Vers une légitime défense des entreprises face au piratage de données ?

Depuis l’arrivée du numérique dans nos vies le monde assiste à l’émergence de nouvelles menaces. L’information, désormais surabondante, est devenue stratégique et fait l’objet de convoitises. C’est ainsi que la guerre de l’information représente un risque tant pour les États que pour les entreprises de toutes les tailles et de tous les domaines.

La préservation d’informations sensibles est un enjeu majeur pour les entreprises.  Le droit pénal appliqué à la fraude liée au numérique demeure du droit pénal. La criminalité informatique est très difficile à relever et sa découverte est souvent hasardeuse. Cette difficulté est renforcée par le caractère transfrontalier de l’activité frauduleuse. Aussi les entreprises auraient de plus en plus tendance à se protéger en amont contre cette criminalité numérique. Mais quelles sont les possibilités qui s’ouvrent à elles ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Aux États-Unis, la violation de la propriété intellectuelle d’entreprises américaines coûte chaque année plusieurs centaines de milliards de dollars. La Chine serait à ce titre responsable de 50% à 80% des atteintes. Mais la Russie, l’Inde et d’autres pays qui disposent d’un environnement juridique peu élaboré en ce qui concerne les droits de propriété intellectuelle et de politiques industrielles protectionnistes, constituent tout autant des acteurs importants de ce phénomène. Outre la perte énorme de revenus pour ceux qui ont créé les inventions ou acheté des licences, ces atteintes mettent à mal les incitations à innover pour les entrepreneurs.

Les recours juridiques en matière de propriété intellectuelle ne suivent pas, car la lenteur de ces recours ne répondant pas aux besoins des entreprises dont les produits ont des cycles de vie et de profit courts. Ainsi, la coopération aux plans national et international n’a cessé de croitre en matière de lutte contre la cybercriminalité. La lutte contre les cybermenaces passe en effet incontestablement par des réponses coordonnées au niveau international.

Ce caractère transnational impose aux États la mise en place d’actions concertées visant à établir des politiques de coopération européenne et internationale en matière de lutte contre la cybercriminalité. C’est dans ce cadre que la Directive 2013/40/UE relative aux attaques contre les systèmes d’information a été adoptée le 12 août 2013 par le Parlement européen et devra être transposée en droit interne avant le 4 septembre 2015 et est entrée en vigueur le 3 septembre 2019. A cette occasion, le droit européen s’était emparé de la question du vol de données . Mais face à l’évolution des nouvelles technologies et de la cybercriminalité, cette directive a par la suite été complétée en 2016 à la suite de l’adoption de la directive NIS 1.

Besoin de l’aide d’un avocat pour un problème de piratage informatique ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Plus récemment, la Directive NIS 2 a été adoptée et son nouveau cadre a permis une actualisation des notions ainsi qu’une amélioration de la coopération européenne face à l’évolution du paysage des cybermenaces. Elle conserve cependant les objectifs annoncés par sa première version et promet d’augmenter la cyber résilience des systèmes informatiques, de réduire la cybercriminalité et de renforcer la politique de l’Union européenne en matière de cybersécurité et de cyberdéfense à l’échelle internationale.

Nous observerons avant tout la situation française avec dans un premier temps une mise au point du cadre des vols de données (I) pour ensuite observer les conséquences sur l’entreprise (II).


I. Quel cadre pour le vol de données ?

La France s’est dotée d’un arsenal répressif pour lutter contre la fraude informatique en 1988, avec la loi Godfrain, qui punit les atteintes aux systèmes de traitement automatisé des données. Cette loi a été complétée à de multiples reprises afin d’adapter la prévention et la répression à l’évolution des cyberattaques.

A) Qualification légale du vol de données

La loi du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol. Cet article vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ». Les informations sont en effet des éléments de valeurs qu’elles soient matérielles ou immatérielles. Il s’agit non seulement de garantir la protection du secret des affaires mais également d’enjeux de réputation.

Auparavant les juridictions s’appuyer sur les dispositions de l’article L311-1 du Code pénal pour sanctionner le vol de données. Or, cet article posait plusieurs limites en ce qu’il qualifie de vol « la soustraction frauduleuse de la chose d’autrui ». Deux éléments sont à dégager de cette définition. En premier lieu, le vol doit porter sur une chose et en second lieu, il faut que cette chose soit soustraite. En outre, il ressort d’une jurisprudence constante que le vol doit reposer sur un élément matériel.

Dans un arrêt de la Cour de cassation en date du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Ainsi, la difficulté liée au vol de données informatiques d’un point de vue juridique s’expliquait d’une part par le caractère immatériel des données et d’autre part, par le fait que dans la plupart des affaires, les données étaient simplement copiées et non pas soustraites. Ce constat a d’ailleurs été pris en compte à l’occasion de la modification de l’article 323-3 du Code pénal. L’incrimination de la reproduction et de l’extraction de données par cet article permet donc de s’assurer de manière certaine de la répression de ces comportements.

La « fraude informatique » c’est-à-dire l’ensemble des agissements intéressant l’informatique qu’on peut tenir pour répréhensibles, est multiforme. Il peut ainsi s’agir de :

Manipulations informatiques : manipulation des données à saisir à l’entrée du système ; manipulation de programmes ; manipulation au niveau des commandes du terminal ; manipulation des données à la sortie ; utilisation abusive de services informatiques sur place ou à distance ; intrusion informatique .

Espionnage par ordinateur : vol de logiciel ; vol d’information ou utilisation abusive d’informations.

Sabotage de l’ordinateur : destruction ou altération des données ; actes de vandalisme.

Délits économiques usuels, c’est-à-dire détournement de fonds en utilisant des moyens informatiques.

Il faut par ailleurs faire une opposition fondamentale selon que les « biens informatiques » sont l’objet de la fraude (sabotage de l’ordinateur par exemple) ou qu’ils sont le moyen de la fraude (l’ordinateur servant, par exemple, à réaliser une escroquerie). Mis en avant par MM. Devèze et Gassin, ce clivage a son importance.

Ainsi, dans un arrêt de la Cour de cassation du 4 mars 2008, le vol de données a été caractérisé suivant une double condition : le fait non seulement du détournement du support sur lequel se trouvaient les données, mais en plus, du caractère secret des informations concernées. En outre, cet arrêt insistait longuement sur la nécessaire matérialité du vol. Néanmoins, ce raisonnement laissait d’ores et déjà entrevoir la réflexion selon laquelle le vol pourrait être caractérisé dès lors que les opérations effectuées allaient à l’encontre de la volonté du propriétaire des données. Le caractère secret des informations manifeste l’expression de la propriété physique sur des données immatérielles, répondant ainsi aux critères posés par le Code pénal.

Cette délinquance est ainsi diversifiée, complexe et très souvent internationale. Par ailleurs, la motivation des cyber délinquants est particulièrement variée (gain financier, défi technique, défense d’une idéologie, espionnage industriel, etc.). Plus grave encore, 80% des cyberattaques sont internes aux entreprises.

B) Quelle réponse des entreprises face au vol de données ?

Entreprise sensible ou pas, chacun possède des informations stratégiques qui peuvent entraîner des conséquences plus ou moins graves en cas de divulgation, modification, ou perte de celles-ci. Elles sont donc vitales pour la structure. Une information stratégique est une information qui, quel que soit son contenu ou sa forme, pourrait avoir des conséquences graves sur la vie de l’entreprise, de ses employés, de ses clients, partenaires ou fournisseurs.

L’Article 122-5 al. 1 du Code pénal énonce que « n’est pas pénalement responsable la personne qui, devant une atteinte injustifiée envers elle-même ou autrui, accomplit, dans le même temps, un acte commandé par la nécessité de la légitime défense d’elle-même ou d’autrui, sauf s’il y a disproportion entre les moyens de défense employés et la gravité de l’atteinte ». Pourrait-on appliquer cet article à la personne morale de l’entreprise en cas d’attaque informatique ? Cette question reste en suspens, mais les autorités s’en saisissent de plus en plus en développant un cadre législatif autour de ce phénomène.

 Ainsi, un rapport de 55 propositions sur la cybercriminalité remis en juin 2014 permet de mettre en relief trois objectifs : une volonté de mieux appréhender le phénomène, de mieux prévenir les infractions et de mieux les réprimer. Ce rapport propose d’aborder une définition de la cybercriminalité en proposant que celle-ci regroupe « toutes les infractions tentées ou commises à l’encontre ou au moyen d’un système d’information et de communication, principalement internet ». Il aborde ainsi l’implication des professionnels, la mise en place d’une agence de régulation et le développement de peines spécifiques.

Par ailleurs, des services spécialisés se sont développés au niveau national. L’explosion du nombre des cyberattaques a contraint la France à adopter une véritable politique de défense afin de protéger ses systèmes d’information.

  • l’Agence nationale de sécurité des systèmes d’information (ANSSI), créée en juillet 2009 et chargée de proposer des règles en matière de protection des systèmes d’information de l’État ;
  • l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), chargé de lutter contre toutes les infractions liées aux nouvelles technologies de l’information et de la communication ;
  • la Bridage d’enquêtes sur les fraudes aux technologiques de l’information (BEFTI), qui intervient principalement sur des problématiques de propriété intellectuelle notamment en cas d’atteinte aux systèmes d’information ;
  • le Service technique de recherches judiciaires et documentation (STRJD) qui a pour fonction de centraliser et exploiter les informations judiciaires qui lui sont transmises par l’ensemble des unités de la gendarmerie nationale notamment sur les infractions relatives à la transmission de données à caractère illicite sur Internet.

L’adoption de la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) le 24 janvier 2023 prévoit une hausse du budget de l’Intérieur de 15 milliards d’euros sur les cinq prochaines années, pour investir dans le numérique, pour une plus grande proximité des services et pour mieux prévenir les menaces et les crises.  Elle promet également le déploiement de 1 500 cyberpatrouilleurs supplémentaires. Ce déploiement de moyens témoigne de la nécessité d’investir massivement dans le domaine technologique au regard des enjeux qui en ressortent.

Au cœur de l’entreprise, les bons réflexes à adopter sont, outre une préparation en amont consistant en un état des lieux des données sensibles et une information constante des équipes, la nécessité d’être réactif face à une attaque. Selon Christophe d’Arlhac, consultant et dirigeant, sont d’abord et avant tout la sensibilisation des collaborateurs, la fixation de règles pour l’utilisation du système d’information et le renforcement de la sécurité de ce système. Ainsi, en cas d’attaque, le comportement à adopter dépendra de la stratégie d’attaque. La cyberassurance s’avère être également une solution émergente. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyberassurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. Par contre, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyberassurance : les besoins de la société, le type de cyberassurance, les conditions de déclenchement de celle-ci, etc.

Comme le relève Eric Hazane « Si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

L’entrée en vigueur du RGPD le 25 mai 2018 a permis d’harmoniser les règles européennes applicables à la protection des données à caractère personnel et pose notamment une obligation générale de sécurité aux entreprises qui doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques.

Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides qui permettent de sensibiliser les différents acteurs aux enjeux et réglementations en vigueur.

De plus, l’épidemie de Covid-19 a accéléré l’usage du numérique et a marqué une nouvelle étape dans la progression des cyber menaces. Selon les observations de l’Agence de l’Union Européenne pour la cybersécurité (ENISA), entre avril 2020 et juillet 2021, les incidents liés aux principales menaces de cybersécurité touchent d’abord l’Administration publique et le Gouvernement, les fournisseurs de services numériques, mais également le grand public, le secteur de la santé et médical et enfin le domaine de la finance et bancaire.

L’ENISA comptabilise environ une attaque par rançongiciel toutes les onze secondes sur/dans l’ensemble des entreprises situées sur le territoire européen. Ces mêmes attaques ciblent les structures les plus fragiles, notamment les PME, TPE et start-up, qui manquent de moyens pour sécuriser leur système d’information.

