La preuve d’une attaque DoS par déni de services

attaque DoS par déni de servicesUn site de parapharmacie, filiale d’une importante société de vente en ligne se disant victime d’une attaque DoS par déni de services, avait déposé une plainte pour entrave à un système de traitement automatisé de données, délit prévu et réprimé par les articles 323-2 et 323-5 du Code pénal.

L’attaque en cause menée par un concurrent constituait à récupérer des informations sur ce site, à l’aide d’un logiciel envoyant des requêtes en nombre de manière automatisée. La société de vente en ligne ayant par la suite renoncé à se constituer partie civile, elle n’a pas produit les éléments de preuve permettant d’établir si les requêtes automatisées avaient effectivement perturbé le site : élément matériel de l’infraction en l’espèce.

La Cour d’appel de Bordeaux a confirmé la décision de la 4ème chambre du Tribunal de grande instance de Bordeaux qui avait, par jugement du 6 janvier 2011, renvoyé le prévenu des fins de la poursuite, estimant que l’utilisation par le prévenu d’un logiciel « pour récupérer des informations sur le site concurrent » dans le cadre d’une « veille concurrentielle », ne permettait pas d’établir l’élément matériel de l’infraction d’entrave au fonctionnement d’un système de traitement automatisé de données.

La Cour d’appel de Bordeaux a estimé que l’élément intentionnel de l’infraction n’était pas davantage constitué, puisque le prévenu « avait certes les compétences pour commettre les faits et l’infraction reprochés, mais aussi celles lui permettant de savoir que les moyens utilisés en nombre d’ordinateurs et de connexions comme de logiciel limitant et espaçant les connexions étaient insuffisants au regard des capacités informatiques de la victime » et avait « aussi utilisé son adresse personnelle qu’il savait être un identifiant direct ».

CA Bordeaux 15-11-2011 Ministère public c./ Cédric M.




Vol de fichiers confidentiels et abus de confiance

Vol de fichiers confidentielsLes juges ont eu à examiner la question du vol de fichiers confidentiels et de l’abus de confiance.

Suite à la rupture conventionnelle de son contrat de travail, en raison du refus de son employeur (une société spécialisée dans le négoce) de lui accorder une prime, une ancienne salariée avait pris contact avec les clients de son ancien employeur pour leur proposer de leur vendre les fichiers « clients » et « fournisseurs » de ce dernier.

Le vol de fichiers confidentiels

Alertée par ses clients et découvrant la disparition, dans ses locaux, d’un ordinateur portable et d’une clé USB, la société de négoce avait alors déposé, les 16 et 17 février 2009, une plainte avec constitution de partie civile pour vol de matériel informatique et détournement de données informatiques contre son ancienne salariée.

Concernant le vol de fichiers, la perquisition au domicile de l’ancienne salariée avait permis de trouver l’ordinateur portable et la clé USB disparus. Ces derniers contenaient de nombreuses cartes de visite et un fichier correspondant aux données des clients de la société de négoce, créé le jour du départ de l’ancienne salariée de la société de négoce et transféré sur une clé USB ce même jour.

L’ancienne salariée se défendait en prétendant qu’elle avait effectué cette copie dans le seul objectif de fournir à son ancien employeur un fichier actualisé.

Le Tribunal de grande instance de Clermont-Ferrand a jugé que « les transferts d’informations aux fins d’actualisation des fichiers antérieurs sont constitutifs de soustraction frauduleuse ».

Le tribunal a également considéré que l’infraction d’abus de confiance était bien constituée, l’ancienne salariée ayant bénéficié d’une « remise délibérée ou précaire » des documents mis à sa disposition par son employeur dans le cadre de l’exécution de son contrat de travail, mais ne pouvant « bien évidemment transférer aucune des données confidentielles de la société en vue d’une utilisation à des fins personnelles ».

Il a donc déclaré la prévenue coupable des faits de vol et d’abus de confiance qui lui étaient reprochés, et l’a condamnée à verser 3.000 euros de dommages et intérêts au titre du préjudice moral. Le tribunal a cependant rejeté la demande d’indemnisation du préjudice économique de l’ancien employeur, qu’il avait évalué à 750.000 euros.

TGI Clermont-Ferrand 26-9-2011




La revente non autorisée de billets sur internet bientôt sanctionnée ?

revente non autorisée de billets sur internetLa revente non autorisée de billets sur internet bientôt sanctionnée ? Une proposition de loi visant à renforcer la lutte contre les escroqueries en matière de billetterie culturelle et sportive, en particulier sur Internet, a été déposée à l’Assemblée nationale le 22 juin 2011, avant d’être renvoyée devant la Commission des affaires culturelles et de l’éducation.

Le dispositif soumis à l’examen du Parlement vise à sanctionner d’une peine d’amende d’un montant maximum de 15 000 euros (30 000 euros en cas de récidive) la revente habituelle et sans autorisation de billets en ligne à des fins lucratives.

Alain Bensoussan,  » La revente des billets sur internet bientôt punie ? « , pour Micro Hebdo, le 13 octobre 2011.




