internet-et-droit

CYBERCRIMINALITE

L’émergence des nouvelles technologies et de l’internet, on fait apparaître une nouvelle catégorie de criminalité : la cybercriminalité, une législation adaptée à ces nouveaux modes opératoires a dû être mises en place pour lutter contre le développement grandissant de la cybercriminalité.

Les nouvelles technologies ont apporté avec elle un grand progrès, mais également le risque d’intrusion dans la vie privée, depuis plusieurs années le législateur a donc dû adapter la réglementation par phase successive.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! 

Notre quotidien s’est vu faciliter par le développement d’internet et des nouvelles technologies. Cependant, cela peut également être source de dangers, certaines infractions vont même se développer et être facilitées par ces avancées technologiques. Les risques sont donc nombreux.

La cybercriminalité prend plusieurs formes. Certaines infractions seront directement liées aux technologies de l’information et de la communication dans lesquelles l’informatique est l’objet même du délit. Et pour certaines infractions, leur commission sera liée, facilitées ou amplifiées par l’utilisation de ces technologies et ici l’informatique sera un moyen du délit.

Les infractions relevant de la cybercriminalité que nous allons développer ici sont celles dont la commission est liée, facilitée ou amplifiée par l’utilisation des technologies de l’information et de la communication.

Besoin de l’aide d’un avocat pour un problème de cybercriminalité ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

I. Les atteintes aux personnes facilitées ou commises par internet

A. La Lutte contre les infractions à caractère sexuel et le harcèlement en ligne

L’infraction va se servir d’un internet pour soit faciliter celle-ci, soit être le lieu de sa commission, soit être le moyen de sa commission.

Quand il s’agit de la facilitation de la commission de certaines infractions par Internet, le Code pénal prévoit une aggravation des peines. Ainsi, en matière de viol (Code pénal, article 222-24, 8 °), d’agressions sexuelles (1) (Code pénal, article 222-28, 6 °), de traite des êtres humains (Code pénal, article 225-4-2, 3 °) ou de prostitution des mineurs (Code pénal, article 225-12-2, 2 °), les peines sont aggravées, « lorsque la victime a été mise en contact avec l’auteur des faits grâce à l’utilisation, pour la diffusion de message à destination d’un public non déterminé, d’un réseau de communication électronique ».

Par ailleurs, il en va de même lorsque l’infraction a été commise « grâce à l’utilisation, pour la diffusion de messages à destination d’un public non déterminé, d’un réseau de communication électronique ». C’est notamment le cas en matière de proxénétisme (Code pénal, article 225-7, 10 °). C’est également le cas en matière du cyberharcèlement autrement appelé le cyberbullying.

La loi n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes a modifié les articles 222-33 et 222-33-2-2 du Code pénal relatif au harcèlement sexuel et moral.

Les articles précités prévoient désormais une aggravation des peines en cas d’« utilisation d’un service de communication au public en ligne » ainsi qu’une nouvelle infraction permettant de réprimer les « raids en ligne », infraction constituée lorsque des propos ou des comportements sont imposés à une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée ou lorsqu’ils sont imposés à une même victime, successivement, par plusieurs personnes qui, même en l’absence de concertation, savent que ces propos ou comportements caractérisent une répétition.

Enfin, internet peut être le moyen de commission de l’infraction lorsqu’il est prévu que cette dernière puisse se matérialiser par écrit ou se réaliser « par quelque moyen que ce soit » ou les contenus doivent avoir fait l’objet d’une diffusion.

Par conséquent, ce sera le cas des menaces de mort faites par courrier électronique (Code pénal, article 222-17). Il en est de même du happy slapping lorsque les scènes de violences commises sur une personne seront diffusées sur les réseaux sociaux (Code pénal, article 222-33-3, al. 2). Également, la loi réprime depuis le 7 octobre 2016 la « vengeance pornographique » communément appelée « revenge porn ». L’article 226-2-1 du Code pénal condamne enfin cette pratique qui consiste à la diffusion d’un document portant sur des paroles ou des images présentant un caractère sexuel sans le consentement de la personne. Cette diffusion sera punie dès lors que cette divulgation n’a pas été consentie par la personne, peu importe si celle-ci avait donné son consentement pour enregistrer ces images.

B. La protection des mineurs et la lutte contre la pédopornographie sur internet

Pour une protection toujours plus importante des mineurs, le législateur a soit aggravé les peines, soit créé des infractions spécifiques lorsqu’internet constitue le support de l’infraction.

L’article 227-22 du Code pénal dispose qu’en matière de corruption des mineurs, les peines encourues sont aggravées lorsque le mineur a été mis en contact avec l’auteur des faits grâce à l’utilisation d’un réseau de communications électronique pour la diffusion de messages à destination d’un public non déterminé.
L’article 227-22-1 du Code pénal prévoit une infraction autonome lorsque des propositions sexuelles ont été faites par un majeur à un mineur de 15 ans ou à une personne présentant comme telles en utilisant un moyen de communication électronique et une aggravation des peines si ces propositions ont été suivies d’une rencontre.

L’article 227-24 du Code pénal réprime l’exposition des mineurs à des messages à caractère violent ou pornographique, ou de nature à porter gravement atteinte à la dignité humaine ou à les inciter à se livrer à des jeux les mettant physiquement en danger.
Enfin, la lutte contre la pédopornographie (2) est un volet important de la protection des mineurs sur internet. L’article 227-23 du Code pénal sanctionne le fait, en vue de sa diffusion, de fixer, d’enregistrer ou de transmettre l’image ou la représentation pornographique d’un mineur, d’offrir, de rendre disponible ou de diffuser de tels contenus.

Les peines sont aggravées lorsqu’il a été utilisé un réseau de communication électronique pour la diffusion de ces contenus à destination d’un public non déterminé, ce même article sanctionne en outre le fait de consulter habituellement ou en contrepartie d’un paiement un service de communication au public en ligne mettant à disposition des contenus pédopornographiques, de l’acquérir ou de les détenir.

