Actualités

Evénement – Petit-déjeuner débat Informatique et libertés : Bilan et PerspectivesLe petit-déjeuner débat a eu lieu le 17 septembre 2008 dans nos locauxAlain Bensoussan a animé un petit-déjeuner débat consacré à la loi Informatique, fichiers et libertés qui fête cette année ses 30 ans. Ce fut l’occasion de mettre en perspective les évolutions de cette loi, l’activité de la Cnil et la jurisprudence associée. L’année 2007 a, quant à elle, été riche d’activités puisque la Cnil a reçu 4 455 plaintes (+ 25 % par rapport à 2006), concernant principalement les secteurs de la banque-crédit, la prospection commerciale, le travail et les télécommunications. Elle a adressé 101 mises en demeure, 5 avertissements et a prononcé 9 sanctions financières correspondant à des amendes allant de 5 000 à 50 000 euros. L’année a également été marquée par le développement des technosurveillances en entreprise (géolocalisation, vidéosurveillance, contrôles d’accès, biométrie, etc.). Nous vous avons proposé, au cours d’un petit-déjeuner débat de répondre à vos interrogations et de partager notre expérience sur ces problématiques.

Evénement – Petit-déjeuner débat Communications électroniques : bilan Arcep 2007 et perspectives Le petit-déjeuner débat a eu lieu le 15 octobre 2008 dans nos locaux. Frédéric Forster a animé un petit-déjeuner débat consacré aux Communications électroniques : bilan Arcep 2007 et perspectives. L’Arcep a rendu public son rapport d’activité pour l’année 2007. Au cours de cette année, l’activité de régulation de l’autorité est restée à un niveau extrêmement dense puisqu’elle a adopté 1 114 avis et décisions. Il est intéressant de noter que, sur les 69 avis rendus en 2007, 9 l’ont été à la demande du Conseil de la concurrence, reflétant ainsi les fortes interactions existant entre ces deux autorités s’agissant de la régulation des conditions de concurrence sur les marchés des communications électroniques. 762 opérateurs se sont déclarés ou ont été autorisés à exercer leurs activités au 31 décembre 2007, soit 364 de plus qu’à fin 2006. Enfin, dans le secteur de la téléphonie mobile, l’Arcep comptabilise 12 opérateurs mobiles virtuels (MVNO) et 8 opérateurs actifs dans l’outre-mer. La publication de ce rapport a été l’occasion pour son président de rappeler les grands enjeux du secteur pour l’année 2008, comme : la levée de toute régulation ex-ante des marchés de détail de la téléphonie fixe et des marchés du transit ; l’offre de France Télécom pour l’accès à son génie civil ; la consultation lancée par l’Arcep sur la question de la mutualisation des parties terminales des réseaux très haut débit ; les conditions d’affectation d’une partie du dividende numérique aux activités de télécommunications mobiles ; l’attribution de la quatrième licence 3G. L’année 2008 a également été marquée par l’adoption de la loi Chatel le 3 janvier 2008 et de la loi de modernisation de l’économie du 4 août 2008. Ces deux textes ont très profondément modifié les relations entre les opérateurs, les consommateurs et les collectivités locales dans la perspective, pour le premier, d’un accroissement de la transparence des offres et, pour le second, d’une accélération du déploiement du très haut débit sur l’ensemble du territoire. Nous vous avons proposé, au cours d’un petit-déjeuner débat de répondre à vos interrogations et de partager notre expérience sur ces problématiques.