Loppsi 2 : usurpation d’identité et captation de données informatiques

usurpation d’identitéDe nouveaux textes sur l’ usurpation d’identité et la captation de données informatiques.

Une circulaire du Ministère de la Justice et des libertés du 28 juillet 2011 sur la loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2) apporte des précisions bienvenues sur l’application de l’article 2 de la loi précitée qui sanctionne l’ usurpation d’identité.

usurpation d’identité

Cet article prévoit en effet que : « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».

La circulaire liste ainsi des exemples de « données permettant d’identifier [un tiers] » : adresse électronique, numéro de sécurité sociale, numéro de téléphone, numéro de compte bancaire, pseudonyme. Elle illustre également le fait de « troubler la tranquillité d’autrui ou de porter atteinte à son honneur ou à sa considération » par le fait notamment de participer à un forum internet en diffusant le numéro de téléphone d’une personne et en incitant les autres participants à contacter ce numéro de téléphone.

Captation de données informatiques

Une seconde circulaire du 4 août 2011 sur la LOPPSI 2 explique l’utilité de la captation de données informatiques. Elle permet de pallier le délai de mise en place d’une interception de télécommunications dans un lieu public tel un cybercafé en prenant connaissance d’un fichier en amont, avant qu’il ne soit transféré sur un appareil de stockage mobile (Clef USB, CD Rom, etc.) ou qu’il ne soit transmis par voie électronique.

Cela surmonte également la problématique du fichier qui n’est pas destiné à être transmis ou qui est crypté avant transmission. Contrairement à la sonorisation et à la fixation d’image qui sont, par essence, limitées aux paroles et aux images, la captation permet de prendre connaissance de fichiers informatiques de toute nature tout aussi révélateurs d’une infraction.

Enfin, la captation a l’avantage de s’effectuer en continu et à l’insu de la personne mise en cause, ce que ne permet pas la perquisition.

Circulaire du 4-8-2011

Circulaire du 28-7-2011




Vidéoprotection : durée de validité et renouvellement des autorisations préfectorales

La durée de validité des autorisations préfectorales relatives aux systèmes de vidéoprotection a fait l’objet de nombreux remaniements. En effet, après avoir été fixée à 5 ans par la loi n° 2006-64 du 23 janvier 2006, cette durée commençant à courir à compter de la publication de cette loi pour les autorisations délivrées antérieurement, la loi n° 2011-267 du 14 mars 2011 (dite loi LOPPSI 2), tout en conservant une durée de 5 ans pour les autorisations délivrées depuis la loi de 2006 précitée, est venue échelonner et allonger la durée de validité des autorisations délivrées antérieurement en fonction de leur date de délivrance. Le ministre de l’intérieur, de l’outre-mer, des collectivités territoriales et de l’immigration a donc souhaité clarifier la procédure de renouvellement de ces autorisations en adressant une circulaire aux autorités en charge de la délivrance de celles-ci.

Cette circulaire rappelle, à cet effet, dans un premier temps, les différentes durées de validité des autorisations puis invite, dans un second temps, les préfets et hauts-commissaires de la République à se rapprocher des responsables de systèmes de vidéoprotection ayant d’ores et déjà fait l’objet d’une autorisation en vue du renouvellement de celle-ci. Cette circulaire précise alors les informations à recueillir, dans l’hypothèse où des modifications substantielles ont été apportées au système par rapport à la demande initiale. Toutefois, elle insiste également sur le fait que les demandes de renouvellement d’autorisation, pour des systèmes de vidéoprotection inchangés depuis leur autorisation initiale, devront tout de même faire l’objet d’un nouvel examen approfondi en raison des changements pouvant être intervenus dans le contexte tant géographique qu’humain ou sociologique du site sous vidéoprotection.

Circulaire du 8-7-2011




Réorganisation de la Commission nationale de la vidéoprotection

Un décret du 25 juillet 2011 précise la composition et les modalités de fonctionnement de la Commission nationale de la vidéoprotection, instituée par l’article 10-2 de la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Pris en application de la « Loppsi 2 » (loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure), le décret donne une base législative à cette commission créée par un décret de 2007 et définit ses actions dans le cadre de sa mission de conseil et d’évaluation de l’efficacité de la vidéoprotection. Il rappelle également l’obligation faite au gouvernement de soumettre à l’avis de la Commission les textes établis en matière de vidéoprotection. A noter que parmi les 25 membres qui la composent, figure un membre de la Cnil.

Décr. n° 2011-877 du 25-7-2011




Vers la notification des failles de sécurité ?

L’actualité en 2011 a fait l’objet de nombreuses illustrations de failles de sécurité et de piratages informatiques. Les derniers en date concernent le vol des données personnelles de plus d’un million de comptes clients du groupe de jeux Sega et du géant de l’électronique Sony en exploitant des failles de sécurité pour s’introduire dans les serveurs de leur site Internet.