La cyber assurance s’avère être également une solution émergente pour couvrir de tels risques. Outre le recouvrement des coûts liés à une attaque cybercriminels, disposer d’une cyber assurance permet à l’entreprise de disposer de réseaux d’experts qui permettent de réagir rapidement. En revanche, elle ne s’adapte pas à tout contexte, c’est pourquoi un certain nombre de questions doivent se poser avant de souscrire une cyber assurance : les besoins de la société, le type de cyber assurance, les conditions de déclenchement de celle-ci, etc.

Comme le précise le rapport sur le développement de l’assurance cyber risque, publié en septembre 2022, « L’assurance a un rôle clé à jouer à la fois pour protéger le tissu économique mais aussi pour sensibiliser les entreprises, en particulier les TPE/PME, à leur exposition au risque cyber. »

Par ailleurs, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi. Elle a pour objectif d‘améliorer l’accès à ces informations par la police et la justice.

II – Quelles conséquences pour les entreprises ?

            A) L’e-reputation à l’épreuve des piratages

 La cybercriminalité fait également peser un «risque de réputation » significatif sur les entreprises. En cas d’attaque, leurs données personnelles ainsi que celles de leurs partenaires commerciaux ou clients peuvent être dérobées et divulguées. L’impact peut ainsi s’avérer préjudiciable non seulement pour la réputation, mais encore pour la crédibilité de l’entreprise auprès de ses partenaires.

L’e-réputation est un phénomène assez récent. Il s’agit non seulement de l’image que l’entreprise donne d’elle-même sur internet, mais également du ressenti qu’ont les consommateurs à son propos. Le numérique a considérablement complexifié les rapports entre les consommateurs et l’entreprise, permettant un dialogue entre les différentes parties grâce à de nouveaux supports que l’entreprise ne peut pas forcément contrôler. Bien que le web ait permis un surplus de création de valeur ajoutée non négligeable pour les entreprises, il a fait dépendre des internautes la réputation des  entreprises.

La première des urgences pour l’entreprise reste de protéger sa réputation auprès de ses clients pour préserver ses relations commerciales. Elle doit également restaurer la confiance des actionnaires et du grand public, mais aussi maintenir son chiffre d’affaires prévisionnel et éviter des pertes financières non provisionnées. Pour ce faire, le dirigeant doit faire appel d’abord à un expert IT, pour déterminer l’origine de l’attaque, la circonscrire, identifier les données impactées, réparer la faille et upgrader le système. Il va également recourir aux services d’un spécialiste de la communication de crise, pour contrôler les conséquences de l’attaque sur la réputation de son entreprise (plan de communication media, training des porte-paroles, etc.), ainsi qu’à un avocat pour gérer les relations avec les régulateurs et les tiers (clients, employés, etc.).

B) Illustrations récentes des cas de vol de données

En février 2014, l’opérateur annonce avoir été victime d’un piratage informatique.  Cette attaque de grande ampleur a mis en cause une masse extrêmement importante de données personnelles . Même si l’opérateur a annoncé par la suite que l’intrusion a été éphémère, et que l’intégrité des codes personnels n’a pas été menacée, des menaces de phishing ont pesé sur les clients par le biais de sollicitations douteuses qu’ils pourraient recevoir par email.  C’est en tout pas moins d’1,3 million de personnes qui auraient été touchées par le vol des données.

Autre affaire très récente, les dirigeants de Sony Pictures ont reconnu que le studio de cinéma a été victime d’un vol « très important de données confidentielles » au cours d’une attaque informatique sophistiquée. Les pirates auraient dérobé « des données personnelles d’employés, de l’entreprise et de tiers » ainsi que des documents. Par ailleurs, cinq films de Sony Pictures, y compris certains qui ne sont pas encore sur les écrans ont aussi été piratés.

Cette attaque informatique est encore aujourd’hui, l’une des plus importantes jamais subies par une entreprise aux États-Unis.

Lors de cette attaque, les pirates ont dérobé des données personnelles d’employés, de l’entreprise et de tiers, ainsi que des documents. Par ailleurs, plusieurs films de Sony Pictures, dont certains qui n’étaient pas encore sortis sur les écrans ont été piratés.
Le 19 décembre 2014, le Federal Bureau of Investigation (FBI) a assuré avoir « récolté suffisamment d’informations pour conclure que le gouvernement nord-coréen est responsable de ces actions ». Cette attaque aura non seulement entraîné des répercussions sur les employés de la société Sony Pictures, mais également sur les bénéfices que la société projetait de faire.

En septembre 2022 ce sont les données personnelles de clients orange Cyberdéfense qui se sont retrouvées en ligne. Le fichier mis en ligne sur un forum cybercriminel contenait les données personnelles d’environ un millier de clients (dont le groupe Le Monde) de la solution Micro-SOC Endpoint, commercialisée par Orange Cyberdéfense.

Ce fichier représente une véritable menace pour les entreprises clientes mais également pour les employés chargés de la cybersécurité de ces entreprises. En effet, ces profils sont une mine d’or pour les cybercriminels qui souhaiteraient cibler des sociétés françaises.

Sources :

– http://blogs.lentreprise.com/l-entreprise-et-les-medias/2014/02/03/piratage-de-donnees-lincroyable-silence-dorange/
http://toiledefond.net/e-reputation-des-entreprises/
http://business.lesechos.fr/directions-numeriques/cyber-attaques-se-preparer-pour-reagir-efficacement-7388.php?id=7388#
http://www.leparisien.fr/economie/les-pme-face-a-la-cybercriminalite-15-09-2014-4136531.php
http://www.it-expertise.com/comment-faire-face-a-la-cybercriminalite/
-http://www.globalsecuritymag.fr/Lutte-contre-la-cybercriminalite,20131007,40067.htm
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000028022455
– Gazette du Palais, 18 juin 2015 n° 169, P. 8 : https://www.lextenso-etudiant.fr/articles-%C3%A0-la-une/vol-de-donn%C3%A9es-informatiques
– Affaire Sony Pictures : https://fr.wikipedia.org/wiki/Piratage_de_Sony_Pictures_Entertainment
– Article du journal « Le Monde » sur Orange Cyberdéfense : https://www.lemonde.fr/pixels/article/2022/09/06/des-donnees-personnelles-de-clients-orange-cyberdefense-diffusees-en-ligne_6140399_4408996.html

Par internet-et-droit, Protection des échanges

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

Piratage de site internet

Avec la création d’internet, et plus particulièrement des sites internet, une nouvelle criminalité a émergé, en effet il est maintenant possible de s’introduire dans un site, d’y introduire des virus,… il a alors fallu adopter la législation face à ce nouveau type de criminalité.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Quelles sont les réponses légales en matière d’infractions (intrusions, défacement, contaminations virales) de sites Internet ?