Evénement – Petit-déjeuner débat « Responsabilité de l’entreprise et enjeux environnementaux » Comment anticiper ? Quelle stratégie adopter ? Le petit-déjeuner débat a eu lieu le 18 novembre 2008 dans nos locaux. Didier Gazagne a animé un petit-déjeuner débat consacré aux stratégies à adopter par les entreprises afin d’éviter la mise en œuvre de leur responsabilité. L’application par les entreprises des nombreux textes environnementaux est devenue une véritable gageure compte tenu de leur multiplication et de leur éparpillement. A ceci s’ajoute la facilitation de l’engagement de leur responsabilité notamment par la récente loi n°2008/757 du 1er août 2008 relative à la responsabilité environnementale et à diverses dispositions d’adaptation au droit communautaire dans le domaine de l’environnement. Elles doivent donc gérer un risque juridique majeur en matière environnementale. En conséquence, les entreprises ne peuvent plus se contenter d’une adaptation juridique au coup par coup : l’anticipation grâce à une approche stratégique est devenue indispensable. Pour ce faire, la mise en place d’un système de management environnemental (ISO 14 000 ou EMAS) et le recours à un correspondant environnement constituent le moyen le plus efficace. Nous vous avons proposé, au cours d’un petit-déjeuner débat, d’échanger les expertises et les expériences sur ces différents sujets.

Economie juridique Préjudices résultant de l’extraction illicite de base de données L’extraction non autorisée des données de l’annuaire électronique… Depuis 1987 sur minitel, puis 2001 sur internet, Lectiel, qui exploite des fichiers de marketing, téléchargeait, réutilisait et commercialisait sans autorisation, les données de l’annuaire électronique de France Télécom. C’est cependant Lectiel qui, en 1992, engage une procédure contre l’opérateur pour obtenir la fourniture de la liste des personnes ne souhaitant faire l’objet d’aucune sollicitation commerciale (liste dite « orange »), gratuitement ou au même tarif que celui de l’annuaire électronique. L’opérateur commercialisait en effet la liste « orange », dans le cadre de son service « Marketis », à un prix jugé excessif par Lectiel. Le Tribunal de commerce a rejeté les demandes de Lectiel (1), qui a fait appel. Parallèlement, Lectiel saisissait le Conseil de la concurrence de cette question et obtenait, à l’issue du recours contre la décision de celui-ci, un arrêt de la Cour d’appel de Paris sanctionnant l’opérateur pour le caractère abusif de la tarification de la liste « orange » (2). Dans le cadre de l’appel du jugement au commerce, la Cour d’appel de Paris (3) ordonnait une expertise pour déterminer l’étendue des droits de propriété intellectuelle de France Telecom sur l’annuaire électronique. L’enjeu A l’issue d’une procédure longue de seize années, le demandeur initial doit supporter une très lourde condamnation, au titre d’un préjudice causé pendant dix-huit ans. A fait supporter un préjudice à France Telecom pendant 18 ans Les conclusions du rapport d’expertise, non contestées, conduisent la Cour à dire que l’annuaire électronique de l’opérateur est protégé à la fois par le droit d’auteur et par celui des producteurs de base de données (4). La Cour en conclut que l’opérateur est fondé à interdire ou restreindre l’utilisation de sa base de données et à obtenir une rémunération au titre de ses droits, du moment que celui-ci respecte les principes de tarification énoncés par la décision de la Cour d’appel du 29 juin 1999. Une décision du Conseil de la concurrence du 12 septembre 2003, confirmée en appel, a précisé les modalités de calcul des tarifs de location des fichiers découlant de ces principes, que l’opérateur a appliqué à partir de décembre 2003. Selon la Cour, la responsabilité de l’opérateur ne peut être engagée pour ne pas avoir respecté ces principes avant cette date, dans la mesure où il ne disposait pas de toutes les informations nécessaires pour s’y conformer. Les demandes de réparation de Lectiel, chiffrées selon une formule non précisée, à la somme de 375.742.000 €, sont donc rejetées, alors que celle-ci est condamnée à réparer le préjudice résultant pour l’opérateur des extractions illicites et non rémunérées, effectuées pendant 18 ans… L’opérateur a chiffré son préjudice sur la base des tarifs 2003 (5), en considérant que les extractions représentent 1.000 livraisons par an (200.000 €) et 5 millions de requêtes par an (15.000 €), soit un total de 3.870.000 € sur 18 ans (3.600.000 € et 270.000 €). La Cour retient l’intégralité de cette demande et interdit de nouvelles extractions sans autorisation, sous astreinte de 100.000 € par jour (6). Les conseils Les décisions rendues par les autorités de la concurrence en application des articles L.420-2 du Code de commerce et 86 du traité de Rome (abus de position dominante) sanctionnent les dommages causés à l’économie et ne préjugent pas des conséquences que peuvent avoir les pratiques sanctionnées en matière de responsabilité civile. (1) TC Paris 05/01/1994 (2) CA Paris 29/06/1999 (3) CA Paris 13/06/2001 (4) Art. L. 341-1 et s. CPI (5) 200 € par livraison de fichier et 0,003 € par requête (6) CA Paris 1ère Ch. 30 septembre 2008 Paru dans la JTIT n°82/2008 p.11 (Mise en ligne Décembre 2008)

Pénal numérique Fraude informatique Le vol d’information Ayant, sur l’incitation de son ancien supérieur hiérarchique, quitté sa société d’assurance, un employé avait emporté ses fichiers personnels et était retourné dans les locaux de son ancienne société pour subtiliser diverses disquettes informatiques et listings papier contenant des listes de clients à démarcher ou ayant déjà souscrit un contrat d’assurance. Cette affaire fait appel à la notion de vol d’information, thème très controversé au sein de la doctrine et de la jurisprudence. Le vol implique une atteinte à la propriété, or l’information n’est pas un bien susceptible d’appropriation. Pourtant, les juges ont considéré que l’infraction de vol pouvait être qualifiée, en énonçant que la documentation personnelle d’un salarié constituée à l’occasion de son travail et dans le cadre de celui-ci est et reste la propriété de son employeur et qu’il en est spécialement responsable, ainsi des fichiers de clients réels ou potentiels constitués par des démarcheurs et autres commerciaux, dès lors qu’ils ont le statut de salarié. La cour a considéré de plus que l’infraction de vol constituait une atteinte à la possession et non à la propriété, éludant ainsi le problème de la notion de vol d’information. L’élément intentionnel, quant à lui, existe dès lors que l’auteur a su que l’objet volé n’était pas sa propriété personnelle, ce qui est le cas en l’espèce. CA Grenoble ch. corr., 15 février 1995 (Mise en ligne Février 1995) Autres brèves La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain (Mise en ligne Novembre 2008) Accès non autorisé à un système informatique dépourvu de dispositif de sécurité (Mise en ligne Octobre 2008) Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 (Mise en ligne Septembre 2008) Les chartes d’entreprise : une protection efficace contre la fraude informatique ! (Mise en ligne Mars 2008) Maintien frauduleux dans un système de traitement automatisé de données (Mise en ligne Octobre 2007) L’atteinte aux systèmes d’information : une menace bien réelle (Mise en ligne Juin 2006) Cybercriminalité (Mise en ligne Avril 2005) La cyberdélinquance en 2004 (Mise en ligne Janvier 2005) Les atteintes à un système de traitement automatisé de données (Mise en ligne Décembre 1999)