Alain Bensoussan pour Micro Hebdo, le 21 juillet 2011




Piratage : adoption d’un mécanisme de riposte graduée aux Etats-Unis

Les principaux fournisseurs d’accès à internet et ayants droit américains ont annoncé la mise en place d’un mécanisme de riposte graduée destiné à sanctionner le piratage. Au terme d’un processus de notification en six étapes, l’internaute pourra, à la seule discrétion de son fournisseur d’accès à internet, voir son débit de connexion bridé. Ses données d’identification ne seront pas communiquées aux ayants droit. Cet accord, qui se veut principalement éducatif, devrait entrer en vigueur en 2011 et 2012, selon les fournisseurs d’accès à internet.

Communiqué du 7-7-2011




La production en justice par un salarié de documents internes à l’entreprise

Par un arrêt rendu le 16 juin 2011, la Chambre criminelle de la Cour de cassation a jugé que le transfert sur sa messagerie personnelle de documents professionnels par un salarié n’est pas constitutif des délits de vol et d’abus de confiance, dès lors que cette copie est strictement nécessaire à l’exercice des droits de la défense, dans le cadre de la procédure prud’homale qu’il allait engager contre son employeur. Avisé du projet de son employeur de rompre le contrat de travail, le salarié avait appréhendé des documents dont il avait eu connaissance à l’occasion de ses fonctions et les avait transférés sur son adresse électronique personnelle.

Une information avait alors été ouverte des chefs de vol et d’abus de confiance, qui avait été close par ordonnance de non-lieu, confirmée par la chambre de l’instruction. L’employeur a formé un pourvoi en cassation, aux motifs que la Chambre de l’instruction n’avait pas constaté que l’appropriation des documents par le salarié avait pour objectif de transmettre ces documents à un concurrent, et non pour préparer sa défense. La Chambre criminelle a cependant rejeté le pourvoi, au motif que la chambre de l’instruction avait bien justifié que le transfert des documents litigieux était strictement nécessaire à l’exercice des droits de la défense du salarié devant le Conseil des prud’hommes.

La possibilité pour un salarié de produire en justice des documents internes à l’entreprise, pour l’exercice strictement nécessaire des droits de sa défense, était admise par la Chambre sociale et la Chambre criminelle de la Cour de cassation depuis 2004. Toutefois, c’est la première fois que la Cour de cassation adopte cette solution pour l’appropriation de documents électroniques.

Cass. crim. 16-6-2011 n° 10-85079 Centre spécialités pharmaceutiques
Cass.soc. 30-6-2004 n° 02-41720 et 02-41771.
Cass. crim. 11-5-2004 n° 03-85521.




Cybercriminalité : l’avis du CNN

Le Conseil National du Numérique (CNN), créé par décret du 29 avril 2011, a rendu le 17 juin dernier son avis sur le projet de décret du gouvernement pris pour l’application de l’article 18 de la loi pour la confiance dans l’économie numérique (LCEN). Cet article, modifié par la loi du 5 mars 2007 relative à la prévention de la délinquance, prévoit la possibilité pour des autorités administratives de prononcer des mesures administratives à l’encontre des auteurs de contenus, des hébergeurs ou des fournisseurs d’accès à internet (FAI) lorsqu’il est porté atteinte ou qu’il existe un risque sérieux et grave d’atteinte à l’ordre et à la sécurité publics, à la préservation des intérêts de la défense nationale, à la protection des mineurs, de la santé publique ou des consommateurs.

Les modalités d’application de cet article font l’objet du décret qui a été soumis au CNN pour avis consultatif.

Le CNN explique tout d’abord que la lutte contre la cybercriminalité constitue un objectif important qui doit être proportionné, harmonisé et respectueux du droit existant et des principes constitutionnels, (notamment la liberté d’expression).

Sur la procédure, le CNN rappelle au gouvernement que ce dernier a l’obligation, en vertu de la directive 98/48/CE, de notifier un tel projet de décret à la Commission européenne pour qu’il soit opposable à l’ensemble des justiciables.

Il recommande de clarifier le terme « éditeur de site », qui n’a fait l’objet d’aucune définition législative ou réglementaire, et de le remplacer par l’ « auteur du contenu », qui doit être le premier responsable et le premier destinataire de toute injonction administrative.

Le CNN rappelle le principe de subsidiarité en matière d’action contre les contenus répréhensibles sur internet : l’administration doit d’abord s’adresser à l’auteur du contenu, à défaut de réponse à l’hébergeur, et en dernier recours aux FAI. En conséquence, le CNN critique l’article 4 du projet de décret, qui permet d’enjoindre directement aux FAI de faire cesser l’accès au contenu, en cas d’urgence, sans s’adresser préalablement au premier responsable.

S’appuyant sur la jurisprudence du Conseil constitutionnel, le CNN critique également la possibilité, pour une autorité administrative, d’imposer la mise en place de mesure de blocage de contenus aux FAI. Le Conseil recommande que cette mesure ne puisse intervenir qu’au terme d’un débat contradictoire, sous l’appréciation et le contrôle préalable d’un juge, et selon une procédure instituée par voie législative.