La plupart des infractions informatiques sont sanctionnées au niveau pénal. La loi Godfrain du 5 janvier 1988 relative à la fraude informatique est la première loi française qui réprime les actes de criminalité informatique et de piratage. Elle a par la suite été complétée par la loi pour la confiance dans l’économie numérique du 21 juin 2004 puis par la loi LOPPSI II du 14 mars 2011. Ces différentes lois permettent de sanctionner les atteintes aux systèmes de traitement automatisé de données (STAD) prévu aux articles 323-1 à 323-7 du Code pénal.

Parmi elles on retrouve l’accès frauduleux dans tout ou partie d’un système de traitement automatisé de données, puni de deux ans de prison et de 60 000 € d’amende. Dans le cas où il en résulte une altération, soit des données contenues (suppression ou modification), soit du fonctionnement même du système, les peines prévues sont de trois ans de prison et de 100 000 € (article 323-1 du Code pénal).

Besoin de l’aide d’un avocat pour un problème de cybercriminalité?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Il est également possible de citer le maintien frauduleux dans un système informatique. Les causes d’aggravation retenues (altération des données) sont identiques à celles prévues pour l’accès frauduleux. En effet, bien que le maintien dans un système suppose un préalable accès, celui-ci peut-être autorisé tandis que le maintien, ne l’est pas selon un arrêt de la Cour d’appel de Paris 11° chambre, section. A du 14 janv. 1997.

Par ailleurs, les juges prennent en compte le degré de négligence dans la sécurisation du système. En effet, afin de caractériser un accès ou un maintien frauduleux il semble nécessaire d’établir l’existence d’une faute. L’intrusion consiste en l’utilisation sans droit et contre la volonté du propriétaire du système informatique. Pour ce faire, « le propriétaire doit avoir manifesté son intention de restreindre l’accès aux données aux seules personnes autorisées ». (CA de Paris, 1994)

Est également sanctionnée toute atteinte volontaire au fonctionnement d’un système de traitement automatisé de données, autrement dit le fait de le fausser ou l’entraver est puni de cinq ans de prison et de 150 000 € d’amende (Article 323-2 du Code pénal).

Ainsi une attaque par déni de service peut constituer une entrave au fonctionnement d’un STAD (T. Correctionnel de Nancy, 23 novembre 2015). Il s’agit d’une atteinte au système par saturation. Les entraves au système sont également retenues lorsqu’est déposé un virus ou une bombe logique.

Dans une autre affaire du 15 décembre 2015, les juges ont qualifié d’entrave au fonctionnement d’un STAD, le fait pour un associé de faire cesser le développement du site internet de la société. Pour ce faire, les juges relèvent que « B, qui était le responsable du bureau mauricien où était développé le contenu du site Uptoten.com, licenciait l’ensemble du personnel de ce bureau, faisant de facto cesser le développement du site, et remisait le matériel de la société Uptoten. » (TGI de Paris, 13e chambre correctionnelle, 15 décembre 2015, Uptoten et autres c.J.B).

Est aussi incriminé par l’article 323-3 du Code pénal, le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende (T. Correctionnel de Paris, 25 février 2000).

De plus le droit civil s’applique, ce qui permettra de rechercher la responsabilité de l’individu à l’origine de l’infraction pour qu’il puisse être condamné à des dommages et intérêts pour le préjudice subi par la victime (perte de clients, de commandes, de notoriété, etc.)

II. Sont-elles suffisantes ?

Le système est assez complet, il serait éventuellement possible d’ajouter des infractions pénales plus spécifiques. De plus les cybercriminels innovent constamment ce qui demande un effort constant de la part du législateur.  Mais les différentes actions contre les sites Internet peuvent être sanctionnées par les articles du Code pénal cités.

Les peines semblent assez dissuasives. En effet, les peines vont de 1 an à 5 ans d’emprisonnement et entre 60 000 € et 150 000 € d’amende. Cependant, elles sont aggravées lorsque les infractions visent un STAD mis en œuvre par l’Etat et peuvent aller de 5 ans à 7 ans d’emprisonnement. Elles le sont également lorsqu’elles sont commises en bande organisée.

En outre, comme le précise l’article 323-7 du Code pénal, la tentative des délits prévus par les articles 323-1 à 323-3-1 est punie des mêmes peines.

De plus, des peines complémentaires accompagnent régulièrement ces condamnations. Il peut s’agir d’une confiscation de matériel, ou d’une privation de droits civique et familiaux pour une durée de 5 ans ou plus, etc. (Article 323-5 du Code pénal).

Enfin, la récente adoption de la loi LOPMI prévoit d’aggraver les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d’urgence.

Cela dit, il semble que les entreprises hésitent à engager des poursuites pénales contre les pirates.

III. Les moyens mis en œuvre pour poursuivre et découvrir les auteurs de ces infractions sont-ils aujourd’hui pertinents ? Je fais notamment référence à l’OCLCTIC.

Des organismes chargés de la recherche et la sanction des infractions informatiques existent : OCLCTIV, BEFTI, SEFTI, BCRCI notamment, mais ce ne sont pas les seuls, on peut aussi noter que la DST (service de renseignement national) s’occupe des affaires de piratages importantes.

Ils sont compétents techniquement pour effectuer la recherche des infractions et des responsables des différents délits informatiques.

On peut éventuellement noter un manque de moyens matériels et financiers pour contrer des pirates qui ont souvent des moyens puissants. Mais aussi un problème de temps, lorsqu’un groupe de pirates peut passer 24h sur 24 à agir, les différents organismes chargés de la répression sont limités par leur nombre et leurs horaires.

C’est pourquoi les stratégies en la matière tentent de s’axer sur la prévention et la sensibilisation des utilisateurs et des entreprises. Aujourd’hui nombreux sont les sites dédiés à ce sujet et édités par les autorités compétentes en la matière. Il est à ce titre possible de citer le site internet de l’ANSSI ou encore de la CNIL qui regorgent de recommandations et de guides.

Depuis mars 2017, le gouvernement a également mis en place la plateforme « cybermalveillance.gouv.fr ». Cette plateforme est un dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales.

Des points de contact et la création de certifications (SecNUM Cloud) permettent d’identifier les prestataires qualifiés afin de répondre aux besoins des entreprises. Il est possible de trouver la liste des prestataires qualifiés de réponses aux incidents de sécurité aussi appelés PRIS.

IV. Lorsqu¹une entreprise est victime de ce type de délit doit-elle déposer une plainte ? Si oui auprès de qui ?Est-ce que cette démarche ne l’expose pas plus encore ?

La plainte doit être déposée soit auprès d’un organisme de la police nationale ou de la gendarmerie nationale soit spécialisé, soit auprès du commissariat ou de la gendarmerie ou directement auprès du procureur de la république par le biais d’un avocat.

Je conseillerais dans un premier temps de saisir directement les services de police compétents.

C’est une démarche qui ne devrait pas exposer plus l’entreprise, sauf bien sur si le pirate retrouvé fait partie d’un groupe et donne des consignes d’attaques postérieures…..

Il est assez curieux de constater que paradoxalement il y a beaucoup plus de plaintes pour escroquerie à la carte bancaire que pour défacement de site Internet. Bien sûr dans ces cas de figure, ce sont le plus souvent les banques qui portent plainte. En général si le pirate est en France, il est souvent retrouvé par les services de police compétent en une semaine….

V. Quels autres dispositifs ou mesures sont à la disposition des entreprises victimes de cyberattaques ?

En outre, l’outil « cybermalveillance.gouv.fr » a pour missions d’assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de malveillance en ligne. Elle pourra les orienter sur la marche à suivre en cas d’attaque et les informer sur le dépôt de plainte.

La récente loi LOPMI du 24 janvier 2023 a donné naissance à un numéro d’urgence, le « 17 cyber », qui sera destiné aux particuliers, aux entreprises, mais aussi aux administrations victimes de cyberattaques.

De plus, au regard des obligations imposées par les articles 33 et 34 du RGPD, dès lors que les violations de données représentent un risque pour les personnes concernées, celles-ci faire l’objet d’une notification auprès l’autorité de contrôle compétente (en l’occurrence la CNIL) dans un délai de 72 heures. Lorsque cette violation présente un risque élevé pour les personnes concernées, il sera nécessaire d’alerter les personnes concernées par cette dernière.
Enfin, il vous sera également demandé d’indiquer cette violation dans votre registre de violation des données.

VI. Lorsqu’elle est victime d’une infraction depuis un pays étranger, quelle loi s’applique-t-elle. Existe-t-il d¹ailleurs un dispositif légal au niveau international ?

Les tribunaux répressifs français sont compétents pour connaître de toute infraction commise sur le territoire français, quelle que soit la nationalité de son auteur ou de sa victime. Cette compétence territoriale se justifie aisément : juridiquement, elle découle du pouvoir souverain de la France de protéger l’ordre public sur son territoire contre les infractions qui y sont commises.

En revanche, beaucoup de cyberattaquants se jouent des frontières et des accords d’extradition conclus entre les différents pays, ce qui peut rendre leur arrestation complexe. On dit qu’ils se domicilient dans des « cyber paradis ». Le principe de la territorialité de la loi pénale fait parfois obstacle aux poursuites en cas d’enquêtes transnationales. Il est à ce titre possible de citer l’exemple de Gregory Chelli aussi connu sous le pseudonyme « Ulcan ».

Malgré tout, on trouve des dispositifs de coopération policière comme INTERPOL (qui délivre des notices rouges) ou des conventions telles que la Convention internationale de cybercriminalité Budapest. Ces dispositifs permettent d’harmoniser la lutte contre la cybercriminalité à une échelle internationale et d’émettre des définitions juridiques communes.

Au niveau européen on retrouve les agences EUROPOL et EUROJUST qui facilitent la coopération entre les services répressifs et judiciaires nationaux. On peut également évoquer l’ENISA, qui vise à garantir un niveau commun en cybersécurité dans toute l’Europe.

Cette coopération a encore été étendue à l’échelle européenne. En effet, la révision de la directive « sécurité des réseaux et des systèmes d’information » initiée en juillet 2020, a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers. Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière.

En France, l’adoption de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) le 24 janvier 2023 promet également le déploiement de 1 500 cyberpatrouilleurs.

VII. En cas de piratage d’un site, le tiers par exemple le client ayant subi un préjudice quelconque doit-il se retourner contre la société elle-même victime de l¹infraction ?

Le tiers peut se retourner contre la société à l’unique condition qu’elle soit responsable du préjudice par une faute de sa part par exemple, sinon il devra agir contre l’auteur de l’infraction

Il pourra se constituer partie civile par exemple dans un procès contre le pirate même s’ il n’est pas à l’origine de ce procès, par exemple dans un procès engagé par d’autres victimes ou par l’entreprise victime.

VIII. Si le prix d’un produit a été modifié sur le site à l¹insu de l’entreprise, le client peut-il exiger de régler le prix affiché ? Comment l¹entreprise peut-elle prouver sa bonne foi ?

La jurisprudence considère que le client peut exiger de régler le prix affiché, l’erreur d’étiquetage n’entraînant pas la nullité de la vente.