Pénal numérique Fraude informatique Les atteintes à un système de traitement automatisé de données Après des opérations illicites sur les écritures comptables d’une chambre de commerce, possibles grâce à l’emploi d’un logiciel permettant d’intervenir directement sur le contenu des données, à l’inverse du logiciel comptable utilisé, qui empêche tout changement après validation de l’écriture, une chambre de commerce et d’industrie avait subi des détournements de fonds. Le chef-comptable fut considéré coupable par la cour d’appel de Riom d’avoir modifié les écritures comptables, mais ne fut pas reconnu coupable du détournement de fonds. Pourtant, ce dernier contesta la décision au motif que l’interdiction d’intervenir sur les données enregistrées dans un système de traitement automatisé de données (STAD) ne visait que les tiers et non les utilisateurs légitimes et qu’en outre, il avait agi dans le but de corriger des erreurs commises lors de la saisie. La cour de cassation rejeta l’ensemble de ses arguments. Premièrement, une écriture validée et introduite dans un système comptable automatisé constitue une donnée dont la suppression et la modification sont prohibées par les règles des principes comptables ; deuxièmement, il n’est pas nécessaire que les interventions sur le programme proviennent d’une personne n’ayant pas un droit d’accès au système. Pourtant, l’élément moral restait toujours contesté, mais les juges ont rappelé que cet élément ne nécessitait pas l’intention de nuire ou de causer à autrui un préjudice, dès lors que la manipulation a été effectuée en toute connaissance de cause, avec la conscience d’effectuer une opération non autorisée. Une société ayant acquis un système informatique de traitement de la TVA, une salariée a établi de nombreux bordereaux manuscrits servant de base de saisie des différents éléments destinés à entrer dans ce nouveau système. Quelques temps après le départ en mauvais terme de la salariée, le directeur s’aperçut d’un certain nombre d’erreurs introduites dans le système informatique et qui avait été commises sur les fiches manuscrites aux codes fixant les taux de TVA applicable. Considérant la salariée fautive, le directeur l’a poursuivie et fit reconnaître devant la cour d’appel que le délit d’altération volontaire de données dans un STAD était qualifié. Se pourvoyant en cassation, la prévenue faisait grief à l’arrêt sur deux points. Premièrement, elle considérait que de faux bordereaux manuscrits ne pouvaient caractériser le délit précédemment cité et deuxièmement, elle remettait en question les motifs hypothétiques retenus par les juges pour qualifier l’élément intentionnel. Dans cette affaire, bien qu’inachevé, le système de traitement automatisé de données fonctionnait bel et bien et la simple réalisation de la manipulation litigieuse suffisait pour démontrer l’existence de l’élément intentionnel. La cour a donc permis, grâce à cette décision, de protéger les systèmes de traitement de données en cours d’élaboration. Cass. crim., 8 décembre 1999 Cass. crim., 5 janvier 1994 (Mise en ligne Décembre 1999) Autres brèves La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain (Mise en ligne Novembre 2008) Accès non autorisé à un système informatique dépourvu de dispositif de sécurité (Mise en ligne Octobre 2008) Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 (Mise en ligne Septembre 2008) Les chartes d’entreprise : une protection efficace contre la fraude informatique ! (Mise en ligne Mars 2008) Maintien frauduleux dans un système de traitement automatisé de données (Mise en ligne Octobre 2007) L’atteinte aux systèmes d’information : une menace bien réelle (Mise en ligne Juin 2006) Cybercriminalité (Mise en ligne Avril 2005) La cyberdélinquance en 2004 (Mise en ligne Janvier 2005) Le vol d’information (Mise en ligne Février 1995)

Pénal numérique Fraude informatique La cyberdélinquance en 2004 Le Clusif a présenté le 13 janvier 2005 son panorama de la cybercriminalité, année 2004(1) dans lequel il fait état de la tendance à la professionnalisation de la cyberdélinquance qui semble se dessiner. Deux tendances lourdes dans cette recherche de profits illicites : le vol et le chantage. Il s’agit pour les cyberdélinquants de s’approprier des fichiers de données et/ou des codes soit pour en bénéficier à titre personnel, soit pour les revendre à des concurrents ou à des utilisateurs peu regardants sur l’origine de ces produits. Paradoxalement, ce sera rarement le délit de vol qui sera poursuivi pour ce type de pratiques car ce délit est caractérisé par « la soustraction frauduleuse de la chose d’autrui ». Or, il n’est pas établi qu’une information numérique puisse être qualifiée de « chose ». La frontière ne semble pas infranchissable pour la qualification de vols puisque l’article L. 311-2 du Code pénal envisage le vol d’énergie. En l’état, les moyens privilégiés de poursuite d’un tel comportement sont les délits de fraude informatique qui sanctionnent : de 2 ans de prison ou 30 000 € d’amende, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitements automatisés de données (STAD) ; de 3 ans de prison et de 45 000 € d’amende, le même délit lorsqu’il en résulte soit la suppression ou modification de données du système, soit une altération de son fonctionnement ; de 5 ans de prison et de 75 000 € d’amende, le fait d’entraver ou de fausser le fonctionnement d’un STAD. En outre, pour les producteurs de bases de données, l’article L. 341-1 du Code de la propriété intellectuelle dispose que ce dernier a le droit d’interdire « l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support par tout moyen ou sous toute forme que ce soit… ». Le non-respect d’un tel droit civilement et pénalement sanctionné (3 ans de prison et 300 000 € d’amende ou 5 ans de prison et 500 000 € d’amende pour les délit commis en bande organisée). (1)Disponible au format PDF ou ZIP sur www.clusif.asso.fr Paru dans la JTIT n°37/2005 p.2 (Mise en ligne Janvier 2005) Autres brèves La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain (Mise en ligne Novembre 2008) Accès non autorisé à un système informatique dépourvu de dispositif de sécurité (Mise en ligne Octobre 2008) Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 (Mise en ligne Septembre 2008) Les chartes d’entreprise : une protection efficace contre la fraude informatique ! (Mise en ligne Mars 2008) Maintien frauduleux dans un système de traitement automatisé de données (Mise en ligne Octobre 2007) L’atteinte aux systèmes d’information : une menace bien réelle (Mise en ligne Juin 2006) Cybercriminalité (Mise en ligne Avril 2005) Les atteintes à un système de traitement automatisé de données (Mise en ligne Décembre 1999) Le vol d’information (Mise en ligne Février 1995)