Par ailleurs, le CNN constate que le pouvoir d’injonction de l’autorité administrative auprès des hébergeurs ne respecte pas la procédure de notification prévue à l’article 6-I-5 de la LCEN, qui permet de présumer que l’hébergeur a bien acquis la connaissance des faits litigieux.

Enfin le CNN désapprouve la possibilité de pouvoir sanctionner pénalement les hébergeurs qui méconnaîtraient les injonctions de l’autorité administrative et recommande au gouvernement de clarifier la portée de la sanction complémentaire de « confiscation de la chose qui a servi ou était destinée à commettre l’infraction ou la chose qui en est le produit ».

CNN, avis du 17-6-2011




Vers une répression accrue des attaques informatiques

Déposée par Madame la députée Muriel Marland-Militello après l’attaque dont a été victime le ministère de l’Economie, des Finances et de l’Industrie en janvier dernier, la proposition de loi visant à renforcer l’efficacité de la lutte contre les attaques informatiques, en cours de discussion au Parlement, démontre la prise en compte de la protection des données constitutives du patrimoine immatériel des entreprises.

Alain Bensoussan Avocats pour L’Usine nouvelle, le 26 mai 2011




Loppsi 2 : L’espionnage logiciel, mythe ou réalité ?

Loppsi 2 : L'espionnage logiciel, mythe ou réalité ?Dans son rendez-vous bimestriel accordé à MyDSI-Tv, Maître Alain Bensoussan présente la Loppsi 2 et la fraude informatique.

Il répond aux questions posées par Luc Fayard sur les dispositifs techniques de lutte contre la fraude informatique, introduits en droit interne par la Loppsi 2 pour capter des données informatiques en liaison avec de graves infractions.

Emission du 18-3-2011, MyDSI-Tv, le média des DSI créé par Accenture.




Loppsi 2 et délit d’usurpation d’identité

Loppsi 2 et délit d'usurpation d'identitéDans son rendez-vous bimestriel accordé à MyDSI-Tv, Maître Alain Bensoussan présente la Loppsi 2 et l’usurpation d’identité.

Il répond aux questions de Luc Fayard concernant la nouvelle infraction d’usurpation d’identité, créée par la Loppsi 2 et codifiée à l’article 226-4-1 du Code pénal relatif aux atteintes à la personnalité et à la vie privée.

Emission du 18-3-2011, MyDSI-Tv,le média des DSI créé par Accenture.

 




Cyberharcèlement des mineurs : attention danger

Dernier-né des usages répréhensibles d’Internet, le cyberharcèlement (ou cyberbullying) fait des ravages chez les enfants, en passe d’être les premières victimes. Ce phénomène tend, en effet, à devenir une des formes les plus courantes de la violence scolaire entre élèves. Il existe plusieurs armes juridiques pour faire cesser ces comportements illicites.

Alain Bensoussan pour Micro Hebdo, le 12 mai 2011




Piratage informatique : vers une nouvelle pénalisation ?

La députée UMP Muriel Marland-Militello déclarait, quelques semaines après l’attaque de Bercy, qu’une proposition de loi allait être déposée prochainement « afin de mieux punir les atteintes portées aux sites internet et de renforcer les sanctions contre les attaques informatiques envers les institutions ».  Cette proposition de loi opère une redéfinition du champ d’application des dispositions du Code pénal relatives au système de traitement automatisé de données, ainsi qu’une revue des peines encourues par les auteurs d’attaques informatiques contre des sites publics. Enfin, est prévue la suspension de l’abonnement internet, en sus des peines complémentaires de l’article 323-5 du Code pénal.

En effet, la députée souhaite, tout d’abord, étendre le champ d’application des dispositions relatives au « système de traitement automatisé de données » à tous les services de communication au public en ligne et de communication audiovisuelle. Le fait d’entraver ou de fausser le fonctionnement d’un site internet serait alors passible de cinq ans d’emprisonnement et 75 000 euros d’amende.

De plus, Muriel Marland-Militello entend doubler les peines encourues au titre des articles 323-1 à 323-3-1 du Code pénal, en cas d’attaque sur un site « officiel » détenu par une personne morale de droit public ou une personne morale de droit privé chargée d’une mission de service public. La députée justifie sa proposition par le fait que les auteurs de telles attaques entravent les usagers dans leur utilisation d’un service public auquel ils ont pourtant droit.

Dernière proposition : la députée prône un durcissement des peines complémentaires encourues en s’inspirant du modèle Hadopi 2. A l’article 323-5 du Code pénal, qui prévoit déjà un large éventail de sanctions (privation des droits civiques, interdiction d’exercer une fonction publique, confiscation du ou des biens objets du délit, publication de la décision, etc), s’ajouterait la suspension de l’abonnement Internet « pour une durée de deux ans au plus assortie de l’impossibilité, pour l’abonné, de souscrire pendant la même durée un autre contrat portant sur l‘accès à un service de communication au public en ligne auprès de tout opérateur ».

Cependant, dans la mesure où un arsenal juridique préexistant couvre déjà les différents scénarii d’attaque et d’intrusion informatiques, de vives contestations se sont élevées pour dénoncer l’inutilité juridique et technique de ce nouveau dispositif légal.