Cependant, il existe une exception à cette règle lorsque le prix présenté est erroné et dérisoire (article 1169 du Code civil). Autrement dit, lorsque le prix est sous-estimé, on considère que le consommateur normalement avisé ne peut pas avoir interprété le prix affiché comme étant la valeur réelle de l’article. Dans cette hypothèse, le client ne peut réclamer le prix affiché et la vente peut être annulée pour erreur. Si l’entreprise ne peut pas prouver sa bonne foi, elle peut éventuellement prouver la mauvaise foi du client pour obtenir la nullité de la vente ou le paiement des sommes non perçues.

Ce cas d’erreur de prix sur Internet s’est produit il y a quelques années. Des internautes ont profité d’un bug du prix sur le site Micromania pour acheter des consoles à 40 euros alors que le prix réel des consoles était compris entre 300 et 400 euros. Micromania a donc été en droit d’annuler la vente ou bien de réclamer la différence de prix entre le prix affiché et le prix payé.

IX. En matière d’infraction, l’employeur peut-il rechercher une responsabilité auprès d¹un salarié (par exemple, son directeur informatique), de son hébergeur (lorsque son système est externalisé) ou de l¹intégrateur pour manquement professionnel (par exemple, défaut de précaution quant à la protection du site ou manque d’information sur sa vulnérabilité ) ?

La société pourra agir en responsabilité civile contre tous ces tiers si elle peut prouver une faute ayant entraîné pour elle un préjudice. Ainsi, l’entreprise pourra intenter un procès contre un hébergeur qui devait assurer la sécurité du site si celle-ci n’était pas assurée dans la réalité. En revanche, l’entreprise devra s’être assurée que ce dernier présentait des garanties suffisantes (article 34 de la loi informatique et liberté).

Elle pourra également intenter un procès contre toute personne qui en dehors d’un contrat a commis une faute, par exemple, un membre de la société ou un tiers qui aurait fourni des informations confidentielles permettant d’accéder au système.

Le comportement fautif du salarié entraîne également des répercussions sur son contrat de travail. C’est ce que rappelle la Cour de cassation dans un arrêt en date du 26 décembre 2006. Ainsi le fait pour un salarié d’essayer de se connecter, sans motif légitime et par emprunt du mot de passe d’un autre salarié, sur le poste informatique du directeur de la société était un comportement qui violait la charte informatique de l’entreprise, rendait impossible son maintien dans l’entreprise pendant la durée du préavis et justifiait son licenciement pour faute grave.

Dans une affaire en date de 2015, le Tribunal correctionnel de Nancy a condamné un administrateur réseau pour maintien frauduleux dans un STAD et pour atteinte aux secrets des correspondances. Ce dernier avait copié, à partir des serveurs informatiques de la société dont il était salarié, des mails et des documents qui laissaient entendre que la société exerçait des pressions sur une inspectrice du travail et les avait adressés à cette dernière. (T. Correctionnel de Nancy, 4 décembre 2015).

Pour ce faire elle retient qu’« il a consulté les serveurs fichiers sans lien avec sa fonction et s’y est maintenu dans une autre intention que celle d’exécuter son travail habituel de développement du wifi. »

X. Préconisez-vous une assurance couvrant spécifiquement les risques liés à une présence sur le réseau (sous quelle forme et dans quelles conditions). À terme, pensez-vous qu’une protection de ce genre sera rendue obligatoire, et est-ce souhaitable ?

En matière de cyber attaque, l’entreprise victime peut traditionnellement invoquer plusieurs chefs de préjudice. Il peut s’agir d’un préjudice financier, d’un préjudice moral ou encore d’un préjudice matériel. En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis. Cependant, elle devra être en capacité d’apporter des éléments de preuve qui corroborent l’existence d’un préjudice du fait de cette attaque.

Quel type de dédommagement peut-il espérer une entreprise lorsque qu’elle est victime d¹un sinistre de cette nature ?

En principe l’entreprise obtiendra l’indemnisation totale du ou des préjudices subis.

Cependant, l’indemnisation est limitée par la solvabilité du responsable, or un bon nombre des pirates sont des particuliers.

Les préjudices pour une société commerciale d’une telle action peuvent être très importants et risquent par conséquent de ne pas être indemnisés totalement.

Il est dans ce cas intéressant pour l’entreprise de souscrire une assurance à cet effet. Le niveau des dédommagements est fonction du type d’assurance souscrite.

A ce propos, la loi LOPMI du 24 janvier 2023 fixe un nouveau cadre pour les clauses de remboursement des cyber-rançons par les assurances. Le remboursement sera désormais conditionné au dépôt d’une plainte de la victime dans les 72h après connaissance de l’infraction. Cette obligation est limitée aux professionnels et devrait s’appliquer 3 mois après la promulgation de la loi.

Pour lire une version plus complète de cet article sur le défacement et le piratage de site internet, cliquez

SOURCES :

https://www.ihemi.fr/articles/organisation-france-europe-cybersecurite-cyberdefense-V2
https://www.ihemi.fr/sites/default/files/inline-files/Gestion%20de%20crise%20et%20cha%C3%AEnes%20cyber%20-%20INHESJ%20-%20juillet%202020%20-%20Martial%20Le%20Gu%C3%A9dard%20-%20MAJ15juil%281%29.pdf
http://www.senat.fr/rap/r19-613/r19-6131.pdf
Le développement de l’assurance cyber risque : https://www.vie-publique.fr/rapport/286216-developpement-de-l-assurance-du-risque-cyber
Rapport sur le développement de l’assurance cyber risque : https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/286216.pdf
https://www.un.org/fr/chronicle/article/combattre-lindustrialisation-de-la-cybercriminalite

Par internet-et-droit • Tags: , , , ,

Comment se défendre face au « revenge porn »?

Le revenge-porn est une pratique qui vient des Etats-Unis. Elle consiste à publier sur internet des images ou des vidéos pornographiques de son ex copain, ex-copine après une rupture amoureuse. Quels sont les recours si l’on est victime de cette pratique de la part de son ex ? Ce phénomène étant assez récent, que permet la loi en France ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Phénomène ayant pris une ampleur considérable ces dernières années avec l’omniprésence d’internet dans nos vies sociales , et la présence quasi systématique d’appareils photos intégrées dans les smartphones , le « revenge porn » ou la « pornodivulgation » , commence à être pris en considération par les législations à l’international, notamment aux États-Unis où de nombreux États ont légiféré à ce propos.

Originaire des États-Unis, la pratique a été interdite par la loi dans certains États dès 2004. Elle a pourtant été remise au bout du jour par le site « Is anyone up » créé en 2010 et fermé en 2012.

Besoin de l’aide d’un avocat pour un problème de revenge porn?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Afin de se prémunir de cette pratique, certains couples (américains) introduisent même des clauses sur l’utilisation des réseaux sociaux dans leur contrat de mariage.

En France, la pornodivulgation a été introduite dans le Code pénal à la suite de la promulgation de la loi pour une République numérique du 7 octobre 2016. Cette pratique constitue à présent un délit sévèrement sanctionné. Désormais condamné par l’article 226-2-1 du Code pénal, le Revenge porn n’a pas toujours fait l’objet de sanction par les juridictions pénales.

Dans un arrêt rendu le 16 mars 2016, la chambre criminelle de la Cour de cassation refusait, en vertu de l’article 111-4 du Code pénal, de procéder à une interprétation extensive de la loi pénale. Dans cette affaire, une jeune femme avait été photographiée par son ancien compagnon, à l’époque de leur vie commune, la représentant nue alors qu’elle était enceinte. Une fois séparer ce dernier avait diffusé la photographie sur internet.

La Cour d’appel avait relevé que le fait d’avoir accepté d’être photographiée ne signifie pas, compte tenu du caractère intime de la photographie, qu’elle avait donné son accord pour que celle-ci soit diffusée. Ce raisonnement emprunté à la logique civiliste de la protection de l’image n’a pas suffi à convaincre les juges de la haute juridiction.

La Cour de cassation a donc cassé l’arrêt au motif que « n’est pas pénalement réprimé le fait de diffuser, sans son accord, l’image d’une personne réalisée dans un lieu privé avec son consentement. »

Le fait de porter à la connaissance du public ou d’un tiers l’image d’une personne se trouvant dans un lieu privé n’était punissable que si la captation avait été réalisée sans le consentement de la personne concernée.

Or, la photo intime est souvent prise, ou obtenue avec le consentement de la personne concernée, mais diffusée sans son accord, et ceci pour lui nuire.

Cette interprétation stricte de la loi pénale a remué le monde politique, ce qui a conduit quelques mois après à l’adoption de la loi pour une République numérique. C’est l’article 67 de cette même loi qui a permis d’instaurer l’article 226-2-1 du Code pénal qui dispose :

Jusque-là ignoré de la loi pénale en France, le « revenge porn » est désormais un délit sévèrement sanctionné par le Code pénal. L’article 67 de la loi du 7 octobre 2016 a introduit un nouvel article 226-2-1 dans le Code pénal, la loi pour une République numérique, publiée le 7 octobre 2016 au Journal officiel qui dispose désormais :

« Lorsque les délits prévus aux articles 226-1 et 226-2 portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé, les peines sont portées à deux ans d’emprisonnement et à 60 000 € d’amende. Est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1 ».

Il est donc désormais possible d’intenter une procédure en cas d’images prises dans des lieux publics ou privés, avec ou sans le consentement des victimes, et diffusées sans son accord sur internet ou à des tiers. L’infraction peut cependant être caractérisée, quel que soit le moyen technique de diffusion employé (partage sur un réseau social, envoi par e-mail ou SMS).

C’est l’interprétation restrictive de la Cour de cassation de la notion de consentement.

Besoin de l’aide d’un avocat pour un problème de revenge porn?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La loi du 7 octobre 2016 sera complétée par la loi du 3 août 2018 portant sur le cyberharcèlement moral et le cyberharcèlement sexuel, qui prévoit deux infractions afin de sanctionner les personnes, qui se sont concertées ou non, qui cherchent à stigmatiser une ou plusieurs personnes identifiées et à leur nuire par des comportements répétés sur les réseaux sociaux. Ces comportements comprennent des actes portants atteinte l’identité, à l’intimité, à la dignité, à la réputation et à la tranquillité.

La Cour de cassation, avait ainsi estimé dans un avis rendu le 16 mars 2016 que l’atteinte à la vie privée n’était pas caractérisée si la photo avait été obtenue avec le consentement de la victime.

Or, la photo intime est souvent prise, ou obtenue avec le consentement de la personne concernée mais diffusée sans son accord, et ceci pour lui nuire. Il est donc désormais possible d’intenter une procédure en cas d’images prises dans des lieux publics ou privés, sans le consentement des victimes, et diffusées sur internet ou à des tiers.

Les victimes peuvent dans ce cas, déposer plainte dans un commissariat de police, ou déposer plainte devant le Procureur et ensuite devant un juge d’instruction si le diffuseur des images ou vidéos est inconnu, ou directement devant le tribunal correctionnel s’il est connu.

Finalement, la jurisprudence de l’arrêt du 16 mars 2016 s’est terminée avec la loi du 7 octobre 2016, qui a instauré l’article 226-2-1 du Code pénal, qui vient sanctionner le revenge porn à une peine de deux ans d’emprisonnement et à 60 000 € d’amende.

Cet article précise que « est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même ». Ainsi, même si la captation avait été autorisée, la diffusion peut être sanctionnée pénalement, contrairement à ce qu’avait prévu l’arrêt du 16 mars 2016.

Quels actes sont assimilés à du « Revenge Porn » ?

La pornodivulgation peut prendre diverses formes.

Le Revenge porn intervient souvent à la suite d’une rupture mal vécue. L’auteur agit alors en « représailles » et cherche à culpabiliser et à humilier sa victime.

Dans certains cas, cette pratique est utilisée pour soutirer de l’argent. Ce phénomène est très répandu chez les célébrités notamment à travers la pratique de chantage à la sextape.

L’auteur de Revenge porn peut aussi « simplement » s’amuser à montrer les images à ses amis. Souvent, les images ou vidéos ont été obtenues dans une relation de confiance, avec l’accord de la victime.

Cette vengeance ou pornodivulgation, englobe à la fois les images et vidéos échangées, mais également les propos à caractère sexuel qu’on appelle aussi sexting. Même si l’on retient le plus souvent les images et vidéos, les échanges tenus dans un cadre privé tombent sous le coup de ce délit aggravé s’ils sont diffusés sans le consentement de l’intéressé.

Quel est le profil psychologique des personnes qui s’adonnent à ce genre de pratiques ? Dans quel cas font-elles ça ?

Les personnes qui diffusent, sans leur consentement, des photos intimes de leur victime, le font très souvent dans un but de vengeance immédiate, sans mesurer les conséquences graves que cela peut avoir sur la victime.

Il peut s’agir de personnes tout à fait normales, mais qui ont eu un moment d’égarement quand elles se sont senties rejetées par la victime, très souvent dans le cadre d’une rupture non désirée.

Que faire lorsque l’on est victime de Revenge porn ?

Dans un premier temps, il est conseillé d’effectuer des captures d’écran afin de matérialiser un dossier de preuve. Une plainte peut également être déposée auprès d’un commissariat de police ou d’une brigade de gendarmerie.

Lorsque l’identité de l’auteur est connue, il est également possible de signaler son profil auprès de la plateforme PHAROS. Mise en place le 16 juin 2009 par le Gouvernement français, elle permet de signaler des contenus et comportements en ligne illicites.

Des lignes téléphoniques ont également été mise en place. Il est possible de citer le 30 18. Ce numéro d’écoute est destiné aux jeunes victimes et/ou aux témoins de cyberharcèlement et de toutes formes de violences sur internet. Il peut s’agir de Revenge porn, de chantage à la webcam, d’usurpation d’identité, etc.

Sur quels autres fondements les victimes peuvent-elles faire condamner ces pratiques ?

Les victimes peuvent faire sanctionner la diffusion non consentie de leur image, tant sur le plan civil au regard du droit au respect de la vie privée, que sur le plan pénal, lorsque la diffusion porte atteinte à l’intimité de la vie privée.

Ainsi, l’article 9 du code civil, fondement français du droit au respect de la vie privée, permet aux victimes d’obtenir le prononcé d’une réparation financière et le retrait, sous astreinte, du contenu qui leur porte préjudice. Les juges considèrent qu’un individu a sur son image et sur l’utilisation qui en est faite un droit exclusif. Par conséquent, peu importe que des photographies soient prises avec le consentement des intéressés. Le consentement à la fixation n’emporte pas consentement à la diffusion.

Ces affaires peuvent-elles accélérer les demandes des victimes en faveur du droit à l’oubli sur internet ?

Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et est aujourd’hui intégré au Règlement général à la protection des données. Ce droit a été renforcé par les dispositions de l’article 17 du RGPD, et a notamment été étendu aux mineurs (article 40 de loi informatique et libertés modifié par l’article 63 de la loi pour une République numérique de 2016).

Il est ainsi prévu par le règlement que « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais ».

Le droit au déréférencement permet de lutter contre la publication de données à caractère personnel qui porte atteinte aux droits fondamentaux de la personne ou à sa vie privée. Il permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne.

Cela correspond à l’idée selon laquelle un individu peut avoir commis une faute à un moment de sa vie, sans pour autant être marqué par celle-ci pour l’éternité.

Il n’est pas nécessaire de passer par la case tribunal afin de demander le retrait d’un résultat sur un moteur de recherche. Depuis la décision de la CJUE en date du 13 mai 2014, les moteurs de recherche se sont dotés de formulaire de demande de désindexation afin de prendre directement en charge ses demandes.

Chaque demande de déréférencement est appréciée au cas par les moteurs de recherche. Pour ce faire, les moteurs de recherches procèdent à une mise en balance entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, par rapport au droit à l’information et au droit de la presse.

Ainsi, un cas de Revenge porn peut tout à fait être pris en compte dans le cadre d’une demande de droit à l’oubli ou de droit à l’image protégé par le droit à la vie privée (article 9 du Code civil, ordonnance de référé du 12/05/2017 TGI Paris), pour demander le déréférencement d’URL.

De plus, dans une décision du 20 novembre 2018, le Revenge porn fut sanctionnée sur le fondement de l’article 9 du Code civil, portant sur le droit à la vie privée. En effet, il a été considéré que la diffusion des photographies à caractère sexuel, portait atteinte à l’honneur et à la considération de la personne.

Il vous est donc possible de demander aux moteurs de recherche de déréférencer un résultat qui porterait atteinte à votre vie privée et qui ne présenterait aucun intérêt pour l’information du public, critères que le Revenge porn remplit.

Sources :

http://www.lexpress.fr/actualite/societe/revenge-porn-la-vengeance-des-ex_1628679.html#
http://www.france24.com/fr/20141203-porn-revenge-porno-vengeur-photos-nue-sexe-publication-facebook-condamnation-prison-justice/
http://www.village-justice.com/articles/Publication-non-consentie-photos,17744.html
http://www.enquete-debat.fr/archives/observatoire-de-la-delation-site-porno-jemevenge-com
LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033202746/
LOI n° 2018-703 du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000037284450
TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/
Cour de cassation, criminelle, Chambre criminelle, 16 mars 2016, 15-82.676 : https://www.legifrance.gouv.fr/juri/id/JURITEXT000032263441/
https://www.education.gouv.fr/non-au-harcelement/faire-face-au-sexting-non-consenti-et-au-revenge-porn-325394
https://www.gouvernement.fr/actualite/harcelement-agressions-violences-trois-numeros-pour-aider-les-enfants-en-danger
https://en.wikipedia.org/wiki/Is_Anyone_Up%3F

Par Contenu-d-un-site, internet-et-droit • Tags: , ,

«< 37 38 39 40 41 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

# Newsletter mensuelle

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes