cryptologie

LES SPYWARES OU « LOGICIELS ESPIONS »

Les internautes ont souvent l’habitude de télécharger des plusieurs programmes en ligne. Certains sont gratuits et d’autres payants. Beaucoup de programmes téléchargés viennent avec ce que l’on appelle des spywares ou « espiogiciels » en français.

NOUVEAU : Utilisez nos services pour en cas de piratage informatique en passant par le formulaire !

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage). Ils s’installent, généralement, en même temps que d’autres logiciels et ils permettent aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d’informations statistiques par exemple. Il s’agit donc, d’un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Quels sont les enjeux juridiques liés à la prolifération des spywares ?

En effet, les espiogiciels peuvent causer préjudice aux internautes puisqu’ils permettent la divulgation d’informations à caractère personnel. Aussi, ils peuvent être une source de nuisances diverses telles que : la consommation de mémoire vive ou l’utilisation d’espace disque.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

I.  Les différents types de spywares

À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils : les logiciels publicitaires, le cheval de Troie, les cookies de suivi et les moniteurs de système.

  • Les logiciels publicitaires

Les logiciels publicitaires sont une catégorie d’applications qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.

Ces logiciels peuvent aussi avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. Ils peuvent aussi servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées. Cependant, ils ne sont pas aussi dangereux que les chevaux de Troie informatique.

  • Cheval de Troie

Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.

  • Cookies de suivi

Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, mais leur particularité c’est qu’ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.

Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Par ailleurs la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc. Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.

  • Les moniteurs de système

Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.

II. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. Toutefois, il arrive souvent que les internautes ignorent totalement la présence de spywares. De ce fait, le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.

La loi informatique et libertés (LIL) instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées. Ainsi, il est précisé à l’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Une décision de la Cour d’appel rappelle cela d’ailleurs. En effet, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté (CA Bourges, 11 janvier 2007, n° 2007/03).

Le projet de loi concernant la refonte de la LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Par conséquent, tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).

III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Selon l’ article 9 du Code civil, chacun a droit au respect de sa vie privée. Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi informatique et Libertés. Ainsi, les données personnelles consistent à toute information se rapportant à une personne physique identifiée ou identifiable. Elles peuvent concerner des informations relatives à la vie privée de la personne : le pays dans lequel vit l’internaute, le type d’achat qu’il effectue, les sites visités, etc.

À travers les logiciels espions, les destinataires des données peuvent constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et e-mails .

La loi pour la confiance dans une économie numérique condamne cela. Il faut le consentement préalable de l’internaute via les e-mails (article 22). L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Il faut savoir, que le profilage ne se limite plus au comportement des internautes sur Internet, mais il concerne désormais le simple lecteur d’un e-mail. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel, car elles peuvent aller jusqu’à 1,5 million d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

La CNIL émet régulièrement des recommandations qui visent à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware », mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

Pour cela, il convient, donc, de voir quelques conseils pratiques afin de se protéger contre les spywares.

IV. Comment se protéger contre les spywares ?

Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares :

  • Éviter le téléchargement d’applications suspectes : il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables. À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
  • Se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.

Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation. Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisant pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.

Pour lire une version plus complète de cet article sur les spywares et le piratage informatique, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

Par internet-et-droit, Newsletter • Tags: , , , ,

LA RESPONSABILITE DES PRESTATAIRES DE SERVICES INFORMATIQUES

À lheure actuelle, nous assistons à une croissance massive des secteurs du numérique . De plus en plus de contrats se forment par voie dématérialisée. Il a alors fallu s’interroger sur la responsabilité des prestataires de services informatiques en matière de sécurité informatique.

NOUVEAU : Utilisez nos services pour faire respecter un contrat en passant par le formulaire !

La sécurité par voie électronique repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services informatiques était mis en place, avec deux grands volets : la libéralisation de la cryptologie et la reconnaissance de la signature électronique.

Le Conseil des ministres a adopté le 15 janvier 2003 un projet de loi « sur la confiance dans l’économie numérique », dans lequel la question de la responsabilité des « prestataires techniques » de l’Internet est un des points majeurs (chapitre 2 du projet de loi). Ce projet de loi avait, aussi, comme vocation à transposer en droit français la directive européenne du 8 juin 2000 sur le commerce électronique. Cette réglementation a mis en place le système d’une responsabilité limitée des prestataires techniques. L’article 2 du projet de loi redéfinit les obligations des prestataires intermédiaires des services de communication en ligne.

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

I. Obligations générales du prestataire de services informatiques

En droit, l’ article 1112-1 du Code civil prévoit le devoir d’information du prestataire de services informatiques et dispose ainsi : « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ».