Par exemple, le chapitre III du Code pénal relatif aux « atteintes aux systèmes de traitement automatisé de données », pris en son article 323-1, dispose déjà que tout accès non autorisé à un tel système de traitement est puni d’une peine de deux ans de prison et de 300 000 euros d’amende. Les articles 323-2 et 323-3 dudit Code sanctionnent, quant à eux, les faits d’entraver, de fausser ou d’introduire frauduleusement des données pour corrompre un tel système d’une peine de cinq ans et 75 000 euros d’amende.

De plus, le contrôle de la confidentialité et de la sécurité des différents traitements de données à caractère personnel entre dans le cadre des missions de la Cnil en vertu de la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés.

Enfin, concernant la suspension d’abonnement internet, force est de constater que la mesure proposée envisage, non seulement de doubler le quantum de la peine (deux ans au lieu d’une année prévue par la loi dite Hadopi 2), mais également d’en élargir le champ de recouvrement (tout acte de « piraterie » et non plus seulement les délits de contrefaçon).

Des critiques techniques peuvent également être opposées à cette proposition de loi, dont la principale est que la plupart des attaques DDOS (distributed denial of service – attaques visant à saturer les serveurs pour rendre inaccessibles les données présentes sur un site) sont en pratique réalisées, à distance, par des hackeurs utilisant les ordinateurs « zombies » (ordinateur utilisé à l’insu de son utilisateur par un pirate informatique) d’internautes ignorant tout de ces pratiques.

Cependant, malgré le débat en cours, la problématique reste d’actualité : en témoigne le piratage des services PlayStation Network et Qriocity appartenant à Sony Computer Entertainment. Plus d’une semaine après qu’une « personne non autorisée » se soit emparée des données personnelles des quelques 77 millions d’utilisateurs pour le seul service PlayStation Network (noms, prénoms, adresses physiques et électroniques, identifiants et mots de passe des services, coordonnées bancaires), la firme japonaise a admis une intrusion sur ses serveurs. Le Ponemon Institute a estimé le coût des pertes à 2 milliards de dollars pour Sony, en dédommagement des utilisateurs de PlayStation Network et pour les coûts de sécurisation du portail. Autre conséquence : un particulier a déposé plainte contre Sony auprès d’un tribunal californien, reprochant à l’entreprise nippone de ne pas avoir pris à temps les mesures nécessaires pour protéger, crypter et sécuriser les données privées et/ou sensibles, et critique le caractère tardif et lacunaire des communications de la firme. Cette action en justice a ensuite été relayée par les autorités européennes : le bureau de la Commission de l’information au Royaume Uni a ouvert une enquête, de même que le bureau irlandais de la Commission de protection des données a demandé des comptes à Sony.

En conclusion, les considérations de la proposition de loi actuelle illustrent la prise en compte de la protection des données, y compris des données nominatives, qui constituent aujourd’hui un patrimoine immatériel de l’entreprise. Le sujet fait d’ailleurs l’objet d’autres projets législatifs, tels que la proposition de loi n° 3103 de Monsieur Carayon relative à la protection des informations économiques ou la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’article 7 énonce « l’obligation de sécurisation des données incombe au responsable du traitement et crée une obligation de notification à la Cnil des failles de sécurité ».

PLO AN n° 3412 du 11-5-2011




Les atteintes aux systèmes de traitements automatisés de données : une actualité chargée

Une entreprise emblématique du secteur de la construction informatique et du multimédia a récemment été victime d’intrusions non autorisées dans plusieurs de ses systèmes de traitements automatisés de données. Il est possible d’analyser cette affaire sous l’angle des différentes personnes concernées par un piratage. S’agissant de la plate-forme victime de l’introduction frauduleuse, cette dernière subit un dommage économique et une atteinte à son image important. Elle pourrait agir sur le fondement des articles 323-1 et suivants du Code pénal, qui répriment les atteintes aux systèmes de traitement automatisé de données. Toutefois, la désignation de la personne à l’origine de ces introductions frauduleuses nécessite des investigations longues et coûteuses. En outre, le contexte international de l’affaire rend difficile la détermination de la loi applicable et des juridictions compétentes pour connaître de ces atteintes.

La question de la responsabilité de la plate-forme victime se pose également car le système de traitement automatisé de données comporte des données personnelles. Or, le responsable d’un traitement automatisé de données est soumis à une obligation légale de sécurisation afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.

L’utilisateur potentiellement victime de l’extraction de ses données personnelles dispose de trois actions pour se protéger. Il pourrait, tout d’abord, écrire à la plate-forme pour se faire reconnaître comme personne concernée par l’extraction frauduleuse. Des données bancaires pouvant faire partie des données extraites, l’utilisateur pourrait également alerter sa banque, à titre préventif, afin qu’elle vérifie qu’aucun débit suspect n’ait été enregistré sur son compte bancaire car les données personnelles extraites lors d’une atteinte d’un système de traitement automatisé de données se vendent généralement avec une grande facilité. Enfin, le cas échéant, l’utilisateur pourrait déposer plainte.

Il existe une controverse sur le manque de réactivité de la plate-forme. Cette controverse repositionne, au moins en France, le débat autour de la proposition de loi n° 2387 du 24 mars 2010, visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’un des objectifs principaux, en plus du renforcement de l’obligation de sécurité du responsable de traitement des données qu’ils traitent, est d’obliger le responsable de traitement à notifier sans délai toute faille de sécurité à la Cnil et aux personnes concernées.

Le dernier acteur susceptible d’être concerné sont les autorités de protection de données personnelles, qui peuvent intervenir pour vérifier l’efficacité des mesures de sécurité mises en place par le responsable du traitement.




La chanteuse ZAZ victime d’un usurpateur sur Twitter

En avril dernier, un compte avait été ouvert au nom de la chanteuse ZAZ sur le réseau participatif Twitter. La création de ce compte, désormais désactivé, était le fait d’un imposteur. Il convient de rappeller, à cette occasion, la procédure à suivre en vue, d’une part, de voir ordonner la suppression d’un profil litigieux et d’autre part, de disposer des données d’identification associées au compte, desquelles pourra être inférée l’identité de l’usurpateur. Mathieu Prud’homme pour Le nouvel Observateur, le 26 avril 2011




Les premières circulaires de la LOPPSI 2 sur la vidéoprotection et le filtrage

Les premières circulaires consacrées à la loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 dite « LOPPSI 2 » ont été publiées le 5 avril 2011 sur le site « circulaires.gouv.fr ». Outre une circulaire de présentation générale de la loi, cinq autres circulaires d’application concernent notamment la prévention de la délinquance par la vidéoprotection et l’action de la police judiciaire au moyen de la captation des données informatiques.

La circulaire d’application relative à la prévention de la délinquance énonce ainsi les nouvelles finalités de la vidéoprotection, suite à la censure du Conseil constitutionnel du 10 mars 2011, mais aussi les mesures visant son développement et son amélioration, les modifications du régime d’autorisation préfectorale. Enfin, elle fixe les nouvelles modalités de contrôle attribuées à la CNIL ainsi qu’aux commissions départementales et nationale de vidéoprotection.

On notera également que l’article 4 de la loi relatif au filtrage par les fournisseurs d’accès à internet des sites pédopornographiques n’est pas d’application immédiate. Celui-ci nécessitant au préalable la publication de décrets relatifs aux modalités de notification des adresses électroniques et de compensation des surcoûts supportés par le fournisseur d’accès.

Circulaire d’application du 28-3-2011 (présentation générale)

Circulaire d’application du 28-3-2011 (prévention de la délinquance)

Circulaire d’application du 28-3-2011 (action de la police judiciaire)

Circulaire d’application du 28-3-2011 (pouvoirs de police administrative)

Circulaire d’application du 28-3-2011 (amélioration de la sécurité routière)

Circulaire d’application du 28-3-2011 (Conseil national des activités privées de sécurité)




La décision du Conseil constitutionnel sur la Loppsi 2

Le Conseil Constitutionnel a rendu sa décision le 10 mars 2011 sur la loi d’orientation et de programmation pour la performance de la sécurité intérieure (dite LOPPSI 2), dont il avait été saisi. Le Conseil constitutionnel a rejeté les griefs des requérants dirigés contre l’article 4, qui permet à l’autorité administrative d’interdire l’accès aux services de communication au public en ligne diffusant des images pédopornographiques. Il a justifié sa décision au motif que cet article tend à la protection des internautes et que la décision de l’autorité administrative peut être contestée à tout moment devant le juge compétent, y compris en référé. Il en a alors déduit que les dispositions de l’article 4 assurent une conciliation qui n’est pas disproportionnée entre l’objectif de valeur constitutionnelle de sauvegarde de l’ordre public et la liberté de communication garantie par l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789.

Par ailleurs, le Conseil Constitutionnel a censuré les dispositions de l’article 18, qui permettaient de déléguer à des personnes privées l’exploitation et le visionnage de la vidéoprotection. Sa censure est justifiée par le fait que ces dispositions confiaient à des personnes privées la surveillance générale de la voie publique et qu’elles rendaient alors possible la délégation à une personne privée des compétences de police administrative générale inhérentes à l’exercice de la « force publique ».

Isabelle Pottier
Lexing Droit Informatique

Conseil constitutionnel, Décision 2011-625 DC du 10 mars 2011 ; Conseil constitutionnel, Communiqué du 10 mars 2011 ; Doc. Ass. nat. TA 604 du 8 février 2011




Deezer victime d’atteintes à son système de traitement automatisé de données

Le Tribunal de grande instance de Paris a, le 17 décembre 2010, rendu un jugement relatif aux atteintes aux systèmes de traitement automatisé de données. L’affaire concernait le site Deezer , ainsi que trois prévenus. Le premier prévenu était accusé de s’être frauduleusement introduit dans les bases de données des utilisateurs de Deezer et de les avoir copiées pour son site firstfm.eu. Il avait également modifié la page d’accueil de Deezer en y laissant un message. Un deuxième prévenu était, quant à lui, suspecté d’avoir « recelé les informations relatives aux failles du site » en menaçant les exploitants du site de les publier. Le troisième prévenu était accusé d’avoir recelé les bases de données d’adresses de courrier électronique de membres du site Deezer en leur adressant des spams.

