Publication

Actualités, Articles, Pénal numérique, Publication

Vol de données : modification de l’article 323-3 du Code pénal

/

La loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol. Institués par la loi dite « Godfrain », les articles 323-1 à 323-4 du Code pénal (1) prévoyaient cinq atteintes aux systèmes de traitement automatisé de données (bien connus sous l’appellation « STAD »), lesquelles sont : l’accès ou le maintien frauduleux dans le STAD ; l’action d’entraver ou de fausser le fonctionnement du STAD ; l’introduction frauduleuse de données dans un STAD ou la modification des données qu’il contient ; l’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, d’un instrument, d’un programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions au STAD ; enfin, la participation à un groupement de pirates informatiques. Cette troisième atteinte a été modifiée en novembre dernier afin d’intégrer dans son champ de répression l’inquiétant et récurrent vol de données, qui y échappait jusqu’alors. L’ancien texte permettait, en effet, uniquement de condamner l’introduction, la suppression ou la modification frauduleuse de données dans un STAD… mais nullement leur copie. Pour combler ce vide juridique, plusieurs voies avaient été envisagées, parmi lesquelles la contrefaçon ou l’abus de confiance. La qualification de vol qui semblait correspondre au mieux à la copie de données avait été, quant à elle, écartée, tant il était considéré (sans doute à juste titre) qu’il n’y avait pas soustraction frauduleuse d’une chose appartenant à autrui (2) : absence de soustraction, d’une part, puisque le légitime propriétaire des données les conserve et n’en est à aucun moment dépossédé (sauf hypothèse du vol de disque dur) ; absence de chose à proprement parler, d’autre part, puisque la soustraction vise un bien matériel pouvant être saisi physiquement (là où les données sont des biens immatériels). Or, la loi pénale est d’interprétation stricte et la règle est d’or. Malgré les tentatives de la jurisprudence (3), la répression du « vol » de données se fait donc au détour de la qualification de vol (et de celle de recel), par l’ajout de quatre mots au texte de l’article 323-3 du Code pénal, en vigueur depuis le 15 novembre 2014, lequel réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données dans un STAD. La loi du 13 novembre 2014 vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ». Virginie Bensoussan-Brulé Annabelle Divoy Lexing Droit pénal numérique (1) L. n°88-19 du 5-1-1988 relative à la fraude informatique, insérant les articles 323-1 à 323-4 dans le Code pénal, en son Livre II « Des crimes et des délits contre les biens », Titre II « Des autres atteintes aux biens ». (2) Comme l’exige l’article 311-1 du Code pénal, définissant l’infraction de vol. (3) Cass. crim. 4-3-2008 n°07-84.002 Jean-Paul X Sté Graphibus.

Actualités, Articles, Pénal numérique, Publication

Les atteintes au STAD par l’exploitation de failles de sécurité

/

L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague. Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques. Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié. Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien. Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ». Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court. Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD). Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers. La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions. Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal. L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée. Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site. Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ». Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure. Eu égard tant à l’application

Actualités, Articles, Internet contentieux, Publication, Requête judiciaire

Procédure civile : l’apport du décret du 26 décembre 2014

/

Publié au Journal Officiel du 28 décembre 2014, le décret n°2014-1633 du 26 décembre 2014 vient modifier le décret n°2010-434 du 29 avril 2010, relatif à la communication électronique en matière de procédure civile, afin d’en proroger les effets et d’en porter adaptation au droit de l’Union européenne, suite à l’entrée en vigueur de deux nouveaux règlements. Le décret du 29 avril 2010 avait pour objet l’institution d’une règle simple : l’identification, réalisée lors des transmissions par voie électronique, de tout auxiliaire de justice (magistrats, greffiers, huissiers de justice, avocats), ainsi que du Ministère public, vaut signature électronique. Ce décret était, néanmoins, uniquement applicable jusqu’au 31 décembre 2014. La règle ayant manifestement fait ses preuves, le nouveau décret du 26 décembre 2014 vient donc en prolonger l’effectivité, reportant son extinction au 31 décembre 2018 (1). Ce nouveau décret ne se limite pas, en outre, à une simple réaffirmation de la règle. Il vient, en effet, tirer les conséquences procédurales de l’entrée en vigueur de deux règlements de l’Union européenne intéressant la procédure civile, soit : le Règlement (UE) n°1215/2012 du Parlement européen et du Conseil du 12 décembre 2012, concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, entré en vigueur le 10 janvier 2015 (lequel n’est autre que la refonte du Règlement Bruxelles I) (2) ; et le Règlement (UE) n°606/2013 du Parlement européen et du Conseil du 12 juin 2013 relatif à la reconnaissance mutuelle des mesures de protection en matière civile, entré en vigueur le 11 janvier 2015. S’agissant de l’application en droit français de la nouvelle version du Règlement Bruxelles I, le décret du 26 décembre 2014 opère plusieurs changements terminologiques au sein du Code de procédure civile et fait disparaître la condition d’exequatur pour l’exécution des décisions civiles et commerciales visées par ledit Règlement (3). Les articles ainsi modifiés sont applicables aux actions judiciaires intentées, aux actes authentiques dressés ou enregistrés formellement et aux transactions judiciaires approuvées ou conclues à compter du 10 janvier 2015 (4). Conclus avant cette date, ces mêmes actes demeurent soumis au régime institué par l’ancienne version du Règlement Bruxelles I. Quant à l’application en droit français du second Règlement, le décret du 26 décembre 2014 introduit dans le Code de procédure civile un nouvel article 509-8, en matière de reconnaissance transfrontalière, aux termes duquel « les demandes de reconnaissance mutuelle des mesures de protection sont faites devant le Président du tribunal de grande instance ou son délégué statuant en la forme des référés ». Cette nouvelle disposition est applicable aux mesures de protection ordonnées à compter du 11 janvier 2015, quelle que soit la date à laquelle la procédure a été engagée (5). Bien qu’il soit fort court, le décret du 26 décembre 2014 a donc un impact considérable sur notre procédure civile et ne doit pas passer inaperçu. Virginie Bensoussan-Brulé Annabelle Divoy Lexing Droit pénal numérique (1) Décr. n°2014-1633 du 26-12-2014, art. 1. (2) Règlement (CE) n°44/2001 du 22-12-2000, concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale. (3) Décr. n°2014-1633 du 26-12-2014, art. 2 et 4. (4) Décr. n°2014-1633 du 26-12-2014, art. 3. (5) Décr. n°2014-1633 du 26-12-2014, art. 2, précité.

Actualités, Articles, Presse et communication numérique, Publication

Agir en diffamation : les dangers de la plainte simple

/

La poursuite en diffamation publique et atteinte à la vie privée par simple déclaration de plainte auprès du commissariat de police peut présenter des risques au regard du délai de prescription. Eu égard au régime de prescription dérogatoire de trois mois qui s’applique en matière d’infractions de presse, l’article 85 du Code de procédure pénale consacre la possibilité pour agir contre de telles infractions de déposer directement plainte avec constitution de partie civile auprès du Doyen des juges d’instruction, dont le dépôt est interruptif de prescription. Il ne s’agit là que d’une possibilité, la personne s’estimant victime d’une infraction de presse telle la diffamation gardant la possibilité d’engager l’action publique par dépôt d’une plainte simple ; ce qui peut, parfois, revêtir un intérêt notamment lorsque le plaignant entend agir sur deux fondements distincts dont un seul bénéficie du régime de prescription dérogatoire prévu à l’article 65 de la loi du 29 juillet 1881. L’arrêt de la chambre criminelle de la Cour de cassation du 16 septembre 2014 illustre, toutefois, les dangers de cette option (1). Dans le cas qu’a eu à connaître la Haute juridiction, le plaignant avait engagé des poursuites pour diffamation publique et atteinte à la vie privée par simple déclaration de plainte auprès du commissariat de police. Après avoir eu gain de cause en première instance et en appel, la Cour est entrée en voie de cassation considérant que les juges du fond avaient méconnu le second alinéa de l’article 65 de la loi du 29 juillet 1881 et que l’action publique s’en trouvait éteinte par l’effet de la prescription. Cette position de la Cour de cassation tient à une lecture littérale dudit article qui dispose que « Toutefois, avant l’engagement des poursuites, seules les réquisitions aux fins d’enquête seront interruptives de prescription. Ces réquisitions devront, à peine de nullité, articuler et qualifier les provocations, outrages, diffamations et injures à raison desquels l’enquête est ordonnée ». Il en résulte que, contrairement aux règles communes de la procédure pénale, pour lesquelles un procès-verbal de police enregistrant une plainte simple constitue un acte interruptif de prescription (2), en matière de délits de presse seules les réquisitions aux fins d’enquête du parquet, comme un « soit transmis » c’est-à-dire un document adressé aux services de police afin d’obtenir l’ouverture d’une enquête, peut interrompre la prescription. Autre difficulté, il est également prévu à peine de nullité que, comme pour les autres actes introductifs d’instance visés par la loi du 29 juillet 1881, la réquisition doit articuler et qualifier les faits objets de la poursuite. Ce qui implique qu’elle doit énumérer les propos poursuivis et mentionner la ou les qualifications juridiques auxquels ces propos renvoient (diffamation, injure, etc.). Or, n’ayant aucune incidence sur la procédure au stade de l’enquête, a contrario de l’instruction, le plaignant ne peut que se fier à la diligence du parquet, lequel n’est pas toujours très au fait des particularités de la procédure de presse. Au final, cet arrêt illustre de nouveau les divers pièges que recèle la procédure en matière de délits de presse et milite, une nouvelle fois, pour le recours à un avocat spécialisé. Virginie Bensoussan-Brulé Julien Kahn Lexing Droit pénal numérique (1) Cass. crim. 16-9-2014, n° 13-85457. (2) Cass crim 09-07-2003, n° 03-82063.

Actualités, Articles, Pénal numérique, Publication

La condamnation de Dailymotion confirmée en appel

/

La société Dailymotion a été condamné par la Cour d’appel de Paris à verser à titre de dommages intérêts plus de 1 200 000 euros aux sociétés du groupe TF1 (dont 1 132 000 € pour la SA TF1) pour avoir manqué, en sa qualité d’hébergeur, à son obligation de prompt retrait à la suite du signalement de la diffusion illicite de programmes (1). La Cour d’appel de Paris a ainsi confirmé le jugement du Tribunal de grande instance de Paris du 13 septembre 2012 qui, après avoir retenu la qualité d’hébergeur de contenus de la société Dailymotion, l’a condamnée pour avoir laissé des internautes peu scrupuleux diffuser des vidéos appartenant aux sociétés du groupe TF1, malgré les mises en demeure répétées de ces dernières. A cet égard, la Cour rappelle que certaines vidéo étaient encore en ligne, jusqu’à 104 jours pour certaines d’entre elles, après la mise en demeure de les retirer. Or, si les hébergeurs de contenus bénéficient d’une responsabilité allégée en application de l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, ils ont l’obligation de retirer promptement les contenus illicites, dès le moment où ils en ont eu connaissance. Pour évaluer le préjudice de la SA TF1, qui propose un service linéaire et non linéaire de visionnage de ses programmes, la Cour retient que les mises en ligne illicites ont généré un nombre extrêmement important de visualisations permettant aux internautes de se dispenser de regarder les émissions lors de leur diffusion par la SA TF1 et d’utiliser le site Dailymotion comme une télévision de rattrapage de ces émissions, entraînant un impact négatif sur l’audience de la chaîne, et par voie de conséquence sur les recettes publicitaires de la SA TF1. Se fondant sur le montant des investissements engagés par la SA TF1 au titre de ses obligations légales (entre 200 et 300 000 000 € par an) et des coûts de production des journaux et émissions d’information (environ 90 000 000 € par an), la Cour a évalué le préjudice subi par la SA TF1 à la somme de 2.000 € par manquement, soit un préjudice global de 1 132 000 €. Lexing Alain Bensoussan Avocats Lexing Droit pénal numérique (1) CA Paris 02-12-2014, TF1 et autres c Dailymotion

Actualités, Articles, Internet contentieux, Publication, Vie privée

Le droit à l’oubli ne s’applique pas au baptême

/

Le droit à l’oubli ne s’applique pas au baptême, ce dernier constituant un fait dont la réalité historique ne peut être contestée. Baptisé en 1940 deux jours après sa naissance, un homme obtient en 2001 l’inscription du reniement de son baptême sur le registre des baptêmes et demande quelques années plus tard l’effacement de la mention de son baptême sur le registre paroissial. Les juges du fond ayant rejeté sa demande, il forme un pourvoi estimant que ce refus constitue une atteinte à sa vie privée (article 9 du Code civil) et une violation de son droit à l’oubli (article 8 de la loi n°78-17 du 6 janvier 1978). Il estime en effet que l’appartenance à la religion catholique est une donnée relevant de la vie privée, qui doit pouvoir être effacée à la demande de la personne intéressée, quand bien même cette donnée ne serait accessible qu’à un petit nombre de personnes et peu important que celles-ci soient tenues au secret. Il invoque également un droit à l’oubli fondé sur l’article 8 de la loi n°78-17 du 6 janvier 1978, considérant que, si une institution religieuse, telle que l’église catholique, peut conserver des données ayant trait à une personne qui relève de cette institution ou qui entretient des contacts réguliers avec elle, la conservation de données est en revanche exclue peu important les conditions d’accès à ces données, dès lors que la personne a manifesté sa volonté de ne plus relever de l’institution et de n’avoir plus de contact avec elle. La Cour de cassation rejette ces moyens au pourvoi (1). Elle considère en effet qu’il n’y a pas d’atteinte à sa vie privée, dans la mesure où la consultation du registre paroissial n’est ouverte qu’à l’intéressé et aux ministres du culte, tenus au secret. Quant à la violation de l’article 8 de la loi du 6 janvier 1978, elle confirme la Cour d’appel qui avait relevé que les parents avaient donné leur consentement à cet événement et à son inscription sur ce document, de sorte qu’en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée : il n’y avait donc pas lieu d’ordonner l’effacement de sa mention du registre. Lexing Alain Bensoussan Avocats Lexing Droit pénal numérique (1) Cass 1e civ 19-11-2014, Monsieur X

Actualités, Articles, Commerce électronique, Internet conseil, Publication

Commerce électronique : interdit d’interdire aux distributeurs !

/

Commerce électronique. Naïma Alahyane Rogeon revient, pour L’Usine Nouvelle, sur l’arrêt rendu par la cour d’appel de Paris le 13 mars dernier, confirmant la condamnation de l’interdiction imposée par un fabricant aux membres de son réseau de distribution sélective de commercialiser les produits de sa marque sur internet. La décision des juges d’appel conforte la jurisprudence Pierre Fabre Dermo Cosmétique (1), la sanction appliquée  étant toutefois réduite de façon très conséquente. En effet, la cour d’appel a rappelé qu’il n’était pas juridiquement certain que l’interdiction imposée par un fabricant à son réseau de distribution sélective constituait une restriction par objet interdite, avant la décision Pierre Fabre. De ce fait, elle a décidé de réduire la sanction pécuniaire du promoteur de réseau : l’amende de 900 000 euros, qui avait été prononcée par l’Autorité de la concurrence, est passée à 10 000 euros. L’interdiction de facto par un promoteur de réseau de la commercialisation sur internet par ses distributeurs est susceptible de constituer une restriction de concurrence contraire à la réglementation européenne. Ce type de clause réduit la possibilité pour le distributeur du réseau de commercialiser des produits à des clients situés hors de sa zone d’activité et restreint donc la concurrence sur le secteur considéré. Le cas ne fait plus discussion à ce jour. Toutefois des aménagements de cette liberté de commercialiser sur internet par un distributeur intégré à un réseau sont possibles. Le promoteur de réseau a donc tout intérêt à anticiper la question en prévoyant, au sein de son contrat de distribution, la question de la vente en ligne par ses distributeurs. Néanmoins, il convient de garder à l’esprit que les critères objectifs mis en œuvre par le promoteur de réseau doivent, d’une part, être mesurés afin de ne pas être plus restrictifs que ceux prévus pour la vente en magasin physique et, d’autre part, ne pas aboutir à une prohibition de fait du commerce électronique pour les distributeurs. En toute hypothèse, cet encadrement devra reposer sur des critères objectifs et proportionnés. Au contrat pourra être utilement annexée une charte numérique permettant de fixer des « guidelines » du commerce électronique. Naïma Alahyane Rogeon pour L’Usine Nouvelle, « Interdit d’interdire aux distributeurs d’e-commerce », 11 décembre 2014 (1) Lire notre post du 11-4-2014.

Actualités, Cnil : organisation et pouvoirs, Informatique et libertés, Lettres d'information, Publication

Juristendances Informatique et Télécoms n°151-2014

/

Juristendances. L’édito de la Lettre Juristendances Informatique et Télécoms du mois de novembre est consacré au grand défi informatique de la décennie 2010-2020 que constitue le Big data à l’heure où le cadre juridique est en passe d’être entièrement réformé avec le projet de règlement européen.

Retour en haut