6e édition des Journées du numérique de l’Afdit Sud-Est

Le traitement juridique de l'automatisation des activitésVirginie Bensoussan-Brulé interviendra, lors de la 6e édition des Journées du numérique de l’Afdit Sud-Est qui aura lieu le 4 décembre 2020 à Aix-en-Provence, sur « Le traitement juridique de l’automatisation des activités ».

Cette sixième édition est consacrée au Droit face aux mutations. La crise sanitaire, liée à la pandémie de Covid-19, a entraîné la nécessité de s’adapter à une situation aussi inédite qu’inattendue. Par conséquent, nul ne sait quelles vont être les mutations qui réellement en résulteront.

Les sujets traités porteront sur l’adaptation du droit aux mutations technologiques (télétravail) et sur les mutations technologiques dans la mise en œuvre du droit.

Comme chaque année, cette journée s’adresse aussi bien aux universitaires qu’aux professions juridiques et au monde de l’entreprise, de tous les secteurs d’activités concernés par le sujet.

« La technologie et le droit face aux mutations » : programme

En matinée : L’adaptation du droit aux mutations technologiques

9H00 – Accueil par les organisateurs et ouverture par le bâtonnier d’Aix-en-Provence, Philippe Bruzzo

9h30 – Le traitement juridique de l’automatisation des activités

10h00 – L’identité numérique

  • Fabrice Mattatia, Délégué à la protection des données du ministère de l’Intérieur, Directeur du mastère spécialisé Data Protection Management Institut Mines-Télécom Business School et Président du Comité d’agrément des hébergeurs de données de santé

10H30 – Pause

10h45 – Les projets de la Commission européenne en matière de numérique et de plateformes numériques

  • Diana Calciu, Avocate du cabinet Gide Loyrette Nouel, établie à Bruxelles

11h15 – La régulation de l’intelligence artificielle

  • Théodore Christakis, Professeur à l’Université Grenoble Alpes et Membre Senior de l’Institut universitaire de France

11H45 – Questions et fin de la matinée

L’après-midi : Les mutations technologiques pour la mise en œuvre du droit

14h00 – Les constats de l’expérience StopCovid

  • Élise Dufour, Avocate associée du cabinet Bignon Lebray et Présidente de Cyberlex

14h30 – Les conséquences de la signature toujours plus fréquente des contrats à distance

  • Vincent Vigneau, Conseiller de la première Chambre civile de la Cour de cassation et Président de la Commission des clauses abusives

15h00 – Les outils centralisés de gestion de la conformité aux réglementations

  • Olivier Guillo, CEO chez Smart Global Governance

15h30 – Pause

15h45 – La technologie au service de la sécurisation des procédures : WeDivorce

  • Emily Juillard et Claire Remy, Associée Fondateur, Avocate et Directeur général ; Associée Fondateur et Présidente de WeDivorce

16h15 – Conclusion : Les mutations de la profession d’avocat

  • Pierre Berlioz, Professeur de droit, Directeur de l’École de formation des barreaux et ancien conseiller du Garde des Sceaux

16h45 – Questions et clôture

Participez à la 6e édition des Journées du numérique de l’Afdit Sud-Est

Inscription obligatoire (remboursement en cas d’annulation)

Date et lieu : vendredi 4 décembre 2020 de 9h à 18h.
Hôtel de Maliverny, 33 rue Emeric-David, Aix-en-Provence

L’Afdit, Association française du droit de l’informatique et de la télécommunication, est au service de la communauté du droit des technologies en France depuis 1985. Avocats, juristes d’entreprise, universitaires, magistrats, ingénieurs, l’Afdit est un forum unique pour l’échange d’idées. Mais surtout, il permet l’examen en profondeur du droit des technologies de l’information et des télécommunications.




Base légale d’un traitement de vidéosurveillance

traitement de vidéosurveillanceDans un arrêt du 11 décembre 2019 (Aff. C-708/18), la CJUE valide l’intérêt légitime comme base légale d’un traitement de vidéosurveillance, précisant les trois conditions devant être remplies : la poursuite d’un intérêt légitime, la nécessité du traitement pour la réalisation d’un traitement légitime et la conciliation entre les droits et libertés fondamentaux des personnes concernées, ces derniers ne devant pas prévaloir sur l’intérêt légitime poursuivi.

En l’occurrence, le litige concernait l’installation de caméras de vidéosurveillance dans un immeuble en Roumanie, installation que l’un des propriétaires considérait comme une violation de son droit au respect de sa vie privée. La CJUE était alors notamment saisie de la question de savoir si le traitement de vidéosurveillance, mis en place pour assurer la garde et la protection des personnes, biens et actifs, pouvait être fondé sur l’intérêt légitime, sans le consentement des personnes concernées.

L’intérêt légitime comme base légale du traitement

Dans l’affaire concernée, la copropriété de l’immeuble avait mis en place un système de vidéosurveillance pour contrer les nombreux cambriolages et actes de vandalismes qui avaient été perpétrés. La CJUE considère dans un premier temps que la protection des biens et des personnes constitue effectivement un intérêt légitime, précisant que ce dernier devait être démontré, à savoir être né et actuel à la date du traitement, et ne pas présenter un caractère hypothétique. La Cour précise néanmoins qu’il n’est pas nécessaire qu’il ait été porté atteinte à la sécurité des biens et des personnes pour accepter l’existence de l’intérêt légitime.

La CJUE examine dans un second temps si le traitement de vidéosurveillance constituait l’unique moyen de parvenir à lutter efficacement contre les menaces pesant sur les biens et personnes, à savoir s’il n’existait pas un autre moyen moins attentatoire aux libertés et droits fondamentaux des personnes concernées. En l’espèce, la copropriété avait antérieurement vainement tenté de mettre en place des mesures alternatives. En outre, la nécessité et proportionnalité du traitement implique la minimisation des données qui sont collectées. Les caméras de vidéosurveillance ne permettaient en l’espèce que de filmer les parties communes de l’immeuble et les voies d’accès à celui-ci.

Enfin, la CJUE rappelle que doivent être mis balance les droits et intérêts opposés ; doivent être ainsi pris en compte le caractère éventuellement sensible des données traitées, ainsi que la nature et les modalités du traitement. En l’occurrence, la CJUE a fait prévaloir l’importance de la sécurité voulue par les copropriétaires sur l’atteinte à la vie privée, jugeant par conséquent que le dispositif de vidéosurveillance était valide, même sans le consentement des personnes concernées.

Parallélisme avec les recommandations de la Cnil

La Cnil permet que la base légale d’un traitement de vidéosurveillance soit l’intérêt légitime dans un cadre de prévention, c’est-à-dire sans qu’il n’y ait eu antérieurement d’atteintes effectives. Il est dès lors tout à fait possible d’avoir recours à des systèmes de vidéosurveillances dans un immeuble, dès lors que les caméras ne filment que les espaces communs, et ne soient pas orientées vers des espaces privés (balcons, fenêtres, etc.).

Si un tel système est mis en place par une copropriété, seul le syndic ou le gestionnaire peuvent avoir accès aux images qui ne doivent être visionnées qu’en cas d’incident et conservées pour une durée d’un mois maximum. Enfin, conformément à l’obligation d’information prévue aux articles 12 à 14 du RGPD et 48 et suivants de la loi n° 78-17 du 6 janvier 1978, les personnes concernées par le traitement doivent être informées des éléments suivants :

  • le responsable de traitement, ses nom et adresse ainsi que ceux du Délégué à la protection des données (DPD ou DPO pour Data Protection Officer) ;
  • la finalité du dispositif ;
  • la base légale du traitement ;
  • les destinataires des données ;
  • la durée de conservation des images ;
  • la possibilité d’introduire une réclamation auprès de la Cnil.

En conclusion, si l’intérêt légitime peut constituer une base légale du traitement de vidéosurveillance, le responsable de traitement doit toujours procéder à une mise en balance des intérêts en présence, conformément aux lignes directrices du CEPD.

Virginie Bensoussan-Brulé
Chloé Perruchot
Lexing Contentieux du numérique




Accès frauduleux au STAD et falsification de notes

accès frauduleux au STADLa Cour de cassation a condamné un étudiant pour accès frauduleux au STAD de l’université.

La Haute Juridiction a ainsi entériné la condamnation d’un étudiant pour fraude informatique pour avoir falsifié ses notes.

En effet, dans son arrêt du 9 mars 2016 (1), la Chambre criminelle de la Cour de cassation a confirmé l’arrêt de la Cour d’appel de Paris du 24 septembre 2014 qui avait condamné un étudiant de l’université de Paris 2 à six mois d’emprisonnement avec sursis et 3 000 euros d’amende pour accès frauduleux à un système automatisé de données (STAD), faux et usage de faux.

L’étudiant était poursuivi pour avoir modifié, dans le système de traitement de l’université, les notes qu’il avait obtenues au cours de ses années d’études ainsi que celles de certains de ses proches.

Il est fait grief à l’arrêt de l’avoir condamné, alors que, selon le prévenu, un accès frauduleux au STAD suppose que l’auteur ait pénétré frauduleusement dans le système de traitement automatisé de données et qu’il n’est pas établi en l’espèce que l’accès au logiciel utilisé par l’université, le logiciel Périclès, avait été forcé dans la mesure où l’accès à ce logiciel était possible sans les codes d’accès confidentiels pendant certaines périodes de saisine de note.

Il était en outre reproché à la Cour d’appel de s’être bornée à relever que le prévenu fréquentait un local possédant des ordinateurs permettant l’accès au logiciel Periclès mais sans établir que cet accès frauduleux au STAD avait eu lieu depuis l’un de ces postes.

La Cour de cassation a néanmoins confirmé l’analyse des premiers juges en estimant que, « se rend coupable de l’infraction prévue à l’article 323-1 du Code pénal la personne qui, sachant qu’elle n’y est pas autorisée, pénètre dans un système de traitement automatisé de données ».

La Haute juridiction a ainsi rappelé que le délit d’« accès frauduleux au STAD », délit prévu et réprimé par l’article 323-1 du Code pénal (2), suppose un accès par une personne « sachant qu’elle n’y est pas autorisée », peu importe les moyens d’accès employés.

Virginie Bensoussan-Brulé
Marion catier
Lexing Contentieux numérique

(1) Cass. crim. 9-3-2016 n° 14-86795 M. Floriant Y.
(2) C. pén., art. 323-1.




Stricte interprétation pour le salarié lanceur d’alerte

Stricte interprétation pour le salarié lanceur d’alertePar jugement du 4 décembre 2015, le Tribunal correctionnel d’Annecy refuse le statut de lanceur d’alerte à un salarié.

Ce dernier est alors reconnu coupable d’accès et maintien frauduleux dans le système de traitement automatisé de données de son employeur, ainsi que d’atteinte au secret des correspondances émises par voie électronique (1).

En l’occurrence, le salarié est l’un des administrateurs du réseau de la société. Rencontrant des difficultés avec les Ressources humaines de la société, le salarié prétend avoir découvert de manière fortuite un document prouvant qu’on cherchait à le licencier de manière déloyale.

Grâce à ses accès administrateurs, il recherche alors sur les serveurs de l’entreprise, et plus particulièrement des Ressources humaines, ce même document, et réalise à cette occasion des copies d’écran de certains courriers électroniques concernant une inspectrice du travail.

Il envoie ces documents à l’inspectrice, qui les transmet à son tour à différentes organisations syndicales, lesquelles décident de publier les documents.

Le tribunal reconnaît le salarié coupable d’atteinte au secret des correspondances émises par voie électronique (2), ainsi que d’accès et de maintien frauduleux dans un système de traitement automatisé de données (3). Le tribunal déclare également l’inspectrice coupable de recel en raison des documents transmis (4), et également de violation du secret professionnel (5).

Cette décision est intéressante à double titre :

  • elle rappelle, d’une part, aux employeurs qu’ils peuvent pénalement agir contre un salarié qui s’introduirait dans le système informatique de l’entreprise.

Le premier argument choisi par le tribunal retient particulièrement l’attention puisque, fait marquant, les juges rappellent les termes de la « charte d’utilisation des systèmes d’information et de communication du groupe (…) », pour ensuite conclure que les recherches du salarié ont été faites « en violation de la charte d’utilisation des systèmes d’information et de communication annexe au règlement intérieur de la société (.) ».

Le tribunal recourt donc, pour caractériser le vol de correspondances, à un « contrat » privé passé entre l’entreprise et le salarié quant à l’utilisation des données numériques. Cette circonstance montre l’importance toujours plus forte accordée par les juges à ce type de documents d’entreprise.

Il est ainsi crucial pour toute entreprise de se doter de chartes parfaitement à jour et suffisamment claires pour que des magistrats puissent y avoir recours sans hésitation, afin de faciliter l’engagement de la responsabilité d’un salarié ou d’un tiers en cas de litige.

  • cette décision constitue également une application de la récente introduction dans le droit français des dispositions relatives au salarié lanceur d’alerte, inspiré du système de whistleblowing du droit anglo-saxon.

Afin de protéger les salariés contre les mesures de rétorsion de l’employeur en cas de dénonciation de certains faits, l’article L.1132-3-3 du Code du travail, créé par une loi du 6 décembre 2013, protège ainsi les employés de toute sanction, licenciement ou autre mesure discriminatoire (6).

C’est précisément cette disposition qui était invoquée tant par le salarié que l’inspectrice du travail, lesquels estimaient que les documents trouvés démontraient la préparation d’un crime ou d’un délit (notamment le licenciement abusif du salarié).

Le tribunal rejette toutefois l’argument pour deux motifs différents :

  • ni le salarié ni l’inspectrice n’avait eu connaissance des documents dans « l’exercice de [leurs] fonctions », condition explicitement prévue par l’article L.1132-3-3 du Code du travail. Pour ce seul motif, la protection du lanceur d’alerte ne leur était pas applicable ;
  • le tribunal ajoute que les documents ne concernaient pas personnellement le salarié et que l’inspectrice ne les avait pas utilisés « dans le strict exercice de sa défense » et qu’il n’était pas « établi qu’ils constituent un crime ou un délit », fondement même du système du lanceur d’alerte.

Cette décision renseigne donc sur l’interprétation par les magistrats du système du lanceur d’alerte, le Tribunal correctionnel d’Annecy faisant en l’occurrence une interprétation particulièrement strict de ce système.

En cas de recours à cet article par un salarié, il faudra donc que celui-ci démontre effectivement que les informations révélées ont été obtenues dans l’exercice de ses fonctions. La parade est dès lors d’anticiper ce risque en définissant dès l’embauche et de manière précise les fonctions du salarié.

Virginie Bensoussan-Brulé
Pierre Chaffenet
Lexing Droit pénal numérique

(1) T. corr. Annecy, 4-12-2015, Société Tefal et Autres / M. M. C. et Mme J. L.
(2) C. pén. art. 226-15.
(3) C. pén. art. 323-1.
(4) C. pén. art. 321-1.
(5) C. pén. art. 226-13.
(6) C. trav. art. L.1132-3-3.




Marétique : les enjeux technologiques et juridiques

Marétique : les enjeux technologiques et juridiquesLe domaine maritime est un point de concentration de flux électronique d’informations à travers la marétique (1).

La marétique point de concentration et d’évolution technologiques. La marétique est l’ensemble des systèmes informatiques et électroniques utilisés dans l’automatisation d’opérations relatives aux activités associées à la mer. Il est constitué du terme « Mare » (mer en latin) et de la terminaison « tique » pour informatique. Une partie de cette activité est également dénommée navigation intelligente.

Les technologies auxquelles la marétique s’appliquent sont variées car elles couvrent la modélisation mathématique, le modèle numérique haute résolution, le calcul algorithmique, la réalité virtuelle, la 3D, le rendu réaliste, la génération de formes (2).

E-navigation. Les chantiers actuels visent à identifier les besoins des utilisateurs et les solutions potentielles dans ce domaine. Un plan stratégique qui présente cinq priorités a été proposé. Ces priorités tiennent essentiellement à l’amélioration de la communication entre navires et de quai à quai, à la fiabilité et l’harmonisation dans la conception des ponts, et à l’intégration et la présentation des informations sur les interfaces graphiques reçues par les équipements (3).

Des problématiques multiples et complexes encadrent la marétique :

  • l’encadrement juridique des nouveaux besoins qui expliquent l’apparition de ces technologies ; notamment en matière de e-navigation, de transmission de données personnelles, ou de logiciel spécifique (4) ;
  • la propriété des données générées et collectées par les navires et dans les ports ;
  • la mise en œuvre de normes obligatoires de sécurité dans le domaine maritime.

Marétique et Union européenne. Pour accompagner l’émergence et le développement de ces nouvelles technologies, l’Union européenne a déjà œuvré à l’harmonisation d’un cadre juridique (5). L’Union Européenne poste les bases juridiques à l’interopérabilité technique en ce domaine.

Anticipation juridique. Les prestataires de services IT doivent s’engager dans ce marché dynamique en travaillant de concert avec les chantiers de constructions maritimes. Ainsi, ces collaborations peuvent elles se structurer sur la base de joint venture ou contrat de consortium.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Droit Informatique

(1) Philippe Garo, « L’adaptation du droit des transports maritimes au droit du commerce électronique » : AFDM, 17-10-2013.
(2) CCI Le Havre, Définition de la marétique.
(3) Organisation maritime internationale (OMI), Définition de l’e-navigation.
(4) CCI Le Havre, magazine Repères n°99 11/12-2010.
(5) Rapport européen COM(2014) 642 final du 21-10-2014.




Une extension de l’accès au traitement des antécédents judiciaires

Une extension de l’accès au traitement des antécédents judiciairesUn décret du 10 juin 2015 étend les règles d’accès au traitement des antécédents judiciaires (TAJ) et au fichier des personnes recherchées (FPR) (1).

Le traitement des antécédents judiciaires est utilisé dans le cadre d’enquêtes judiciaires pour rechercher des auteurs d’infractions ou encore dans le cadre d’enquêtes administratives, telles que les enquêtes préalables à certains emplois publics ou sensibles.

Ce décret modifie l’article R. 40-29 du Code de procédure pénale et permet désormais aux agents du Centre National des Activités Privées (CNAPS) d’accéder au fichier de traitement des antécédents judiciaires. Le CNAPS est un établissement public administratif placé sous tutelle du ministère de l’Intérieur. Il est chargé de délivrer les agréments, de contrôler et de conseiller les professions de sécurité privées. Grâce au décret, les agents du CNAPS pourront désormais fonder leurs décisions d’agrément sur les informations issues du traitement des antécédents judiciaires.

Avant la publication du décret, le CNAPS pouvait seulement savoir si l’intéressé était inscrit ou non sur le fichier de traitement des antécédents judiciaires (2). Si l’agent remarquait que l’intéressé était inscrit sur le fichier, il pouvait alors formuler une demande d’information complémentaire, ce qui avait pour conséquence de rallonger les délais de délivrance de cartes professionnelles ou d’autorisation préalable à l’entrée en formation. Le décret constitue une extension considérable puisqu’il permet désormais aux agents du CNAPS de connaître directement les faits pour lesquels la personne a été poursuivie ou condamnée.

Afin de garantir les droits des personnes concernées, il est prévu que préalablement à la prise d’une décision défavorable, les agents du CNAPS auront l’obligation de demander un complément d’information auprès des services de police et de gendarmerie nationale. Ces derniers devront également vérifier les suites judiciaires auprès du ou des procureurs de la République compétents, dans le cas où la consultation du traitement des antécédents judiciaires révélerait que la personne a été judiciairement mise en cause.

Le CNAPS aura également accès au Fichier des personnes recherchées. Ce fichier regroupe toutes les personnes faisant l’objet d’une mesure de recherche ou de vérification de leur situation juridique.

Le décret a enfin étendu l’accès au traitement des antécédents judiciaires aux agents de préfecture chargés de l’application de la réglementation relative aux étrangers, aux titres d’identité et de voyage et aux permis de conduire.

Cette extension devra être réalisée sous le contrôle de la Cnil et encadrée de garanties suffisantes afin que soient préservés les droits des personnes concernées.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique

(1) Décret n°2015-648 du 10-6-2015
(2) Voir un précédent Post du 22-5-2012




Contrefaçon sur internet : échange de fichiers illicites

Contrefaçon sur internet : échange de fichiers illicitesPar décision du tribunal de grande instance de Béthune du 27 mai 2014, douze personnes ont été condamnées pour contrefaçon à des peines d’emprisonnement avec sursis, huit ans après le démantèlement du forum Utopi-Board, forum d’échange de fichiers illicites et d’outils facilitant le piratage.

Depuis janvier 2005, le forum permettait la mise à disposition des internautes d’une multitude de fichiers, d’albums de musique, de films dont certains étaient des fichiers illicites permettant d’accéder aux œuvres avant leur sortie en salle de cinéma et des logiciels en contrefaçon des droits de leurs auteurs.

C’est initialement à suite d’une plainte pour un produit commandé sur internet mais non livré qu’une perquisition de la gendarmerie au domicile du vendeur du produit litigieux a permis de découvrir sur l’ordinateur de ce dernier l’existence de ce forum Utopi-Board, ayant mis illégalement, depuis juillet 2005, à la disposition d’internautes quelques 36.000 fichiers ou albums de musiques, 3500 films dont certains, avant même leur sortie en salle et 750 logiciels informatiques, et de le mettre sous surveillance.

L’enquête préliminaire, puis l’information judiciaire sur réquisition du Ministère public, ont permis de dévoiler beaucoup d’informations sur le fonctionnement très organisé de ce « warez », à savoir ce site spécialisé dans la distribution illicite de programmes, musiques, fichiers protégés.

En l’espèce, ce site disposait d’une structure organisée de manière hiérarchisée. En effet, il comprenait trois différentes zones d’accès aux fichiers : une en accès libre et gratuite, une en accès privé et la dernière en accès super privé. Selon ces zones, l’accès était plus ou moins payant et les fichiers illicites plus ou moins nombreux. Comme pour tout site internet, les administrateurs, modérateurs et supers modérateurs tiraient leurs ressources à la fois des adhésions et des bandeaux publicitaires.

Le tribunal a retenu que la contrefaçon était caractérisée « par des actes matériels reconnus par les mis en examen, à savoir le fait de télécharger des œuvres et de les copier sur des supports tels que des disques durs, disques compact, disques durs externes, etc. (Reproduction des œuvres) et le fait de les mettre à disposition des autres sur le forum (représentation des œuvres) », le forum ayant vocation à permettre à ses membres de reproduire, par leur téléchargement, des œuvres protégées, en vue de les représenter, actes réservés aux titulaires de droits. C’est ainsi que les prévenus ont été déclarés coupables d’actes de contrefaçon.

Au-delà des actes positif de contrefaçon, le tribunal a également recherché la responsabilité des administrateurs et modérateurs du forum sur le terrain de la complicité considérant que « ceux qui, par leur action favorisent la commission des infractions de contrefaçons en participant au fonctionnement d’un forum warez permettent tant l’existence d’un tel forum (dont le but est commission de contrefaçons d’œuvres de l’esprit ou de logiciels) que son fonctionnement, se rendent complices des infractions de contrefaçons d’œuvres de l’esprit et de logiciels en violation des droits d’auteurs, producteurs, artistes interprètes, ou entreprises de communication audiovisuelles ».

Le tribunal insiste en relevant que « l’enregistrement d’un membre par un modérateur dont la fonction est la gestion des inscriptions de membres, a pour finalité d’autoriser ces membres à commettre des actes de contrefaçon » et que « le modérateur d’un tel site dont le rôle est la vérification des liens de téléchargement et leur bon fonctionnement, assurent l’exécution correcte des actes de reproduction d’œuvres contrefaites ».

Prévue par l’article 121-7 du Code pénal, la complicité sanctionne la personne qui « sciemment, par aide ou assistance » a facilité la préparation ou la consommation d’un délit. Ainsi au-delà de l’incrimination de contrefaçon, qui doit être appréciée de façon restrictive par le juge et ne peut être retenue qu’à raison des actes personnels de reproduction ou de représentation, le tribunal use de la complicité par fourniture de moyen pour condamner les administrateurs et modérateurs du forum.

La complicité permet ainsi aux juges de poursuivre et condamner les acteurs de l’internet qui n’ont pas personnellement commis les actes de reproduction et/ou de représentation préjudiciables mais y ont contribué par la mise à disposition du public un espace de partage de contenus dédié à l’échange d’œuvres illicites.

Déjà dans un arrêt du 28 septembre 2011, la 12ème chambre de la Cour d’appel de Paris avait usé de condamné des vendeurs de linkers, permettant, entre autres usages, la lecture de jeux piratés sur les consoles de jeux de la marque Nintendo, pour complicité : si les prévenus n’avaient pas personnellement réalisés les actes de contrefaçon des jeux incriminés, leur responsabilité avait été retenue pour avoir fourni à leurs clients le moyen de commettre une contrefaçon, usage illicite dont ils avaient parfaitement connaissance au moment de la livraison du produit selon la Cour.

Par ailleurs, les utilisateurs du forum, identifiés par leur adresse IP, stockaient leurs données sur des serveurs piratés appartenant à de grandes universités et entreprises et ce, à leur insu. Rappelant qu’il « n’est pas nécessaire que l’accès au dit système soit limité par un dispositif de protection » et qu’il « suffit, en effet que le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées », le tribunal a condamné les prévenus pour intrusion et/ou maintien frauduleux dans un système de traitement automatisé de données, sanctionnant ainsi l’utilisation de scanners pour rechercher les serveurs disponibles et le stockage des données contrefaisantes après avoir créé des répertoire pour les accueillir.

Le fait d’avoir envoyé des fichiers illicites sur les serveurs afin de les mettre à la disposition du public a été également sanctionné par l’incrimination d’introduction frauduleuse de données dans un système de traitement organisé de données. Pour ces infractions, l’incrimination complémentaire de groupement formé en vue de commettre des fraudes informatiques a été retenue.

Toutefois, dans cette affaire marquée par les nombreuses parties civiles, notamment les organisations professionnelles ou les représentants d’ayants droit comme l’Agence pour la Protection des Programmes, la Sacem, la Société civiles des Producteurs Phonographiques mais aussi des grandes entreprises comme Columbia Pictures Industries, Disney Enterprises Inc, Paramounts Pictures Corporation et Warner Bros Entertainement Inc, le tribunal a précisé à titre liminaire que « si les faits reprochés aux prévenus présentent un caractère certain de gravité, ils sont très anciens et ont été commis à une époque où internet était en plein essor et où le droit applicable était en pleine évolution et où les lois Dadvsi, Hadopi 1 et Hadopi 2 n’existaient pas encore ».

Le tribunal, pour justifier la peine de prison prononcée avec sursis, a ajouté « que si les prévenus avaient tous bien conscience de commettre des actes délictueux, ils ne mesuraient peut être pas tous et entièrement, l’importance du préjudice commis » et « qu’enfin tous étaient très jeunes au moment des faits ».

Marie Soulez
Lexing Contentieux Propriété intellectuelle




Vol de données : modification de l’article 323-3 du Code pénal

Vol de données : modification de l’article 323-3 du Code pénalLa loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol.

Institués par la loi dite « Godfrain », les articles 323-1 à 323-4 du Code pénal (1) prévoyaient cinq atteintes aux systèmes de traitement automatisé de données (bien connus sous l’appellation « STAD »), lesquelles sont :

  • l’accès ou le maintien frauduleux dans le STAD ;
  • l’action d’entraver ou de fausser le fonctionnement du STAD ;
  • l’introduction frauduleuse de données dans un STAD ou la modification des données qu’il contient ;
  • l’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, d’un instrument, d’un programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions au STAD ;
  • enfin, la participation à un groupement de pirates informatiques.

Cette troisième atteinte a été modifiée en novembre dernier afin d’intégrer dans son champ de répression l’inquiétant et récurrent vol de données, qui y échappait jusqu’alors.

L’ancien texte permettait, en effet, uniquement de condamner l’introduction, la suppression ou la modification frauduleuse de données dans un STAD… mais nullement leur copie. Pour combler ce vide juridique, plusieurs voies avaient été envisagées, parmi lesquelles la contrefaçon ou l’abus de confiance.

La qualification de vol qui semblait correspondre au mieux à la copie de données avait été, quant à elle, écartée, tant il était considéré (sans doute à juste titre) qu’il n’y avait pas soustraction frauduleuse d’une chose appartenant à autrui (2) :

  • absence de soustraction, d’une part, puisque le légitime propriétaire des données les conserve et n’en est à aucun moment dépossédé (sauf hypothèse du vol de disque dur) ;
  • absence de chose à proprement parler, d’autre part, puisque la soustraction vise un bien matériel pouvant être saisi physiquement (là où les données sont des biens immatériels).

Or, la loi pénale est d’interprétation stricte et la règle est d’or. Malgré les tentatives de la jurisprudence (3), la répression du « vol » de données se fait donc au détour de la qualification de vol (et de celle de recel), par l’ajout de quatre mots au texte de l’article 323-3 du Code pénal, en vigueur depuis le 15 novembre 2014, lequel réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données dans un STAD.

La loi du 13 novembre 2014 vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ».

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique

(1) L. n°88-19 du 5-1-1988 relative à la fraude informatique, insérant les articles 323-1 à 323-4 dans le Code pénal, en son Livre II « Des crimes et des délits contre les biens », Titre II « Des autres atteintes aux biens ».
(2) Comme l’exige l’article 311-1 du Code pénal, définissant l’infraction de vol.
(3) Cass. crim. 4-3-2008 n°07-84.002 Jean-Paul X Sté Graphibus.




Les atteintes au STAD par l’exploitation de failles de sécurité

Les atteintes au STAD par l'exploitation de failles de sécurité L’exploitation de failles de sécurité fait partie des atteintes au STAD par l’introduction frauduleuse de données dans le système. Un internaute qui souhaitait plaisanter l’a appris à ses dépends. Humour ou infraction ? Telle est, en substance, la question que le Tribunal correctionnel de Paris a eu à trancher dans sa décision du 18 décembre 2014. Tout est parti d’une mauvaise blague.

Ayant constaté que le site internet officiel de la députée-maire Rachida Dati comportait une faille informatique, un internaute quelque peu connaisseur s’est aperçu, non sans amusement, que celle-ci lui permettait d’injecter directement du contenu dans les différentes pages du site. Il pouvait ainsi modifier directement les dires de la députée-maire et lui prêter de faux communiqués de presse, fort parodiques.

Si l’internaute prenait plaisir à la plaisanterie, il en était toutefois le seul public, la manipulation n’emportant nullement modification ou suppression de données du site officiel de Rachida Dati. Son résultat consistait uniquement en la création d’un lien internet pouvant être diffusé : quiconque accédait donc au lien pouvait voir apparaître le contenu ainsi modifié.

Notre internaute l’avait compris, plus on est de fous, plus on rit. Décidant qu’il était temps de donner à sa blague une audience élargie, il fait alors appel à un second internaute qui lui fournit un nom de domaine (www.tweetpop.fr/le-cadeau-de-rachida), hébergeant un site internet dédié à la farce. Le site offre la possibilité à tout internaute, fût-il même novice en informatique, d’exploiter la faille de sécurité constatée et d’afficher sur son navigateur un communiqué de presse formellement semblable en tous points à ceux publiés sur le site officiel de la députée maire (identité de la mise en page générale, présence d’une photographie de Rachida Dati, similitude des couleurs utilisées, respect de la charte graphique, etc.), à l’exception, bien sûr, du contenu du communiqué, librement modifiable par quiconque a actionné le lien.

Avec la rediffusion de ce même lien sur le compte Twitter de notre premier internaute (qui ne possédait pas moins de 4 000 contacts), les faux communiqués de presse, prêtant à Rachida Dati des propos injurieux ou diffamatoires tant sur elle-même que sur d’autres, font alors légion. De nombreux internautes s’en donnent à cœur joie et la rare finesse de l’humour déployé peut, d’ailleurs être saluée, comme en atteste, par exemple, le remplacement de la mention officielle « Groupe PPE » (Parti Populaire Européen) par la mention « Groupe PIPE ».

Seulement, la blague n’est pas du goût de tout le monde. Apprenant la nouvelle, la députée-maire, quant à elle, rit jaune et dépose immédiatement plainte contre X auprès des services de police pour atteintes aux systèmes de traitement automatisé de données (STAD) et usurpation d’identité sur support numérique. Nos deux internautes ne tardent pas alors à être identifiés et la blague tourne court.

Le premier internaute (qui avait constaté la faille et l’avait rendue publique) écope, en effet, d’une amende de 3000 euros pour les chefs d’usurpation de l’identité d’un tiers et d’introduction frauduleuse de données dans un système de traitement automatisé (STAD).

Le second (qui avait fourni le nom de domaine permettant de rendre publique l’existence de la faille informatique) est, quant à lui, condamné au paiement d’une amende de 500 euros du chef de complicité d’usurpation de l’identité d’un tiers.

La relative sévérité de ces peines semble être nettement fonction de la piètre qualité de leur humour, comme le révèlent les sermons, presque paternalistes, adressés lors de l’audience par le président de la 13e chambre correctionnelle. Tant et si bien, d’ailleurs, que certains se demandent si ce niveau de qualité n’a pas été jusqu’à guider la caractérisation de l’une des infractions.

Le jugement du 18 décembre 2014 présente, en effet, un intérêt particulier au regard du droit pénal.

L’application de la loi Godfrain (loi n°88-19 du 5 janvier 1988), qui avait inséré dans le Code pénal un article 323-3 venant réprimer l’introduction frauduleuse de données dans un système de traitement automatisé (STAD), ne coulait pas de source, en l’espèce. Un doute existait, à dire vrai, sur l’application de cette infraction à notre premier internaute, dans la mesure où la faille informatique ainsi reprochée n’intervenait, comme dit plus haut, que pour lui seul, sans que le site officiel de la députée-maire n’en soit nullement altéré. Notre internaute introduisait-il alors véritablement des données dans le STAD en cause, dans la mesure où ces données n’avaient ni pour vocation ni pour effet d’y demeurer ? A tout le moins, la question méritait d’être posée.

Or, l’argumentation du parquet la laisse en suspens, affirmant en guise de réponse que le prévenu « avait manifestement cherché à tromper le serveur et faire du champ rechercher  un usage contraire à sa vocation initiale et non-souhaité par le « maître du système », ce dont il avait connaissance ». Autrement dit, à démultiplier les failles, il avait fait en sorte que le site officiel paraisse incohérent et, dès lors, s’était rendu coupable d’une introduction frauduleuse de données. Ce raisonnement, qui ne justifie nullement en quoi l’introduction de données était réellement caractérisée, a donc attisé quelques critiques, notamment celles du quotidien Le Monde, qui y voit un élargissement de l’infraction d’introduction frauduleuse dans un STAD jusqu’à en faire un « délit technique subjectif », en ce qu’il tient compte des intentions de l’auteur du site.

Le second enjeu majeur de la décision a, bien évidemment, trait à la liberté d’expression, thème brûlant de notre actualité politique. A son sujet, le tribunal affirme que « Si la liberté d’expression est une notion fondamentale de toute démocratie, celle-ci doit naturellement trouver ses limites et il est de jurisprudence constante que cette liberté ne doit en aucune mesure viser à porter atteinte à l’honneur ou à la considération d’une personne, même si celle-ci est publique ».

Derrière la reprise de cette formule classique, se devine pourtant aisément la difficulté de mise en œuvre de cette liberté et de ses limites. La solution eut-elle été la même si l’humour avait été plus fin ? Le doute demeure.

Eu égard tant à l’application contestable de la loi Godfrain au cas de l’espèce qu’à la délicate appréhension de l’humour, forme très complexe de liberté d’expression, la solution retenue le 18 décembre 2014 ne semble pas pérenne et la prudence est donc de mise.

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique




Les failles de sécurité : quel régime juridique ?

Les failles de sécurité : quel régime juridique ?Maître Alain Bensoussan, dans son rendez-vous bimestriel accordé à MyDSI-Tv présente le droit des failles de sécurité.

Quel est le régime juridique des failles de sécurité ? Une faille, c’est quoi ? En fait, ce sont tous les éléments qui portent atteinte à un système de traitement de données, c’est-à-dire que ce sont les erreurs, les bogues mais aussi les fraudes…

Emission de septembre 2012, MyDSI-Tv, le média des DSI créé par Accenture.




L’ ex-trader de la Société générale convaincu de fraude informatique

ex-trader de la Société généraleL’ ex-trader de la Société générale convaincu de fraude informatique. La Cour d’appel de Paris a rendu un verdict particulièrement sévère qui condamne l’ex-trader de la Société Générale à cinq ans de prison (dont deux avec sursis) et au remboursement de la totalité du préjudice subi par la banque, soit 4,9 milliards d’euros.

L’arrêt du 24 octobre 2012 confirme en tout point le jugement de première instance du 5 octobre 2010.

Il est reproché à l’ex-trader d’avoir saisi puis annulé des opérations fictives destinées à dissimuler tant les risques de marché que des opérations purement spéculatives réalisées hors mandat, certes pour le compte de la banque, mais à l’insu de cette dernière et dans des proportions gigantesques (de l’ordre de 52 milliards d’euros, soit bien plus que la banque ne pouvait se permettre d’engager).

Les agissements de l’ex-trader visaient à dissimuler dans le système informatique de la banque ses prises de position « hors mandat » et surtout leur montant « hors limites » afin de ne pas déclencher les systèmes d’alerte mis en place par la banque.

Les magistrats de la cour d’appel confirment que le caractère « innovant et complexe des techniques employées » n’a aucune incidence sur la qualification du délit d’introduction frauduleuse de données. Dès lors qu’est démontrée la volonté de l’auteur de porter atteinte à la fiabilité d’un système en y introduisant, en toute connaissance de cause, des données fausses, le délit est « parfaitement » constitué.

L’auteur a donc été reconnu coupable d’abus de confiance en prenant des positions spéculatives de dizaines de milliards d’euros sur des marchés à risque et en déjouant les contrôles avec des opérations fictives, de faux, usage de faux et introduction frauduleuse de données dans le système de traitement automatisé de la banque.

Mais l’affaire n’est peut-être pas terminée, la Cour de cassation ayant été saisie…

CA Paris pôle 5 ch 12 n° 11-00404 du 24 10 2012.