Pénal numérique Fraude informatique Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008) Autres brèves La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain (Mise en ligne Novembre 2008) Accès non autorisé à un système informatique dépourvu de dispositif de sécurité (Mise en ligne Octobre 2008) Les chartes d’entreprise : une protection

Pénal numérique Fraude informatique Accès non autorisé à un système informatique dépourvu de dispositif de sécurité La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition du délit d’accès frauduleux dans un système de traitement automatisé de données : il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées. Dans son arrêt du 30 octobre 2002 réformant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris ne dit pas autre chose en considérant qu’ « il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…) devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ». En d’autres termes, le caractère frauduleux de l’accès ne saurait être constaté dans le cas d’un système en libre accès, mais seulement dans la mesure où l’accès normal au système est restreint, sans pour autant devoir systématiquement recourir à un dispositif de sécurité. CA Paris 12e ch., sect. A, 30 octobre 2002, Antoine C. / Ministère public, société Tati. (Mise en ligne Octobre 2008) Autres brèves La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain (Mise en ligne Novembre 2008) Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 (Mise en ligne Septembre 2008) Les chartes d’entreprise : une protection efficace contre la fraude informatique ! (Mise en ligne Mars 2008) Maintien frauduleux dans un système de traitement automatisé de données (Mise en ligne Octobre 2007) L’atteinte aux systèmes d’information : une menace bien réelle (Mise en ligne Juin 2006) Cybercriminalité (Mise en ligne Avril 2005) La cyberdélinquance en 2004 (Mise en ligne Janvier 2005) Les atteintes à un système de traitement automatisé de données (Mise en ligne Décembre 1999) Le vol d’information (Mise en ligne Février 1995)

Economie juridique Les grands principes de la réparation Le juge doit déterminer la part respective de chaque auteur dans la réalisation du dommage Le juge qui prononce la condamnation solidaire des auteurs des fautes à l’origine du dommage, doit déterminer la contribution respective de chacun d’entre eux à la réalisation de ce dommage. Cass. Com., le 18 octobre 1994, pourvoi n° 92-21187 93-10219 : « Vu l’article 1382 du Code civil ; Attendu que pour condamner les sociétés TAD, Le Spécialiste et Monting, la cour d’appel relève que celles-ci, par leurs agissements, se sont livrées à des actes de concurrence déloyale ayant causé à la société CGH un préjudice dont elles doivent assurer solidairement la réparation et dont elle a évalué le montant à la somme de 200 000 francs ; Attendu qu’en statuant ainsi, sans déterminer les préjudices spécifiques correspondant aux fautes respectives des trois sociétés en cause, la cour d’appel a violé le texte susvisé ». Le juge ne peut imputer à un co-auteur, la part de responsabilité qu’elle avait reconnu incomber à un autre : Cass. Com., le 21 janvier 2004, pourvoi n° 00-17882 : « Vu l’article 1382 du Code civil ; Attendu qu’après avoir constaté que l’expert avait proposé de fixer la part de responsabilité entre coresponsables des désordres à raison de 45 % pour Le Sol provençal, 25 % pour M. X…, 20 % pour Sesma, 5 % pour SICCRA et 5 % pour le Bureau Véritas, la cour d’appel énonce que ce partage apparaît globalement satisfaisant, mais qu’en raison de la défaillance de SICCRA, placée en liquidation judiciaire, et Eurobail ne justifiant pas avoir déclaré sa créance, il sera finalement fixé de la façon suivante : Sol provençal 47 %, M. X… 27 %, Bureau Véritas 5 %, Sesma : 21 % ; Qu’en statuant ainsi, par un motif inopérant en imputant à trois des co-responsables la part de responsabilité qu’elle avait reconnu incomber à la société SICCRA, la cour d’appel a violé le texte susvisé ».

Economie juridique Les grands principes de la réparation Les conséquences de la perte d’une chance peuvent être indemnisées L’indemnisation accordée au titre de la perte d’une chance de bénéficier d’un événement favorable est évaluée en considérant la probabilité de réalisation de l’événement qui aurait pu se produire et elle ne peut qu’être inférieure au montant qui aurait été perçu si l’évènement s’était réalisé. Cass. Civ 1, le 28 février 2008, pourvoi n ° 06-20785 : « Le préjudice causé par une perte de chance ne peut être égal à l’avantage qu’aurait procuré cette chance si elle s’était réalisée, la cour d’appel a violé les textes susvisés ». Lorsqu’un préjudice résulte du non respect d’une obligation de moyen, celui-ci doit être réparé au titre de la perte de chance. Cass. Com., le 27 février 2007, pourvoi n° 05-17888 : « La violation d’une obligation de moyens ne peut être sanctionnée qu’au titre de la perte de chance ».

Economie juridique Les grands principes de la réparation Seul le préjudice certain est réparable Le dommage réparable doit être certain, soit qu’il s’est déjà réalisé, soit qu’il est démontré qu’il se réalisera (par exemple la perte certaine d’un revenu qui devait être perçu dans le futur). Lorsque le dommage subi relève de la perte d’une chance de bénéficier d’un événement favorable, sous certaines conditions (conclure un contrat, réaliser un gain supplémentaire), alors que par définition, la réalisation d’une chance n’est jamais certaine, c’est la perte de la chance qui doit être certaine et définitive. Cass. Civ. 1, le 21 novembre 2006, pourvoi n° 05-15674 : « Seule constitue une perte de chance réparable, la disparition actuelle et certaine d’une éventualité favorable ».

Economie juridique Les grands principes de la réparation Seul le préjudice direct est réparable La faute invoquée doit avoir été directement à l’origine du dommage réparable. Il doit y avoir un lien de causalité (de cause à effet) direct entre la faute et le dommage. Si un autre événement est venu s’ajouter à la faute pour contribuer à la réalisation du dommage, alors celui-ci n’est pas réparable ou n’est que partiellement réparable. Cass. Civ. 1, 8 juillet 2003, pourvoi n°02-12394 : « Attendu que l’arrêt attaqué a considéré, par motifs propres et adoptés, que l’exigibilité du prêt consenti (…) n’avait pas été déterminante dans les difficultés rencontrées (…), que pas ces seuls motifs, caractérisant l’absence de lien de causalité entre le préjudice invoqué et la faute alléguée, la décision est légalement justifiée ».

Economie juridique Les grands principes de la réparation Seul le préjudice personnel est réparable En vertu de l’article 31 du Code de procédure civile et de l’adage « nul ne plaide par procureur », seul celui qui a personnellement subi le dommage peut en obtenir réparation. Une société mère ne peut obtenir la réparation du préjudice subi par sa filiale, et vice versa, puisque chaque société d’un groupe est une entité juridique autonome. Cass. Com., 18 mai 1999, pourvoi n° 96-19235 : « Mais attendu que c’est à bon droit et sans dénaturer les termes du litige que l’arrêt retient, par motifs propres et adoptés, que, sauf à méconnaître la règle que “nul ne plaide par procureur”, une société-mère ne peut se substituer à sa filiale pour intenter à ses lieu et place une action judiciaire visant à la réparation d’un préjudice personnel prenant sa source dans le préjudice subi par cette seule filiale et que la seule relation de contrôle de la société Groupe Féral par la société TGI ne confère pas à celle-ci un intérêt à agir. » Cass. Com., le 8 avril 2008 n° pourvoi 07-10939 : « La cour d’appel qui (…) s’est bornée à examiner l’existence du droit d’agir en justice a justifié sa décision en faisant ressortir que l’action de la société mère ne visait qu’à la réparation d’un préjudice prenant sa source dans celui subi par sa seule filiale et ainsi justifié sa décision déclarant l’action irrecevable ».

Economie juridique Les grands principes de la réparation L’indemnisation ne doit pas être fixée de manière forfaitaire En principe, le préjudice réparé ne doit pas être fixé de manière forfaitaire, il doit être évalué par le juge en fonction des éléments versés aux débats. La Cour de cassation sanctionne les décisions qui annoncent que l’indemnisation est fixée de manière forfaitaire. Cass. 3ème ch. civ., le 15 avril 2008 n° pourvoi 07-16952 : « Vu l’article 1382 du code civil ; Attendu que l’arrêt retient qu’il convient d’évaluer à la somme forfaitaire de 10 000 euros l’indemnisation du préjudice subi du fait de la perte du mobilier ; qu’en fixant ainsi le préjudice à une somme forfaitaire, la cour d’appel a violé le texte susvisé ». La loi de lutte contre la contrefaçon du 29 octobre 2007 a cependant introduit une exception à cette règle en laissant à la juridiction la possibilité d’allouer une somme forfaitaire à la partie lésée, à la demande de cette dernière, « à titre d’alternative ».

Economie juridique Les grands principes de la réparation Le préjudice réparé doit être caractérisé Le juge du fond doit caractériser le préjudice dont il reconnaît l’existence et prononcer la réparation pour permettre à la Cour de cassation d’exercer son contrôle. Cass. Com., le 14 mai 2008, pourvoi n° 06-21784 : « L’arrêt retient qu’il sera accordé une somme de 1 000 euros au titre des dommages-intérêts, la fraude ayant causé un préjudice ; Attendu qu’en se déterminant ainsi, sans caractériser une faute imputable (…) et l’existence d’un préjudice en résultant, la cour d’appel, qui n’a pas mis la Cour de cassation en mesure d’exercer son contrôle, a privé sa décision de base légale ».

Economie juridique Les grands principes de la réparation Le pouvoir souverain d’appréciation des juges du fond Les juges du fond apprécient souverainement l’existence et l’étendue des dommages invoqués, de même que le lien de causalité entre la faute et le dommage, à partir des éléments de preuves soumis par les parties. Sous réserve que les autres principes de la réparation soient respectés, la Cour de cassation ne peut sanctionner une décision qui a retenu l’existence d’un dommage et en a apprécié le montant. Cass. Civ. 1, le 16 janvier 2007, pourvoi n° 04-12908 : « l’appréciation de l’existence et de l’étendue du préjudice, qui relève de l’appréciation souveraine des juges du fond, échappe au contrôle de la Cour de cassation » Cass, Com., le 6 novembre 2007 n° pourvoi 05-15152 : « La cour d’appel a évalué souverainement l’existence et l’étendue du préjudice subi; (…) que le moyen, qui ne tend qu’à remettre en cause ce pouvoir, n’est pas fondé ». Cass. Civ. 1, 21 janvier 2003, pourvoi n°99-11386 : « C’est par une appréciation souveraine (…) que la Cour d’appel a pu estimer que (…) il n’existait pas de lien de causalité » entre les fautes retenues et les dommages. Cass. Civ. 2, 22 janvier 2004, pourvoi n°01-02121 : « C’est dans l’exercice de son pouvoir souverain d’appréciation des éléments de preuve qui lui étaient soumis que la Cour d’appel , répondant aux conclusions, a fixé le montant de la réparation intégrale du préjudice. »