Le tribunal a condamné le premier prévenu sur le fondement de l’article 323-1 du Code pénal pour accès frauduleux dans le système de traitement automatisé de données de Deezer, dont il a copié l’intégralité des bases de données. Il a, en revanche, été relaxé du délit d’introduction frauduleuse de données dans un système de traitement automatisé (article 323-3 du Code pénal). Le tribunal a, en effet, estimé que le message laissé par le prévenu sur la page d’accueil du site ne constituait pas une donnée au sens de la loi.

Le deuxième prévenu a été relaxé, l’utilisation verbale des informations obtenues frauduleusement ne constituant nullement un recel selon le tribunal . Enfin, le troisième prévenu a, quant à lui, été condamné pour recel, mais du seul délit d’accès frauduleux dans un système automatisé de données.

TGI Paris 17 décembre 2010 Blogmusik c. Anthony C. et autres




La surveillance par GPS au cours d’une enquête

Dans sa décision du 2 septembre 2010, la Cour européenne des droits de l’homme (CEDH) s’est prononcée sur les conditions de validité de recours à la surveillance par GPS d’une personne présumée avoir participé à des attentats à la bombe, dans le cadre d’une enquête pénale.

En l’espèce, dans le cadre d’un procès pour meurtre et pour quatre attentats à la bombe en Allemagne, un prévenu a contesté l’utilisation par la police d’informations concernant ses déplacements contenus dans le GPS de la voiture d’un de ses complices. Sa requête, après avoir été rejetée par la Cour constitutionnelle fédérale allemande, a été transmise à la CEDH.

Le prévenu a invoqué la violation de l’article 8 relatif au droit au respect de la vie privée et de l’article 6§1 de la Convention européenne de sauvegarde des droits de l’homme. La question qui s’est posée à la CEDH a donc été celle de savoir si les données utilisées pour le procès pénal contenues dans le GPS constituaient une ingérence dans la vie privée du prévenu. La CEDH a répondu négativement à cette question, aux motifs que :

  • l’utilisation de telles données devait répondre à une nécessité de « sécurité nationale » et de « sûreté publique » ;
  • l’utilisation devait se faire dans l’intérêt de la « prévention des infractions pénales et de la protection des droits de la victime » ;
  • ce procédé ne devait être mis en place qu’à partir du moment où les autres mesures de surveillance avaient échoué, pendant une courte durée et uniquement à l’occasion des déplacements du prévenu.

Ainsi, la surveillance par GPS a été jugée par la CEDH « proportionnée aux buts poursuivis ».

CEDH 2 septembre 2010 n° 35623/05 Uzun c./ Allemagne




Proposition de directive relative aux attaques visant les systèmesd’informations

Face aux évolutions de la cybercriminalité, une proposition de directive a été déposée par la Commission européenne le 30 septembre 2010. Celle-ci ne vise pas à mettre en place un nouveau système de répression, mais à adapter celui existant avec la décision cadre du 24 février 2005.

Cette décision avait pour objet de renforcer la coopération judiciaire entre les Etats membres face à l’augmentation des infractions liées aux nouvelles technologies.

Cette décision cadre présentant des lacunes et les dangers liés aux atteintes aux systèmes d’informations se développant, un nouveau texte a été déposé afin de répondre à ces nouvelles menaces.

Si le texte reprend les dispositions actuellement en vigueur, il ajoute de nouvelles infractions et prévoit une harmonisation des sanctions pénales. Les articles 3 à 5 de la proposition de directive reprennent des infractions existantes, à savoir l’accès et le maintien frauduleux dans un système d’informations, l’atteinte à l’intégrité des données et l’atteinte à l’intégrité des systèmes d’informations.

Le texte reprend également les dispositions relatives à la responsabilité des personnes morales dans les cas où elles tirent profit de la commission de ces infractions. En revanche, de nouvelles infractions relatives à l’interception de données et à la mise à disposition d’outils pour commettre les infractions relatives à l’attaques des systèmes informatiques, font leur apparition. L’article 6 prévoit ainsi que :

« Les Etats membres prennent les mesures nécessaires pour faire en sorte que l’interception intentionnelle, par des moyens techniques, de transmissions non publiques de données informatiques vers un système d’informations ou à partir ou à l’intérieur d’un tel système, y compris d’émissions électromagnétiques à partir d’un système d’informations contenant des données informatiques, devienne une infraction pénale punissable si l’auteur la commet sans en avoir le droit ».

Quant à l’article 7, il sanctionne le fait d’utiliser, produire ou encore faire l’acquisition, dans le but de commettre ces infractions :

  • d’un « dispositif, notamment un programme informatique, essentiellement conçu ou adapté aux fins de commettre l’une des infractions visées aux articles 3 à 6 » ;
  • d’un « mot de passe d’un ordinateur, un code d’accès ou des données de même nature, grâce auxquelles il est possible d’accéder à tout ou partie d’un système d’informations ».

Par ailleurs, la proposition de directive prévoit les peines applicables à ces infractions. Ainsi, l’article 9-1 de la proposition de directive impose aux Etats membres de sanctionner ces actes par des sanctions « effectives, proportionnées et dissuasives ». Elle met également en place une peine minimale d’emprisonnement de 2 ans.

Enfin, il est prévu à l’article 15 l’obligation pour les Etats membres de mettre en place un système d’enregistrement, de production et de communication des statistiques sur ces infractions.

Proposition de directive COD/2010/0273 du 30-9-2010

Observatoire législatif, Fiche de procédure




Responsabilité des organes et représentants sociaux

Responsabilité des organes et représentants sociauxUne société, convaincue d’homicide involontaire et condamnée pénalement et civilement en appel suite à la survenance d’une chute mortelle d’un employé précipité d’une plate-forme défectueuse dont la dangerosité n’était pas signalée, s’est pourvue en cassation.

Elle contestait l’application faite par les magistrats du fond de l’article 121-2 du Code pénal, qui avaient reconnu la culpabilité de la personne morale « sans rechercher l’organe ou le représentant de la société qui aurait commis une faute susceptible d’engager la responsabilité pénale de la personne morale ».

La Haute Cour a rejeté l’argument de la demanderesse aux motifs qu’elle « ne saurait se faire grief de ce que les juges du fond l’aient déclarée coupable […] sans préciser l’identité de l’auteur des manquements constitutifs du délit, dès lors que cette infraction n’a pu être commise, pour le compte de la société, que par ses organes ou représentants ».

Ladite société invoquait également, à l’appui de son recours, les dispositions de l’article 131-35 du Code pénal, aux termes duquel l’affichage d’une décision de condamnation ne peut excéder deux mois. Or, la cour d’appel avait assorti la peine d’amende de l’obligation d’afficher la décision pendant une durée de trois mois dans les locaux de la société.

La Cour de cassation a prononcé la cassation partielle de l’arrêt incriminé estimant que les juges du fond avaient méconnu les dispositions de l’article susvisé.

Cass. crim. 20 juin 2006, pourvoi n°05-85.255




Délégation de pouvoirs contrefaçon et publicité mensongère

Délégation de pouvoirs contrefaçon et publicité mensongèreA propos de la délégation de pouvoirs, la Cour de cassation considère que sauf le cas où la loi en dispose autrement, le chef d’entreprise, qui n’a pas personnellement pris part à la réalisation de l’infraction, peut s’exonérer de sa responsabilité pénale s’il rapporte la preuve qu’il a délégué ses pouvoirs à une personne pourvue de la compétence, de l’autorité et des moyens nécessaires.

Si la preuve d’une telle délégation de pouvoirs n’est soumise à aucune forme particulière, elle incombe à celui qui l’invoque. En conséquence, justifie sa décision la cour d’appel qui, pour relaxer le chef d’entreprise poursuivi pour contrefaçon dans le domaine des industries de l’habillement et de la parure, retient que ce dernier, étant dans l’impossibilité, compte tenu de l’importance de son entreprise, de gérer personnellement tous les secteurs d’activité de celle-ci, avait consenti une délégation de pouvoirs au directeur du secteur commercial de l’habillement, personne compétente investie de l’autorité nécessaire (arrêt n° 1).

De même, justifie aussi sa décision la cour d’appel qui, pour retenir la responsabilité pénale du chef d’entreprise, relève que le prévenu, sans produire aucun élément de preuve à l’appui de ses allégations, se contente de soutenir qu’il avait délégué ses pouvoirs à un préposé et que la délégation par lui accordée était orale (arrêt n° 2).

En revanche, encourt la cassation l’arrêt de la cour d’appel qui, sans examiner la valeur et l’étendue de la délégation de pouvoirs invoquée par le chef d’entreprise prévenu de publicité trompeuse, retient que sa responsabilité pénale personnelle est engagée à raison des faits reprochés, ceux-ci concernant un élément essentiel de la politique économique de l’entreprise (arrêt n° 3).

Encourt également la cassation l’arrêt de la cour d’appel qui, sans examiner la valeur et l’étendue des délégations de pouvoirs invoquées par le prévenu, énonce que le dirigeant de l’entreprise ne saurait s’exonérer en matière économique de la responsabilité pénale découlant de ses obligations relatives à la facturation et au calcul des prix de vente (arrêt n° 4).

Encourt de même la cassation l’arrêt de la cour d’appel qui, se bornant à relaxer le chef d’entreprise à raison d’une délégation de pouvoirs consentie à l’un de ses subordonnés, s’est abstenu de rechercher si ce préposé était investi de la compétence et de l’autorité nécessaires et doté des moyens propres à l’accomplissement de sa tâche (arrêt n° 5).

Cass. crim. 11 mars 1993 (cinq arrêts), n° 91-83655, n° 92-80773, n° 90-84931, n° 91-80958 et n° 91-80598.