C. Les infractions de presse commises sur internet

La loi du 29 juillet 1881 sur la liberté de la presse constitue le cadre répressif des abus de la liberté d’expression commis sur internet. Le chapitre IV prévoit les crimes et délits commis par la voie de la presse ou par tout autre moyen de publication. Sont ainsi notamment réprimées la diffamation et l’injure (Cour de cassation, chambre criminelle du 14 février 2012, n° 11-81.264), la provocation à la haine, à la violence et la discrimination, l’apologie et la provocation à commettre des délits et des crimes, l’apologie et la contestation des crimes contre l’humanité.

La détermination des personnes responsables résulte des articles 93-2 et 93-3 de la loi n° 82-652 du 29 juillet 1982 modifiée sur la communication audiovisuelle qui instaure un mécanisme de responsabilité en cascade spécifique à la communication au public par voie électronique.

II. La lutte contre l’apologie du terrorisme et les contenus à caractère illicite

A. Lutte contre l’utilisation d’internet pour l’apologie du terrorisme

Pour lutter contre la propagande djihadiste en ligne, la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme a transféré de la loi du 29 juillet 1881 sur la liberté de la presse au Code pénal l’incrimination d’apologie du terrorisme. L’article 421-2-5 du Code pénal sanctionne de cinq ans d’emprisonnement et de 75 000 euros d’amende le fait de faire publiquement l’apologie d’actes de terrorisme.
Sont ici visés tous les actes de terrorisme définis par les articles 421-1 à 422-7 du Code pénal. Ces peines sont portées à sept ans d’emprisonnement et à 100 000 euros d’amende lorsque les faits ont été commis en utilisant un service de communication au public en ligne.

Il a également été ajouté un article 6-1 à la loi n° 2004 pour la confiance dans l’économie numérique (LCEN) qui prévoit la faculté pour l’offre central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) de la sous-direction de la lutte contre la cybercriminalité, autorité administrative désignée par le décret n° 2015-125 du 05 février 2015, de demander à l’hébergeur ou à l’éditeur de service de communication au public en ligne de retirer les contenus apologétiques ou provocants relatifs à des actes de terrorisme et aux moteurs de recherche et annuaires de référencer ces contenus. Si l’éditeur ou l’hébergeur ne procèdent pas au retrait, l’OCLCTIC a la possibilité de demander aux fournisseurs d’accès à internet de bloquer l’accès à ces sites (3).

La loi n° 2016-731 du 31 juin 2016 renforçant la lutte contre crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale a introduit dans le même objectif l’article 421-2-5-1 du Code pénal qui sanctionne le fait d’extraire, de reproduire et de transmettre intentionnellement des données faisant l’apologie publique d’actes de terrorisme ou provoquant directement à ces actes afin d’entraver, en connaissance de cause, l’efficacité des procédures de blocage et de déréférencement administratif (LCEN, article 6-1) ou judiciaire (Code de procédure pénal, article 706-23).

B. La lutte contre la manipulation de l’information

La loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information a créé aux articles 163-1 et suivants du Code électoral un nouveau régime de responsabilité pour les opérateurs de plateforme en ligne dont l’activité dépasse un seuil déterminé de nombre de connexions sur le territoire français (Code de la consommation, article L. 111-7) et a confié au conseil supérieur de l’audiovisuel la mission de surveiller le respect par ces derniers des nouvelles obligations qui leur incombent.

Les opérateurs des plateformes en ligne ont désormais un devoir de coopération dans la lutte contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité des scrutins mentionnés au premier alinéa de l’article 33-1-1 de la loi n° 86-1067 du 30 septembre 1986. Ils doivent dans ce cadre lutter contre les comptes propageant massivement de fausses informations autrement appelées « fake news ».
Dans le projet de règlement « Digital Service Act » est également prévue la lutte contre la désinformation. Ayant pour objectif d’augmenter la responsabilité des acteurs tels que les plateformes et les fournisseurs d’internet pour renforcer les barrières contre les contenus préjudiciables.

Le règlement « Digital Service Act » publié le 27 octobre 2022 par la Commission européenne, prévoit d’étendre la lutte contre la désinformation. Cette législation doit succéder à la directive dite e-commerce du 8 juin 2000, désormais dépassée par les évènements et les usages. Le DSA sera applicable en février 2024, sauf pour les très grandes plateformes en ligne et les très grands moteurs de recherche qui seront concernés dès 2023.

Ce règlement a vocation s’appliquer à tous les intermédiaires en ligne qui offrent leurs services (biens, contenus ou services) sur le marché européen, peu importe que le lieu d’établissement de ces intermédiaires se situe en Europe ou ailleurs dans le monde. Il vise principalement à étendre la responsabilité des acteurs tels que les plateformes pour renforcer les barrières contre les contenus préjudiciables. A ce titre, elles devront mettre à disposition des utilisateurs un outil leur permettant de signaler facilement les contenus illicites et garantir un retrait rapide de ces mêmes contenus.

C. Le délit d’entrave à l’interruption volontaire de grossesse

Le délit d’entrave à l’interruption volontaire de grossesse (IVG) a été consacré par la loi du 27 janvier 1993. Ce délit se caractérise par la perturbation de l’accès aux établissements pratiquant des IVG ou par l’exercice de pressions, de menaces, etc. à l’encontre des personnels médicaux ou des femmes enceintes venues subir une IVG.

La loi du 4 août 2004 a étendu le délit d’entrave à la perturbation de l’accès aux femmes à l’information sur l’IVG. La loi du 20 mars 2017 a depuis étendu le délit d’entrave à l’interruption volontaire de grossesse à la suite de l’apparition de sites internet qui contribuent à la désinformation à ce sujet. Ce délit correspond à « la diffusion ou la transmission d’allégations ou d’indications de nature à induire intentionnellement en erreur, dans un but dissuasif, sur les caractéristiques ou les conséquences médicales d’une IVG ».

C’est l’article L. 2223-2 du code de la santé publique qui incrimine l’entrave à l’interruption légale de grossesse en punissant de deux ans d’emprisonnement et de 30 000 € d’amende le fait d’empêcher ou de tenter d’empêcher de pratiquer ou de s’informer sur une interruption volontaire de grossesse ou les actes préalables prévus par les articles L. 2212-3 à L. 2212-8.

III. L’utilisation des technologies de l’information et des communications aux fins d’atteindre aux biens

Avec le développement des échanges et des transactions à distance, les techniques de fraude et d’escroquerie en ligne se sont développées. Les attaques contre les biens se sont vu renforcées avec l’avènement du numérique.
Les infractions contre les biens qui vont être citées, sont des infractions dite classique qui ne font pas l’objet d’incrimination spécifique en lien avec l’usage d’internet, elles sont réprimées au même titre que les autres atteintes aux biens.
L’escroquerie est particulièrement développée avec l’usage des nouvelles technologies. Cette infraction est prévue à l’article 313-1 du pénal. Elle caractérise par le fait d’obtenir une remise d’un élément déterminé au moyen d’une tromperie pouvant prendre la forme d’un faux nom, d’une fausse qualité, de l’abus d’une qualité vraie ou encore par la réalisation de manœuvre frauduleuse (mise en scène, aide d’un tiers, publicité mensongère…).

Pour être caractérisé, c’est bien la tromperie qui doit amener à la remise. Le phishing est un exemple très courant d’escroquerie par internet qui consiste généralement à l’envoi d’un mail frauduleux qui va persuader son destinataire de procéder à une remise de fond portant sur des faits trompeurs. La « fraude au président » est également particulièrement courante, elle repose sur le fait qu’une personne va se faire passer pour le supérieur hiérarchique d’une autre en ordonnant un virement. L’escroquerie est punie de 5 ans d’emprisonnement et de 375 000 euros d’amende.

L’extorsion est également une infraction particulièrement utilisée dans la cybercriminalité. Elle est prévue à l’article 312-9 du Code pénal. Il va s’agir ici, de provoquer une remise (d’un fond, de valeurs ou d’un bien quelconque) ou l’obtention d’une signature, de la révélation d’un secret ou encore de l’engagement ou la renonciation de la part d’une personne.

Pour ce faire, c’est la violence ainsi que la menace et la contrainte qui seront utilisées. Le Ransomware va être le fait d’utiliser un programme malveillant qui va empêcher l’utilisateur d’accéder à ses données, notamment par l’utilisation du chiffrement. La personne à l’origine de cette attaque va demander en échange de la remise des données ou de débloquer le système, une rançon. Il y a également le même procédé avec l’attaque DDoS qui consiste à menacer ou à mener une action qui va alors avoir pour effet d’empêcher ou de limiter la capacité d’un système de fournir son service. L’extorsion est punie de sept ans d’emprisonnement et de 100 000 euros d’amende.

Pour lire une version plus complète de cet article sur la cybercriminalité, cliquez

SOURCES :
• https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000007457265&fastReqId=1211905801&fastPos=1
• https://cdre.eu/documentation/documentation-en-ligne/82-documentation-en-ligne/justice/droit-penal-materiel/369-decision-2000-375-jai-du-conseil-du-29-mai-2000-relative-a-la-lutte-contre-la-pedopornographie-sur-l-internet
• https://www.legifrance.gouv.fr/affichJuriJudi.do?oldAction=rechJuriJudi&idTexte=JURITEXT000026181926&fastReqId=1755413238&fastPos=1
• https://eur-lex.europa.eu/legal-content/en/TXT/?uri=COM%3A2020%3A825%3AFIN
https://www.leclubdesjuristes.com/wp-content/uploads/2021/04/rapport_cyberattaques_DEFweb-1.pdf
https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act

Par internet-et-droit, Newsletter • Tags: , , ,

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

Par internet-et-droit • Tags: , , , ,

Droit à l’image et atteintes à la vie privée

Le droit à l’image est le droit de toute personne physique à disposer de son image entendue comme l’ensemble des caractéristiques visibles d’un individu permettant son identification.  Le fondement juridique de ce droit est le droit au respect de la vie privée.

Sur internet, la diffusion, la publication et l’exposition de photographies et vidéos sont limitées par le droit à l’image, consacré aussi bien au niveau interne qu’européen.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

L’article 9 du Code civil dispose que « Chacun a droit au respect de sa vie privée », alors que l’article 8.1 de la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales déclare que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ».

Le droit à l’image, en tant qu’attribut de la personnalité, fait partie de la vie privée. Toute atteinte au droit à l’image constitue de ce fait une violation de la vie privée. Le droit à l’image est applicable quel que soit le mode de diffusion de la photographie ou de la séquence vidéo.

Ainsi, toute personne dont la vie privée/intime est exposée sur Internet, notamment par un tiers sans le consentement de l’intéressé, pourra obtenir réparation du préjudice subi par des dommages et intérêts et/ou demander le retrait immédiat du contenu litigieux diffusé.

L’infraction existe dès que les éléments relevant de la sphère privée sont diffusés à un public autre que son destinataire initial et exclusif. À titre d’exemple d’atteintes au droit à l’image, on peut citer les photos prises dans le cadre de la vie privée, une image caricaturale, une image dévalorisante (photo embarrassante, etc..), une image inexacte ou trompeuse (montage pour faire croire quelque chose).

Besoin de l’aide d’un avocat pour un problème de droit à l’image ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Le critère principal est l’identification de la personne sur l’image. En définitive, le seul fait de permettre l’identification d’une personne à travers son image est constitutif d’une atteinte à la vie privée sanctionnée par le droit pénal.

L’article 226-1 du Code pénal puni ainsi d’un an d’emprisonnement et de 45 000 euros d’amende le fait de capter ou de fixer, quelque soit le support employé, et sans le consentement de l’intéressé, des images, et ceux aux fins de porter volontairement atteinte à l’intimité de la vie privée d’autrui.

La diffusion et publication d’image d’autrui n’est donc punissable que si l’enregistrement ou le document qui les contient a été réalisé sans le consentement de la personne concernée. Cette condition légale fait notamment obstacle à la qualification pénale d’un certain nombre de nouvelles infractions apparues avec internet et les nouveaux moyens de communication.

I Le droit à l’image, un droit de la personnalité

Définition

Le droit à l’image, protégé en droit français et européen, est un droit de la personnalité. Les droits de la personnalité sont des droits fondamentaux et inaliénables à la personne humaine. Ces droits assurent à l’individu la protection des attributs de la personnalité, qui comprennent la vie privée, l’image, la voix, les nom-prénoms (etc) et garantit son intégrité morale. Ce sont des droits que tout être humain possède, et qui sont inséparables de sa personne.

Ces droits sont des droits extrapatrimoniaux, c’est-à-dire qu’ils sont reconnus à toute personne du simple fait qu’elles existent. Contrairement aux droits patrimoniaux, les droits extrapatrimoniaux sont situés en dehors du patrimoine de l’individu. Ils sont, dès lors, absolus, intransmissibles, imprescriptibles et insaisissables.

Toute personne physique a le droit de disposer de son image, quelle que soit la nature du support de publication ou de diffusion de l’image.

Néanmoins, ce droit n’est n’a jamais été reconnu expressément par le législateur. Il n’existe que dans son rapport avec la vie privée et n’est donc pas un droit absolu.

Le droit au respect de la vie privée permet une protection contre toute intervention arbitraire dans l’intimité d’une personne. La protection conférée par ce texte est quasiment sans limites. En effet, la notion de « vie privée » est extensive et évolue au gré de nouvelles mœurs et technologies.

Ainsi, le droit à l’image devient, au fil du temps, un droit autonome et distinct du droit au respect de la vie privée, même si protégé sur le même fondement.

Contrairement aux autres droits de la personnalité qui sont des droits extrapatrimoniaux, le droit à l’image est mixte.

Intimement lié à l’individu, il est extrapatrimonial, et pouvant faire l’objet d’exploitation commerciale, il est patrimonial. Cette double nature affecte la portée de sa protection.

Le principe du consentement à la prise

La loi pénale étant d’interprétation stricte, le fait de porter à la connaissance du public ou d’un tiers l’image d’une personne se trouvant dans un lieu privé, n’est punissable que si l’enregistrement ou le document qui les contient a été réalisé sans le consentement de la personne concernée. Il n’est pas pénalement réprimé le fait de diffuser, sans son accord, l’image d’une personne réalisée dans un lieu privé avec son consentement.

L’accord doit porter sur la prise l’image elle-même ainsi que sur sa publication si cette image doit être publiée. Si l’accord n’autorise pas la publication de l’image, elle est interdite. L’autorisation de la personne est indispensable qu’elle soit une personne publique, une connaissance ou un membre de sa famille. Il en est de même pour la publication sur Internet de photos montage. Le fait que la personne prise en photo soit dans un lieu public n’a aucune conséquence si elle apparaît de manière isolée grâce au cadrage réalisé par le photographe (Civ. 1re 12 décembre 2000). L’accord doit être écrit car, en cas de litige, il faut apporter la preuve qu’on a obtenu l’autorisation de la personne.

Numériser la photographie d’une personne nécessite un double accord : celui de la personne concernée, qu’elle soit connue ou non (en vertu de son droit à l’image) et celui de l’auteur de la photographie, puisqu’il s’agit là d’une œuvre protégée par le droit d’auteur.

Un accord donné pour la publication d’une image n’est valable que pour cette publication. En cas de rediffusion ultérieure de cette image et pour une autre finalité, un nouvel accord de la personne concernée doit être donné.

La reproduction d’une image sans l’accord de la personne concernée peut entraîner la responsabilité civile ou pénale de la personne ayant diffusé l’image.

L’article 9 du code civil, permet d’engager la responsabilité civile de la personne ayant publié une photo sans l’autorisation de la personne concernée.

Le Code pénal punit lui l’atteinte à la vie privée par la fixation, l’enregistrement ou la transmission de l’image d’une personne dans un lieu privé et sans son consentement (art. 226-1 du CP : un an d’emprisonnement et 45 000 euros d’amende) ; la conservation, le fait de porter ou de laisser porter à la connaissance du public ou d’un tiers ou l’utilisation de quelque manière que ce soit tout enregistrement ou document obtenu sans le consentement de la personne. (art. 226-2 du CP : un an de prison et 45 000 euros d’amende) ; la publication par quelque voie que ce soit, d’un montage réalisé avec l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas fait expressément mention (Art. 226-8 du CP : un an d’emprisonnement et 15 000 euros d’amende) ainsi que L’atteinte à la dignité des victimes d’attentats (Art. 35 quater de la loi du 29 juillet 1881 : 15 000 euros d’amende).

Comme pour les photos, les personnes reconnaissables sur les vidéos disposent d’un droit à l’image. Il convient donc de solliciter leur accord avant de diffuser les films.

II Les atteintes au droit à l’image en tant qu’attribut de la personnalité

Les sanctions légales

L’article 226-1 Code pénal dispose qu’est puni d’un an d’emprisonnement et de 45 000 euros d’amende le fait, au moyen d’un procédé quelconque, de porter volontairement atteinte à l’intimité de la vie privée d’autrui en captant ou fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé.

La responsabilité pèse sur la personne qui met en ligne le contenu.