Ainsi, la résolution d’un contrat aux torts du prestataire informatique a été prononcée par la Cour d’appel d’Orléans qui a considéré que le professionnel avait manqué à son obligation en ne remettant au client qu’une notice succincte que le matériel qu’il venait d’acquérir (1). Par ailleurs, la Cour d’appel de Paris a considéré qu’un prestataire avait manqué à son obligation de conseil en laissant un projet changer de nature, sans alerter le client sur les conséquences de ce changement (2).

Dans une autre affaire et suivant le même raisonnement, la Cour de Paris a jugé en 2017 que, même face à un client, professionnel de l’informatique, le prestataire demeure redevable de son obligation de conseil et doit s’assurer que ce client dispose de la capacité d’apprécier la portée des caractéristiques techniques des équipements et solutions qui lui sont proposées (3).

De plus, le prestataire de services informatiques a aussi une obligation de délivrance de la prestation et que cette prestation soit conforme aux attentes du client.

Et enfin, le prestataire de services informatiques est responsable des vices cachés en vertu de l’article 1641 du code civil.

II. Étude de cas sur les prestataires assurant des prestations de cryptologie

En matière de sécurité, un projet de loi libéralise sans réserve l’utilisation des moyens de cryptologie, définies comme « tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète » (art. 29 LCEN). Cette version de l’article n’a pas changé. Elle est en vigueur depuis le 22 juin 2004.

En ce que concernent les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu’ils sont présumés responsables, jusqu’à preuve contraire, et malgré toute disposition contractuelle contraire, du « préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions » (art. 32 LCEN).

Cette présomption pourra être levée si le prestataire démontre qu’il n’a commis aucune faute intentionnelle ou de négligence. Toute ce texte semble d’application très large et exclure la force majeure. Pourtant, il a déjà été constaté que la confidentialité de certaines données peut avoir été compromise du fait de la victime elle-même, par exemple à raison de la présence de programmes-espions préexistants dans le système d’information ou en présence de certains virus.

De ce fait, on pourrait se demander si la présence d’un virus informatique peut-il constituer un cas de force majeure et exonérer la responsabilité du prestataire informatique ?

La Cour d’appel de Paris a répondu à cette question dans une décision rendue le 7 février 2020 (4). Les magistrats de la Cour ont estimé, dans cette affaire, qu’« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée. ».

In fine, les prestataires doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l’exécution de leurs prestations, aux personnes qui leur confient le soin d’assurer la confidentialité de certaines données ou assurer un devoir de conseil et d’information à l’égard des clients.

Par ailleurs, l’article 33 de la loi pour la confiance dans une économie numérique institue une véritable présomption de responsabilité, nonobstant qu’elle a un champ d’application limitée : ce régime ne s’appliquerait qu’en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur. La présomption de responsabilité ne jouerait qu’à l’égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu’un préjudice résulte d’une atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide desdites conventions.

Il convient de préciser, toutefois, que les prestataires des services de sécurité informatique ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat (art. 33 LCEN).

L’article 34 institue un mécanisme de sanction administrative et précise que « Lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses observations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné ». Cet article précise aussi que l’interdiction de mise en circulation est applicable sur l’ensemble du territoire national.

Concernant les sanctions pénales, la violation du secret professionnel expose les personnes exerçant une activité de fourniture de prestations de cryptologie aux sanctions prévues pour les articles 226-13 et 226-14 du Code pénal : 1 an d’emprisonnement et 15 000 euros d’amende.

Par ailleurs, est sanctionné le non-respect de l’obligation de déclaration, qui expose le prestataire à des peines d’emprisonnement (2 ans) et d’amende (30 000 euros), assorties des mêmes peines complémentaires que celles énumérées précédemment pour les moyens de cryptologie.

Pour conclure, le décret du 2 mai 2007 a également prévu des sanctions associées puisque le fait de fournir des prestations de cryptologie ne visant pas à assurer des fonctions de confidentialité sans avoir satisfait à l’obligation de déclaration expose aux peines prévues pour les contraventions de la 5e classe soit 1 500 euros par contravention. Cette sanction est assortie d’une peine complémentaire de confiscation, suivant les modalités prévues par l’article 131-21 du Code pénal, de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution.

Pou rlire une version plus complète de cet article sur la responsabilité des prestataires informatiques, cliquez

Sources :

(1) CA Orléans, ch. com., 31 mai 2007, SA Cybervitrine c/ Agence BIB Immobilier, Juris-Data, no 2007-342466
(2) CA Paris, 5e ch., 13 sept. 2006, Prodimpor c/ Hays IT, no 224
(3) CA Paris, pôle 5, ch. 11, 17 nov. 2017, no 15/2004, Com. com. électr. 2018. Comm. 25, obs. E. Caprioli.
(4) CA Paris, pôle 5, ch. 11, 7 févr. 2020, nº 18/03616.
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:01999L0093-20081211&from=LT
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000646995/

Par internet-et-droit • Tags: , , , , , ,

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes