conservation systémique, généralisée, et indifférenciée des communications, y compris leur contenu. Cela constitue déjà une ingérence, peu importe si exploitation ultérieure ou non (point 51) ;

Point 54 : seule l'existence de lois craignos suffit, il n'y a pas besoin de prouver un accès effectif aux communications, car cela est impossible (loi de surveillance secrète…).

Europol, ENISA, Commissaire aux droits humains de l'ONU, etc. donnent des alternatives : les criminels ont besoin que l'info soit à moment donné, donc live forensic sur le matos saisi, taff de police standard mieux financé (infiltration, etc.), coopération internationale, analyse des métadonnées, interceptions légales ciblées (= écoutes), etc.

4 Lorsqu'une personne entend exercer, à l'égard d'un traitement de données à caractère personnel la concernant, les droits garantis par le RGPD et la loi du 6 janvier 1978, notamment les droits d'accès, de rectification, d'effacement, de limitation et d'opposition mentionnés aux articles 49, 50, 51, 53 et 56 de cette loi, il lui appartient, ainsi que cela découle des dispositions qui fondent ces droits, d'adresser sa demande au responsable du traitement auquel incombent les obligations définies par ces dispositions, préalablement à une éventuelle saisine de la CNIL, chargée, en application du 2° du I de l'article 8 de la même loi, de traiter les réclamations, pétitions et plaintes introduites par une personne concernée. A défaut d'une telle saisine préalable du responsable du traitement, la CNIL peut prononcer la clôture de la plainte qui lui a été adressée directement.

5 En l'espèce, il ne ressort pas des pièces des dossiers que Mme F... aurait justifié avoir adressé au docteur E... ou au docteur C..., responsables des traitements litigieux des données de santé la concernant, une demande tendant à l'effacement de ces données, ni avoir fait valoir auprès d'eux son droit d'opposition au traitement de ces données. La CNIL était, par suite, en droit de clôturer les plaintes que Mme F... lui a adressées directement sans avoir au préalable saisi de ses demandes les responsables des traitements.

6 Si Mme F... fait valoir que la CNIL aurait dû l'inviter à régulariser ses plaintes en saisissant les responsables des traitements, elle ne peut à cette fin utilement se prévaloir des dispositions de l'article L. 114-5 du code des relations entre le public et l'administration, selon lesquelles " Lorsqu'une demande adressée à l'administration est incomplète, celle-ci indique au demandeur les pièces et informations manquantes exigées par les textes législatifs et réglementaires en vigueur. Elle fixe un délai pour la réception de ces pièces et informations ", ses plaintes n'ayant pas été clôturées en raison de leur caractère incomplet. Elle ne peut davantage utilement invoquer les dispositions de l'article L. 114-6 du code des relations entre le public et l'administration, qui prévoient que " Lorsqu'une demande adressée à une administration est affectée par un vice de forme ou de procédure faisant obstacle à son examen et que ce vice est susceptible d'être couvert dans les délais légaux, l'administration invite l'auteur de la demande à la régulariser en lui indiquant le délai imparti pour cette régularisation, les formalités ou les procédures à respecter ainsi que les dispositions légales et réglementaires qui les prévoient ", le défaut de saisine préalable des responsables des traitements ayant pour conséquence non pas d'entacher les plaintes d'un simple vice de forme ou de procédure au sens de ces dispositions, mais de les priver de leur objet.

Suite de ceci et cela.

• Tribunal judiciaire Paris 19/12628
  
  
• Cour d'appel de Paris 21/00180

+ Coopération Autorité de la concurrence (ADLC) et CNIL au sens de C-252/21 dans le cadre de l'App Tracking Transparency (ATT) d'Apple. Lire aussi : L’Autorité de la concurrence sanctionne Apple pour abus de position dominante :

• rendent impossible la faculté pour les éditeurs de se conformer à leurs obligations légales [d'information, à cause de la fenêtre quasi-standardisée d'Apple, et donc pas de consentement éclairé, obligeant une deuxième demande] ;
• compliquent artificiellement le parcours des utilisateurs d’applications tierces [multiples demandes] ;
• faussent la neutralité du dispositif [Apple s'est auto-exempté d'ATT] ;
• créent une asymétrie de traitement entre Apple et les éditeurs tiers [Apple s'est auto-exempté d'ATT].

Je lis beaucoup l’affirmation péremptoire que l’action envisagée par quelques extrême-zinzins pour le caractère soi-disant blasphématoire de la cérémonie d’ouverture [des JO Paris 2024 / JOP 2024] ne saurait aboutir car, je cite « le blasphème n’existe pas en droit français. »

Il est exact de dire que le blasphème n’est pas une infraction pénale, ENCORE QUE. Il peut l’être s’il prend une certaine forme, mais c’est cette forme qui est frappée par la loi, pas le blasphème en lui-même.

Ainsi, l’article 32 de la loi de 1905, oui, LA loi sur la laïcité qui protège le libre exercice des religions n’en déplaisent à ceux qui semblent convaincus qu’elle interdit toute expression de foi sur la voie publique, punit d’un an de prison ceux qui : « auront empêché, retardé ou interrompu les exercices d'un culte par des troubles ou désordres causés dans le local servant à ces exercices. »

Ainsi, le blasphème proféré ou commis pendant l’exercice d’un culte dans un local dédié au culte et qui a pour objet ou pour effet d’empêcher ledit culte sera puni. Mais c’est un délit de blasphème incident, j’en conviens.

De manière principale, proférer un propos blasphématoire ou commettre un blasphème par tout moyen n’est pas en soi une infraction pénale (ce qui ne veut pas dire que c’est une bonne idée).

Mais il existe un domaine bien plus ouvert à toute forme de faute puisqu’il n’exige pas que ces fautes soit prédéfinies par un texte antérieur à l’acte : le droit civil

Et il y a de la jurisprudence en la matière, souvenez-vous, c’était hier, c’était il y a presque 20 ans. L’affaire Girbaud.

Deux créateurs de mode, Marithé et François Girbaud, ont réalisé une publicité pour promouvoir leur dernière collection et ont cassé leur tire-lire puisqu’ils ont recouvert toute la façade d’un immeuble à Neuilly-Sur-Scène, en mars 2005 (en plein Carême et ça aura son importance)

Voici le visuel en question, qui maintenant devrait vous parler tout de suite.
Notez le caractère avant-gardiste de ces créateurs puisque 20 ans avant l’IA, ils avaient déjà inventé les membres aléatoires déconnectés du corps. Des visionnaires.

Et déjà à l’époque des grenouilles de bénitier s’étaient offusqué et indigné de ce que l’on utilisât l’iconographie de leur religion pour vendre des fripes, certes coûteuses. Le fait que la scène de la Cène représente des femmes au lieu d’hommes n’a rien dû arranger.

Et une association baptisée par antiphrase Croyances et Liberté (car de croyances elle n’en avait qu’une, et de liberté, n’en voulait aucune pour les autres) a assigné en référé l’annonceur et l’agence de communication ayant créé ce visuel).

Je vous fais grâce des détails, un jeune avocat très prometteur en avait très bien parlé dans son excellent blog. https://www.maitre-eolas.fr/post/2005/03/14/91-cachez-moi-cette-cene-que-je-ne-saurais-voir

Toujours est-il que la justice le 10 mars 2005 fit droit à l’essentiel des demandes de Croyances et Liberté en interdisant la publication de cette image en tout lieu et sur tout support pour les motifs suivants : « Le tribunal a pourtant jeté l'Interdit sur cette image en en interdisant l'affichage en tout lieu public et sur tout support (les pages intérieures d'un magasine semblent épargnées par cette décision), car "Le choix d'installer dans un lieu de passage obligé du public cette affiche aux dimensions imposantes constitue un acte d'intrusion agressive et gratuite dans les tréfonds des croyances intimes ", estiment les magistrats. Ils ajoutent : "La légèreté de la scène fait par ailleurs disparaître tout le caractère tragique pourtant inhérent à l'événement inaugural de la Passion". "L'injure ainsi faite aux catholiques apparaît disproportionnée au but mercantile recherché". »

L’agence et le couple de tailleurs fit appel. Fatalitas, la cour d’appel confirma l’excommunication le 15 avril 2005. Oui, chers jeunes confrères, chères jeunes consœurs, à l’époque, on pouvait obtenir un arrêt d’appel en matière de référé en un mois.

La cour estima que « cette affiche, dont la recherche esthétique n'était pas contestée, reproduisait à l'évidence la Cène de Jésus-Christ..., délibérément provoquant ;

« Que cet événement fondateur du christianisme, lors duquel Jésus-Christ institua le sacrement de l'Eucharistie, faisait incontestablement partie des éléments essentiels de la foi catholique ;

« Que dès lors l'installation de l'affiche litigieuse sous la forme d'une bâche géante sur le passage d'un très grand nombre de personnes, constituait l'utilisation dévoyée, à grande échelle, d'un des principaux symboles de la religion catholique,

« et que cette représentation outrageante d'un thème sacré détourné par une publicité commerciale leur causait ainsi un trouble manifestement illicite qu'il importait de faire cesser par la mesure sollicitée

« que ladite composition n'avait d'évidence pour objet que de choquer celui qui la découvrait afin de retenir son attention sur la représentation saugrenue de la Cène ainsi travestie, en y ajoutant ostensiblement une attitude équivoque de certains personnages,

« et ce, au profit de la marque commerciale inscrite au-dessus de ce tableau délibérément provoquant ;
que le caractère artistique et l'esthétisme recherchés dans ce visuel publicitaire n'empêchait pas celui-ci de constituer,…

« …même si l'institution de l'Eucharistie n'y était pas traitée, un dévoiement caractérisé d'un acte fondateur de la religion chrétienne avec un élément de nudité racoleur, au mépris du caractère sacré de l'instant saisi. »

Ainsi, le droit civil permet ce que le droit pénal ne permet pas, de sanctionner celui qui heurte les croyances d’autrui par une image, une parole, ou tout support.

QUAND SOUDAIN : PLOT TWIST !

L’agence et les créateurs se sont pourvues en cassation, et le 14 novembre 2006, la 1re chambre civile ressuscita la publicité interdite et dit vade retro à l’association, en estimant « qu’en retenant ainsi l'existence d'un trouble manifestement illicite,

« quand la seule parodie de la forme donnée à la représentation de la Cène qui n'avait pas pour objectif d'outrager les fidèles de confession catholique, ni de les atteindre dans leur considération en raison de leur obédience,…

« …ne constitue pas l'injure, attaque personnelle et directe dirigée contre un groupe de personnes en raison de leur appartenance religieuse », la cour d’appel a violé notamment l’article 10 de la CEDH, qui protège la liberté d’expression. Une fois de plus, merci qui ?

Alors, tout est bien qui finit bien, on peut blasphémer en paix ?
Pas si vite.
Lisons bien ce que dit la Cour.
La photo échappe à son ire car :
— la photo n’avait pas pour objectif d’outrager les fidèles ;
— ni de les atteindre dans leur considération ;

A contrario, si une représentation quelconque avait un tel objectif, la cour envisagerait fort bien de valider son interdiction.
Et, mais c’est un sujet qui échappe à la juridiction du référé, accorder des dommages-intérêts de ce fait.

Bref, sanctionner des propos blasphématoires est possible, s’ils ont pour objectif d’outrager les fidèles ou les atteindre dans leur considération.
Ce qui est souvent l’objet du blasphème.

[…]

Nos olympistes contrariés auront toutefois fort à faire pour démontrer l’existence d’un blasphème (la seule reprise de la Cène — lâchez-moi avec Biljert, il y a eu clairement une Cène recrée avant l’apparition du civet de Katerine :

La seule reprise de la Cène donc, pour la Cour de cassation, ne suffit pas à caractériser une offense aux croyants, il faut aussi établir l’objectif d’outrager ou d’atteindre les croyants dans leur considération.

Et si l’argument se résume à la présence de personnes queers, c’est admettre que ce n’est pas la foi des demandeurs qui a été outragée, mais leur homophobie et leur intolérance.
Qui ne sont pas des valeurs protégées par la loi, désolé CNews.

TL;DR: le blasphème peut être sanctionné en droit français, mais il n’y a aucune chance que la justice qualifie quelque scène de cette magnifique cérémonie d’ouverture de blasphématoire.
Eolas out.

[Le droit ne se résume pas au pénal)(/?8MwV3g), again.

+ Climat : « En ignorant les points de bascule, le plan d’adaptation du gouvernement minimise les risques ».

Le plan prévoit bien l’inscription dans la loi d’une trajectoire de réchauffement de + 4 °C d’ici à 2100. En revanche, il ne fixe pas de mesures contraignantes, excepté pour certaines grandes entreprises. Et reste peu disert sur son financement.

#3e plan national d'adaptation au changement climatique

https://nitter.poast.org/aeris_v2/status/1786381762853036182 :

Sérieusement hein, non mais sérieusement ! Imagine quand même que tu reçois un courrier signé par rien de moins que Marie-Laure Denis, qui dit ceci « En l'espèce, les services de la CNIL n'ont pas constaté l'usage du cookie « abtasty ».
Tu lances donc Website audit de @EU_EDPB, qui est quand même un tout petit peu développer par 2 personnes de la CNIL elle-même. Et tu vas sur le site en question et tu vois quoi ?
OH BEN TIENT DU ABTASTY QUE C’EST ÉTRANGE !!!!

Pour les détails, c'est ici, dossier 44-15403 La Poste.

Dans ses conclusions, la Rapporteure publique du Conseil d'État a déclaré (cela n'engage pas le juge) :

Le requérant critique ensuite la décision de la CNIL pour n’avoir pas constaté l’usage du cookie intitulé « ABTasty » pourtant déposé en méconnaissance de l’obligation de consentement prévue par l’article 82 de la loi informatique et liberté. La CNIL a effectivement nié, y compris dans son premier mémoire en défense devant vous, l’existence de ce cookie. Elle a toutefois fini par admettre dans son second mémoire en défense, que ce cookie était bien déposé quelques millisecondes sur le terminal des utilisateurs. Elle explique le temps qu’elle a mis à identifier ce cookie par le fait qu’elle utilise pour identifier les cookies déposés par un service un outil dénommé « cookie list » qui permet de lister les cookies déposés dans un navigateur en donnant l’état du cache à un instant déterminé tandis que le requérant utilisée un outil plus performant, dénommé « Website Auditing Tool » qui enregistre toutes les opérations de lecture et d’écriture ayant lieu tout au long de la navigation et fournit donc une information plus exhaustive. Il est à cet égard troublant, regrettable même, que la CNIL n’utilise pas les outils les plus performants pourtant à sa disposition- l’outil en cause est développé par le CEPD – a fortiori pour détecter la présence d’un cookie spécifiquement identifié par un demandeur.

Quand l'association PURR a interrogé la CNIL à l'oral le 14 février 2025, celle-ci a répondu que ce qui compte, c'est d'être parvenu au résultat, à savoir le cookie ne suit pas l'activité d'un internaute. Or, cette notion n'est pas prévue par l'article 5(3) de la directive e-Privacy. Il n'est question que de lecture / écriture sans consentement à l'exception des cookies strictement nécessaires à la communication ou au service expressément demandé par l'internaute…

De surcroît, la CNIL participe au développement de Website Auditing Tool…

Dans un autre dossier, 44-46865 UNICEF, la CNIL a exposé que le refus du dépôt des cookies non strictement nécessaires est pris en compte puisque Microsoft Edge indique « 1 cookie bloqué », capture d'écran à l'appui…

Oui, si un navigateur web bloque un cookie, la CNIL considère que le site web ne le dépose pas… Magique.

(Aeris ne publie pas les mémoires de la CNIL car ils sont protégés par le droit d'auteur.)

73 % des sites web n'utilisent aucun CDN ; 22,1 % Cloudflare, 1,6 % Amazon Cloudfront, etc.

Part de marché de Cloudflare sur les CDN : 82,6 %. Le reste : Amazon, Fastly, Akamai, DDos-Guard. L'européen BunnyCDN : 0,3 %…

#stats