Cependant, l’hébergeur (société ou personne mettant à disposition l’espace de stockage) ne sera tenu responsable que s’il avait connaissance du caractère illicite du contenu « l’hébergeur n’est présumé avoir connaissance de la présence d’un contenu manifestement illicite qu’à partir du moment où celui-ci lui est précisément notifié par un acte comportant l’ensemble des mentions prescrites par l’article 6. I. 5 de la loi du 21 juin 2004, et notamment la localisation précise des faits litigieux. » (Cour de cassation civile, Chambre civile 1, 12 juillet 2012) ou s’il n’a pas agit promptement pour retirer les données après en avoir eu connaissance.

Avant de poster un message ou de diffuser une photo ou une vidéo, il faut s’interroger sur le caractère privé ou non du contenu. Il est Il est donc nécessaire de recueillir l’autorisation de la personne concernée pour toute exploitation publique (par exemple la mise en ligne sur un blog ou sur une page de réseau social). Pour photographier un enfant mineur, puis publier son image, l’autorisation donnée par son représentant légal, à savoir ses parents ou son tuteur, est obligatoire.

La loi du 19 octobre 2020 permet d’encadrer le travail des “enfants influenceurs” sur les plateformes de vidéo en ligne telles que Tiktok, Instagram et Youtube. Celle loi dispose que lorsque l’image d’un enfant de moins de 16 ans est diffusée sur une plateforme de vidéos en ligne, ses représentants légaux sont dans l’obligation d’obtenir une autorisation individuelle ou un agrément de l’administration et de faire une déclaration, lorsque l’enfant est le sujet principal de la vidéo. Un droit à l’oubli a été ouvert aux mineurs grâce à cette loi. Les plateformes numériques doivent retirer les vidéos des enfants lorsque ces derniers en font la demande directe, le consentement des parents n’est pas nécessaire.

La loi du 19 octobre 2020 permet d’encadrer le travail des “enfants influenceurs” sur les plateformes de vidéo en ligne telles que Tiktok, Instagram et Youtube. Celle loi dispose que lorsque l’image d’un enfant de moins de 16 ans est diffusée sur une plateforme de vidéos en ligne, ses représentants légaux sont dans l’obligation d’obtenir une autorisation individuelle ou un agrément de l’administration et de faire une déclaration, lorsque l’enfant est le sujet principal de la vidéo. Un droit à l’oubli a été ouvert aux mineurs grâce à cette loi. Les plateformes numériques doivent retirer les vidéos des enfants lorsque ces derniers en font la demande directe, le consentement des parents n’est pas nécessaire.

Certaines informations publiées sur un site web peuvent également constituer des allégations de nature à porter atteinte à la réputation et à la renommée d’une personne. Or, l’injure, la diffamation ou le dénigrement sont des comportements réprimés par la loi française.

L’injure et la diffamation publique se définissent comme des délits de presse, soumis au régime de la loi sur la Liberté de la presse du 29 juillet 1881, soumis en tant que tels au juge pénal. Limites à la liberté d’expression, les délits de presse figurent dans le chapitre IV de la loi du 29 juillet 1881 intitulé « des crimes et délits commis par la voie de la presse ou par tout autre moyen de publication ». Le caractère public est une condition sine qua non d’une infraction de presse, quel que soit le support de l’écrit (papier, internet, etc …).

Quant au dénigrement, il s’agit de « tout acte ou comportement de nature à jeter publiquement le discrédit sur une personne ou une entreprise même en l’absence de toute situation de concurrence, dès lors que la critique est inspirée par le désir de nuire à autrui ».

Sur internet comme ailleurs, ces comportements sont réprimés et la publication de quelconque contenu constituant un délit de presse est une violation de la loi. Néanmoins, le principe de consentement à la prise d’image fait souvent, en pratique, obstacle à la qualification et répréhension pénale des nouveaux types d’infractions commis sur internet.

Le principe de consentement, obstacle à la qualification pénale

La loi pénale étant d’interprétation stricte, le fait de porter à la connaissance du public ou d’un tiers (…) l’image d’une personne se trouvant dans un lieu privé, n’est punissable que si l’enregistrement ou le document qui les contient a été réalisé sans le consentement de la personne concernée.

Or de nombreuses poursuites fondées sur le droit à l’image impliquent la diffusion de contenus dont la prise a été consentie. Souvent, une rupture conflictuelle pousse, à la fin d’une relation, un des ex-compagnons à diffuser sur internet des photos intimes de son ancienne partenaire. Ce phénomène, baptisé « Revenge Porn », n’est pas une nouvelle forme d’atteinte isolée à l’ère des nouveaux moyens de communication. En effet, la facilité et l’accessibilité propre à internet supposent une multiplication des possibilités d’atteinte au droit à l’image.

Cette problématique souligne l’urgence d’adapter la législation. En ce sens, le projet de loi « République numérique », qui revient devant le Sénat en avril 2016, prévoit de compléter l’article 226-1, et écarter définitivement toute ambiguïté, en ajoutant l’alinéa suivant : « Est puni des mêmes peines le fait de transmettre ou diffuser, sans le consentement de celle-ci, l’image ou la voix d’une personne, quand l’enregistrement, l’image ou la vidéo sont sexuellement explicites ».

La situation n’est pas nouvelle. En janvier dernier, elle avait été blâmée par la délégation aux droits de la femme qui, dans son rapport sur le projet de loi Lemaire, avait remarqué que pour des magistrats, une personne qui donne son consentement à la prise de vue, en regardant l’objectif, empêchera automatiquement les poursuites pour la diffusion de l’image en ligne. Lors des débats parlementaires, un amendement des élus écologistes a utilement été adopté pour corriger cette brèche. En outre, les sanctions ont été portées à 2 ans de prison et 60 000 euros d’amende.

La loi n° 2020-936 du 30 juillet 2020 modifie l’article 226-1 du Code pénal et ajoute aux atteintes à l’intimité de la vie privée, la captation, l’enregistrement ou la transmission, par quelque moyen que ce soit, de la localisation en temps réel ou en différé d’une personne sans son consentement. Par ailleurs, cette loi permet également une meilleure protection contre les violences conjugales en ajoutant une aggravation des peines encourues lorsque les faits sont commis par le conjoint, le concubin ou le partenaire de pacs de la victime.

En outre, les poursuites fondées sur l’article 9 du code civil restent une alternative, une compensation, qui permet aux juges de fermement punir les formes d’atteinte au droit à l’image et à la vie privée sur internet, particulièrement lorsqu’il s’agit d’images à caractère intime.

Ainsi, la Cour d’appel de Paris a été encore plus sévère que le tribunal correctionnel en condamnant à une peine de prison ferme une jeune femme éconduite qui s’était vengée sur internet de l’amant qui l’avait quittée. Dans son arrêt du 13 avril 2016, la cour qui a confirmé le jugement de première instance a alors aggravé la sanction de la prévenue en transformant la peine d’origine de deux ans d’emprisonnement avec sursis, en une peine d’un an de prison avec sursis et un an d’emprisonnement ferme.

Sources

https://www.service-public.fr/particuliers/vosdroits/F32103
http://www.village-justice.com/articles/droit-image-internet,14048.htm
https://www.vie-publique.fr/loi/273385-loi-19-octobre-2020-travail-enfants-youtubeurs-influenceurs-sur-internethttps://www.lexbase.fr/article-juridique/59481518-breves-loi-n-2020-936-du-30-juillet-2020-visant-a-proteger-les-victimes-de-violences-conjugales-tab
https://www.lexbase.fr/article-juridique/59481518-breves-loi-n-2020-936-du-30-juillet-2020-visant-a-proteger-les-victimes-de-violences-conjugales-tab

Par internet-et-droit

SUCCESSIONS ET CYBERCRIMINALITE

A l’heure où le monde se numérise, les attaques informatiques deviennent de plus en plus nombreuses. Beaucoup d’héritiers sont de plus en plus victimes de vol de leur identité par des inconnus, s’en prenant ainsi à leurs successions ou parts successorales.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Les infractions servant de base légale à la répression de la cybercriminalité ont toutes pour point commun d’utiliser les systèmes et réseaux numériques tantôt en tant qu’objets de l’infraction, tantôt encore en tant que supports de l’infraction, tantôt enfin en tant que moyens de l’infraction.

« La cybercriminalité », également appelée criminalité informatique, consiste en la réalisation de délits commis à l’aide d’équipements informatiques et d’Internet. Parmi les exemples classiques de cybercriminalité, il est possible de citer la diffusion de virus informatiques, le téléchargement illégal, les actes de phishing, le vol d’informations personnelles telles que des données bancaires ou données à caractère personnelles.

La cybercriminalité est une des formes de délinquance qui connaît la croissance la plus forte. La rapidité et la fonctionnalité des technologies modernes renforcent la facilité de l’anonymat et ainsi entraînent de nombreux délits notamment l’usurpation d’identité. Ce délit peut avoir des conséquences importantes dans le cadre d’une succession.

Besoin de l’aide d’un avocat pour un problème de succession et de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

En outre, la cybercriminalité est une délinquance protéiforme, dont l’ampleur reste difficile à évaluer. Ses auteurs comme ses victimes présentent des profils variés : de simples particuliers, des organisations criminelles, des États peuvent être impliqués. Il est cependant certain que la cybercriminalité représente une menace croissante en raison de la place grandissante qu’occupe le numérique dans nos économies et nos sociétés.

Lorsque les systèmes et réseaux numériques sont l’objet de l’infraction, les atteintes aux systèmes de traitement automatisé de données, les infractions en matière de fichiers ou de traitements informatiques et enfin la cryptologie constitue aujourd’hui le cœur des incriminations.

Quant au droit des successions, c’est tout simplement la transmission de tout le patrimoine du De cujus à ses éventuels héritiers, légataires ou légataires à titre universel.

Deux infractions seront évoquées à ce stade : il s’agit de l’usurpation d’identité et arnaque sur internet : l’exemple de l’héritage.

Le délit d’usurpation d’identité prévu et réprimé par l’article 226-4-1 du Code pénal suppose qu’il soit fait usage de l’identité d’un tiers en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération.

Encourt la cassation l’arrêt qui déclare une personne coupable de ce délit, alors qu’il constate que l’identité prétendument usurpée correspond aussi à celle qui avait été attribuée au prévenu dans des circonstances extrinsèques à savoir, lorsqu’il était mineur, à la demande d’une personne s’étant présentée comme son père de sorte que ni le fait d’usurper l’identité d’un tiers ni la volonté d’en faire usage en vue de troubler la tranquillité du tiers ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ne peuvent être caractérisés (1).

 I. L’usurpation d’identité

 L’usurpation d’identité désigne l’utilisation d’informations personnelles permettant d’identifier une personne à son insu pour réaliser des actions frauduleuses. Cette cybermenace peu avoir des incidences en droit des successions.

Un traitement de données à caractère personnel a été créé auprès du ministère de l’Intérieur (Arr. 9 nov. 2011, NOR : IOCD1130891A : JO, 29 nov. mod. par. Arr. 27 nov. 2014) à fin de gestion des dossiers instruits dans le cadre de la lutte contre la fraude documentaire et de l’usurpation d’identité sur les cartes nationales d’identité et les passeports (art. 1er).

A) Éléments matériels

  • Comportement

–      Usurpation d’identité

L’usurpation d’identité est une infraction dont se servent les arnaqueurs pour pouvoir dépouiller les héritiers.

Le terme usurpation ne soulève pas de difficultés particulières. Il correspond au fait de s’attribuer sans droit, et donc de manière illégitime, l’identité d’un tiers, dans le but de se faire passer pour lui. Il peut être remarqué que dans le projet de loi, il était fait référence non pas à l’usurpation, mais à la simple utilisation de l’identité d’autrui.

La modification intervenue au cours des travaux préparatoires s’explique par la volonté du législateur de ne pas faire entrer dans le champ d’application de l’incrimination les comportements consistant seulement à citer le nom d’un tiers sans qu’ils aient pour finalité, dans le même temps, de se faire passer pour celui-ci.

C’est pourquoi la seule mention du nom d’autrui dans un journal ne saurait relever de l’article 226-4-1 du Code pénal. Elle peut néanmoins être éventuellement sanctionnée pénalement sur le fondement de la loi du 29 juillet 1881 relative à la liberté de la presse si le propos tenu à l’encontre de la personne citée se révèle diffamatoire ou injurieux.

C’est la raison pour laquelle il peut être considéré que « l’identité au sens de l’article 226-4-1 du Code pénal apparaît ainsi pétrie du nom de la personne, mais entendu dans un sens large, celui qu’elle a reçu par la naissance, celui qu’elle a pris à l’occasion d’un changement officiel de nom ou, en fait, celui qu’elle s’attribue. Bref, l’identité en ce sens, c’est la façon dont la personne s’appelle ou se fait appeler »

Usage d’une ou de plusieurs données de toute nature permettant d’identifier un tiers.

Le concept d’usage est plus large que celui d’usurpation. Il y a en effet usage par la seule utilisation de ce qui en constitue l’objet, indépendamment de la fin consistant à se faire passer pour autrui. La distinction avec l’usurpation peut paraître ténue, mais elle n’en est pas moins réelle, ne serait-ce que d’un point de vue théorique. Ainsi, il y a usage, et non pas usurpation, dans le fait de se servir des identifiants d’un tiers pour bénéficier des services qu’ils permettent d’obtenir sans que cette utilisation implique spécialement la volonté de se faire passer pour ce tiers.

La finalité de l’usage, à l’inverse de celle de l’usurpation, peut donc consister dans la satisfaction de besoins exclusivement matériels. Il semble pourtant qu’il faille admettre qu’appliquée à l’infraction définie à l’article 226-4-1 du Code pénal, la distinction perd un peu de son effectivité. La raison en est qu’aux termes du texte d’incrimination, l’usage doit être fait en vue de troubler « la tranquillité [du tiers] ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération ».

Or, un tel objectif est plus difficile à atteindre lorsqu’il n’y a pas de volonté de se faire passer pour la personne dont les données permettant de l’identifier sont utilisées.

Comme pour l’identité, le législateur n’a pas pris le soin de définir ce que sont « les données de toute nature permettant d’identifier » un tiers. Son silence n’est pas sans présenter de nombreux inconvénients au regard du principe de légalité.

  • Résultat

L’usurpation d’identité ou l’usage de données de toute nature permettant d’identifier un tiers doit avoir pour finalité soit de troubler sa tranquillité ou celle d’autrui, soit de porter atteinte à son honneur ou à sa considération. À lui seul, le texte d’incrimination laisse relativement ouverte la question de l’identification de la valeur sociale protégée. Il paraît donc nécessaire pour résoudre la difficulté de s’intéresser à la place de l’infraction dans le Code pénal. En effet, il s’agit d’une donnée non pas seulement formelle, mais également fondamentale en ce qu’elle fournit de précieux éléments d’information sur la valeur sociale que le législateur a entendu protéger à travers l’incrimination.

Le résultat légal ne coïncidant pas avec le résultat redouté qu’il précède, le délit de l’article 226-4-1 doit être rattaché à la catégorie non pas des infractions matérielles, mais à celle des infractions formelles. Le texte présente l’intérêt de pouvoir être sollicité de manière anticipée puisqu’il peut être retenu avant que la valeur sociale protégée soit effectivement atteinte, et ce sans qu’il soit pour autant besoin d’appliquer la théorie de la tentative.

B) Élément moral

  • Dol général

Le dol général consiste ici, au regard de ce qui constitue la matérialité de l’incrimination, dans la seule volonté consciente d’usurper l’identité d’un tiers en l’occurrence d’un héritier ou de faire usage de données de toute nature permettant d’identifier cet héritier.

  • Dol spécial

Aux termes de ce dernier, l’usurpation d’identité d’un héritier ou l’utilisation de données de toute nature permettant de l’identifier doit avoir été commise « en vue » de troubler la tranquillité, l’honneur ou la considération. Il s’agit donc de l’archétype de l’infraction dont la constitution est subordonnée à l’existence d’un dol spécial tel qu’il a été précédemment défini. Il en ressort que la volonté de l’agent de porter atteinte à la tranquillité, l’honneur ou la considération d’autrui doit être établie pour que l’infraction puisse être consommée, et ce alors même qu’il n’est pas nécessaire qu’un tel résultat ait été atteint puisque, matériellement, il reste parfaitement indifférent, du fait du caractère formel de l’incrimination.

II) Arnaque sur internet : l’exemple de l’héritage

Internet constitue sans aucun doute une bonne occasion pour les délinquants de multiplier leurs exactions, dans ce monde virtuel pour certains, mais rémunérateur pour d’autres. C’est ce que révèle l’étude de plusieurs décisions de jurisprudence rendues ces dernières années, qui ont retenu la qualification d’escroquerie pour des opérations commises via internet.

L’Escroquerie définie par l’article 313-1 du Code pénal, « l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende ».

A) Réalisation d’escroqueries grâce à internet

De manière assez exceptionnelle, internet peut simplement faciliter l’escroquerie à petite échelle. C’est le cas par exemple de personne se disant détentrices d’un héritage. Ces personnes contactent souvent les vrais héritiers et leur demandent leurs coordonnées bancaires. Le mieux est donc de prévenir plutôt que guérir et retenir qu’en matière d’héritage, le notaire vous contactera, mais on ne vous demandera jamais de virer de l’argent sur le compte d’un soi-disant professionnel, avocat ou notaire afin que vous puissiez percevoir ce beau présent, il existe « toute une procédure » et des actes pour officialiser votre qualité d’héritier cela ne se fait pas par deux trois échanges de mails.

Ainsi, se rend coupable d’escroquerie l’individu qui a usurpé deux identités, en utilisant sous le couvert de celles-ci des moyens de paiement qu’il s’était procuré illégalement, soit en achetant sur internet, des numéros de carte bancaire, soit en ouvrant des comptes bancaires au moyen de faux documents (faux bulletins de salaire, fausses quittances), comptes dont il savait qu’ils étaient dépourvus de toute provision et, par ces moyens frauduleux, ont trompé l’ensemble des commerçants et particuliers qui lui ont remis des marchandises ou des services (2).

De même, un individu a intercepté un courrier adressé par la banque à ses parents contenant les codes d’accès bancaire par internet à l’aide desquels il a procédé à des virements à son profit. La chambre criminelle (3) relève que l’escroquerie est parfaitement caractérisée en ce sens que les manœuvres frauduleuses ont eu pour effet de déposséder la banque de fonds détenus pour le compte de clients auxquels elle était tenue de les représenter.

Tel est également le cas de celui qui, par l’usurpation des identités de trois clients, donne des ordres de virements par internet et télécopie afin de faire transférer de leur compte réel ouvert auprès de la banque néerlandaise ING, au moyen de comptes ouverts en France, des sommes approchant un à deux millions d’euros (4). Certains tentent aussi de profiter de cette technologie pour commettre des escroqueries dans le cadre de leur profession pour escroquer d’éventuels héritiers réservataires (5). (En ce sens, V. le cas d’un médium).

B) Escroqueries sur internet

La plupart du temps, internet constitue le cœur du processus d’escroquerie notamment parce qu’il permet de réaliser l’infraction à l’encontre d’un nombre important de personnes. C’est notamment ce qui se produit lors des actes de phishing par lesquels les individus, après avoir récupéré, par la voie de robots, des milliers d’adresses électroniques ciblées et filtrées (ex. : adresse en « fr »), envoient des courriers électroniques invitant les destinataires à se connecter en ligne par le biais d’un lien hypertexte sur une page < web > factice, qui ressemble à s’y méprendre à celle du site original. Le courriel demande en général au destinataire, sous couvert d’un problème technique ou d’une rénovation totale du site, de mettre à jour ses identifiants, mots de passe, numéro de compte, etc.

Lorsque, parmi les destinataires du message, certains sont effectivement clients de la banque en question, les escrocs parviennent parfois à obtenir les éléments demandés, soit parce que le client les divulgue comme demandé, soit parce que le courrier électronique envoyé contient en pièce jointe un cheval de Troie qui, dès l’ouverture du courrier, met en place sur l’ordinateur de la victime une fonction de captation des données confidentielles et les envoie, via un keylogger-logiciel qui enregistre les frappes au clavier sur des serveurs en général basés à l’étranger. Quelque temps après, le compte de ces clients est débité, à leur insu, par un virement bancaire à destination d’un tiers.

Le compte crédité est en fait celui d’une « mule », une personne ignorant tout de l’escroquerie qui se voit proposer par courriel de travailler pour une société internationale spécialisée dans les placements financiers qui la rémunérera par une commission de 5 à 10 % du montant des fonds transférés. Cette mule reçoit donc les fonds et les transfère, via les services d’une entreprise financière spécialisée dans le transfert de fonds (ex. : Western Union), à un destinataire qui lui sera précisé ultérieurement. Ainsi, un étudiant qui a créé un faux site du Crédit Lyonnais, réussissant à voler une douzaine de personnes pour un montant de 20 000 €, a été condamné pour escroquerie par phishing plutôt que pour contrefaçon – car les peines sont plus sévères – par le tribunal correctionnel de Strasbourg le 2 septembre 2004 (www.zdnet.fr).

En définitive, le droit successoral n’est pas à l’abri de la délinquance informatique ou internet. Les cas sont nombreux, les victimes aussi nombreuses.

Tentative. – La tentative d’escroquerie est punie par l’article 313-3 du Code pénal. S’ajoutent aux peines prévues par l’article 313-1 du même Code, sept peines complémentaires prévues par l’article 313-7, ainsi que l’exclusion des marchés publics pour une durée de cinq ans au plus, en vertu de l’article 313-8.

Personnes morales. – La responsabilité pénale des personnes morales est également prévue par l’article 313-9 du Code pénal, dans les conditions prévues par l’article 121-2 du même Code.

C) L’abus de faiblesse et conséquences sur l’héritage

L’abus de faiblesse est également un type d’arnaque à l’héritage. Dans ce cas, un individu va profiter de la vulnérabilité d’une personne qui n’a pas conscience du préjudice subi, car elle n’a plus toutes ses facultés de discernement.

Cela peut être toute personne physique, qui agit sur la personne vulnérable pour lui faire modifier la clause bénéficiaire d’une assurance-vie par exemple, ou un testament pour les mettre à son profit ou à profit de tiers.

Cette pratique d’abus de faiblesse peut également se produire de manière virtuelle notamment à travers les réseaux sociaux en se faisant passer pour un membre de la famille par exemple. Cela rejoint le délit d’usurpation d’identité.

De manière pratique, si vous versez des frais, le cybercriminel ne donnera en général plus de nouvelle et sera susceptible d’utiliser la partie voire la totalité de l’héritage.

En effet, si vous donnez vos informations bancaires, une transaction d’argent sera fera de votre compte vers celui des escrocs (et non l’inverse) et votre contact ne donnera plus jamais de nouvelles.

Par conséquent, nous préconisons de ne jamais répondre aux messages virtuels en matière d’héritage, car en réalité il n’est question que d’arnaque à l’héritage.

Pour lire une version plus complète de cet article sur les successions et la cybercriminalité, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

«< 32 33 34 35 36 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

# Newsletter mensuelle

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes