piratage

LE STREAMING, TECHNIQUE LÉGALE OU ILLÉGALE ?

Nombreux sont les utilisateurs aujourd’hui qui font usage du streaming pour visionner une œuvre sur un site internet. Avec le streaming, l’utilisateur peut visionner le contenu sans même avoir à la télécharger, pratique ! Mais alors, est-ce que cette technique est légale ? 

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Avec le streaming, pas besoin de télécharger préalablement le contenu que l’on souhaite visionner. Gain de place dans le disque dur et visionnage instantané. Ainsi, cela attire de nombreux visiteurs. Cependant, il convient de se poser la question de la légalité, les œuvres visionnées étant protégées par le droit de la propriété intellectuelle.

En effet, dès lors que cela touche à des contenus relevant du droit d’auteur, cela doit amener à une rémunération pour les ayants droit.

Le problème étant que certaines plateformes de streaming ne respectent pas cela.

Avec l’évolution d’internet, le streaming est devenu une pratique particulièrement courante. La question de la légalité se pose plus que jamais.

Aujourd’hui le caractère illégal des plateformes d’échange peer to peer ne fait plus de doute. Cependant, la question se pose pour les sites de streaming.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Également, quelle responsabilité pour les plateformes qui permettent la diffusion de ces contenus portant atteinte au droit d’auteur ? La loi pour la confiance dans l’économie du numérique en date du 21 juin 2004 distingue la responsabilité des hébergeurs de celle des éditeurs. Un éditeur sera tenu responsable des contenus qu’il diffuse. A l’inverse, l’hébergeur n’est pas soumis à une obligation générale de surveillance pour les contenus qu’il diffuse. Il bénéficie d’une responsabilité atténuée, ainsi, il n’est considéré comme responsable qu’une fois que le contenu illicite lui a été signalé et s’il n’a pas agi promptement pour le rendre inaccessible ou le supprimer.

Le P2P correspond à un échange de fichier, dont la source unique devient multiple et partagée, et peut disparaître. Tous les peereurs sont « identifiés ».

I. La création d’HADOPI

A) La mise en place d’un outil pour lutter contre le piratage des contenus

Le 29 décembre 2009, le décret n° 2009-1773 a créé une autorité pour lutter contre le piratage de contenus. Il s’agit d’HADOPI (haute autorité pour la diffusion des œuvres et la protection des droits sur internet). Cette autorité publique indépendante disposait de plusieurs missions, l’objectif étant la protection des œuvres soumises à des droits de propriété intellectuelle.

Cette autorité a été officiellement créée le 12 juin 2009 par la promulgation de la loi. Le but premier de cette loi était de lutter contre les partages illégaux de fichiers en P2P. En décembre 2009, la loi HADOPI 2 relative à la protection pénale de la propriété intellectuelle sur internet a été adoptée pour compléter la loi du 12 juin 2009.

HADOPI est davantage centré sur l’illicéité des échanges en P2P que sur le streaming. Cela s’explique par des problèmes techniques.  Pour le P2P, il est facile d’identifier les acteurs, or dans le cadre du streaming cela est beaucoup plus complexe. En effet, il est particulièrement difficile d’identifier qui s’est connecté à quel site et qui a mis en ligne le contenu.

Lorsque l’utilisateur a recours au streaming, il a l’impression de ne pas télécharger l’œuvre. Cependant, elle se retrouve tout de même dans le matériel local. En effet, le fichier est en réalité téléchargé (entièrement ou en partie) avant le visionnage. Cela peut se voir facilement, il suffit de vérifier l’espace de stockage disponible dans votre disque local, pendant le visionnage.

B) L’échec d’HADOPI

Les résultats d’HADOPI ont été particulièrement décevants. Depuis sa création, près de 82 millions d’euros ont été investis, et l’autorité n’a rapporté que 87 000 euros. HADOPI aura envoyé 10 millions d’avertissements pour un total final de 101 contraventions. L’échec est évident. Pour beaucoup, l’autorité avait besoin d’un changement majeur, voir, d’être supprimé.

L’ancienne ministre de la culture Françoise NYSSEN a, dès 2018, proposé que « “la promotion et l’encadrement des technologies de reconnaissance des contenus qui permettent de comparer l’empreinte d’une œuvre avec celle des contenus mis en ligne par les internautes” soient pris en compte par HADOPI pour permettre de bloquer l’accès au contenu en ligne illicite. Également, elle a émis l’idée de la création d’une liste noire contenant les sites illicites.

Aurore Bergé, députée LREM avait quant à elle recommander d’octroyer davantage de pouvoir à HADOPI. Parmi ces pouvoirs, la possibilité de prononcer des sanctions sans l’intervention du juge pour un mécanisme plus rapide, rapportant également davantage. Également, elle préconisait de pouvoir bloquer l’accès au site diffusant un contenu portant atteinte aux droits protégés par la propriété intellectuelle. Néanmoins, avait été mis en avant le fait que cela pouvait porter atteinte à la liberté d’expression et comportait des risques de censure.

Finalement, c’est l’ancien ministre de la Culture Franck Riester qui a exprimé son intention de créer une nouvelle autorité, fusion du CSA et d’HADOPI. Cette institution disposerait alors de pouvoir et de moyens renforcés pour une lutte efficace contre la désinformation, les propos haineux ainsi que le piratage de contenu protégé.

C’est donc ce projet qui a été présenté à l’Assemblée nationale le 5 décembre 2019. Il s’agit donc d’un projet de loi relatif à “la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique”. Cette loi comporte un objectif important, celui de mettre fin au streaming illégal des retransmissions sportives.

Le projet est inspiré de la législation portugaise. En effet, il est possible au Portugal de suspendre en direct un site qui accueille un lien de streaming. Cela a notamment permis la fermeture de près de 2000 sites et de bloquer l’accès à 516 liens.

Par une décision du 20 mai 2020, le Conseil constitutionnel avait abrogé certaines dispositions pour permettre à HADOPI de sanctionner les personnes ayant téléchargé illégalement une œuvre artistique. Le Conseil constitutionnel avait ainsi déclaré que les alinéas trois et quatre de l’article L331-21 du code de la propriété intellectuelle étaient contraires à la Constitution.

C) La fin d’HADOPI : Naissance de l’ARCOM

La fusion entre le CSA et HADOPI a bien eu lieu, celle-ci est effective depuis le premier janvier 2022. Ainsi, a été créée une nouvelle autorité administrative indépendante : l’ARCOM (l’autorité de régulation de la communication audiovisuelle et numérique).

C’est par une loi du 25 octobre 2021, que le projet de loi relatif à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique a finalement été promulgué.

L’objectif est clair : faire mieux. La loi vient renforcer la lutte contre le piratage des contenus en ligne, avec pour priorité la protection des programmes audiovisuels, culturels et sportifs. L’ARCOM doit donc faire mieux que l’ancienne autorité, HADOPI.

L’article L.331-25 du Code de la propriété intellectuelle prévoit un système de liste noire. L’ARCOM pourra rendre cette liste publique, elle se présente comme “une liste du nom et des agissements de ceux des services de communication au public en ligne ayant fait l’objet d’une délibération dans le cadre de laquelle il a été constaté que ces services portaient atteinte, de manière grave et répétée, aux droits d’auteur ou aux droits voisins.” Ainsi, dès lors qu’une plateforme porte atteinte à des droits de propriété intellectuelle, elle pourra apparaître sur une liste noire.

Il a été prévu que l’ARCOM puisse, dès lors qu’une décision judiciaire est passée en force de chose jugée, ordonner toute mesure pour empêcher l’accès à un service de communication au public en ligne.

En effet, fréquemment, lorsqu’un site fait l’objet d’un déréférencement ou d’un blocage, un nouveau site très similaire est créé, le site miroir. Ici, la loi prévoit donc la possibilité de bloquer ou déréférencer facilement ces sites miroirs. Dès lors que le site original a fait l’objet d’une condamnation, alors, l’ARCOM pourra bloquer ou déréférencer les sites miroir, cela vient améliorer la lutte contre le streaming illégal.

Comme dit précédemment, un des objectifs de l’ARCOM est de lutter efficacement contre le streaming de compétition sportive. Pour ce faire, il est prévu que le titulaire des droits de l’évènement sportif, une ligue sportive ou une entreprise de communication audiovisuelle puissent saisir le président du tribunal judiciaire en référé pour faire cesser l’atteinte aux droits et bloquer les sites illicites.

L’Arcom a dès ce début d’année 2022 procédé à de nombreux blocages de sites internet. En effet, elle a bloqué 250 sites internet diffusant en direct diverses compétitions sportives. Elle est donc intervenue pour bloquer ces sites de streaming illégaux.

II. La jurisprudence sur la qualification des hébergeurs

La qualification d’hébergeur ou non des plateformes, a fait l’objet de nombreuses jurisprudences. On va dans un premier temps parler de deux affaires datant de 2007.

La première, a fait l’objet d’une ordonnance rendu par le juge des référés le 22 juillet 2007. Dans cette affaire, la responsabilité de Myspace a été retenue. En effet, il a été jugé comme éditeur de contenu, et non comme hébergeur. En l’espèce, une plainte avait été déposée par le célèbre humoriste Lafesse dont certains sketchs étaient diffusés en streaming sur Myspace.

Ici, le juge estime que bien que Myspace ne soit pas l’auteur du contenu, il s’était enrichi par le biais de la publicité diffusée dans la vidéo litigieuse et que par conséquent, il ne devait pas être qualifié d’hébergeur.

Le juge a retenu que “s’il est incontestable que la société défenderesse exerce les fonctions techniques d’hébergement, elle ne se limite pas à cette fonction technique ; qu’en effet, imposant une structure de présentation par cadres qu’elle met manifestement à la disposition des hébergés et diffusant à l’occasion de chaque consultation, des publicités dont elle tire manifestement profit, elle a le statut d’éditeur et doit en assumer les responsabilités”.

Ainsi, Myspace avait été condamné à 50 000 euros de dommage et intérêts pour préjudice moral et matériel. Le juge dénonçant une aux droits de la personnalité. Le choix de ne pas retenir la qualification d’hébergeur au motif que la plateforme s’enrichissait par la publicité disponible sur la vidéo, était une décision particulièrement sévère.

Dans la seconde affaire Dailymotion en date du 13 juillet 2007, le tribunal judiciaire de Paris retient également le critère de publicité, cependant, dans cette affaire il le retient pour justifier l’application du régime d’hébergeur.

En l’espèce, la plateforme faisait l’objet d’une poursuite par les producteurs du film “Joyeux Noël”. Ce film était accessible en streaming sur Dailymotion. La plateforme avait cependant retiré le film litigieux dès lors qu’elle en avait été notifiée, ainsi les dispositions de la LCEN avaient été respectées.

Néanmoins, pour le TGI de Paris, la LCEN ne prévoyait pas l’exonération de la responsabilité de l’hébergeur, mais seulement une limitation de sa responsabilité.

La limitation de responsabilité ne pourrait s’appliquer que si les hébergeurs n’ont vraiment pas connaissance du caractère illicite du contenu de leur plateforme. En revanche, ceux qui sont conscients de la probabilité que du contenu illicite soit hébergé de leur fait, ne bénéficieraient pas de cette responsabilité atténuée.

Ici, le juge a estimé que Dailymotion, ne pouvait pas ignorer que sa plateforme était principalement utilisée pour diffuser du contenu protégé par des droits d’auteur, son succès reposant principalement sur la diffusion d’œuvres connues du public ce qui permettait l’accroissement de l’audience et donc des recettes publicitaires. Par conséquent, le juge estime que la limitation de la responsabilité prévue dans la LCEN ne pouvait s’appliquer en l’espèce.

Finalement, depuis un arrêt rendu le 17 février 2011 par la Cour de cassation, la jurisprudence fait preuve de plus de clarté. Le critère retenu est celui du rôle actif. Ici, était disponible sur Dailymotion un film, cela portait atteinte au droit d’auteur. Cependant, la Cour de cassation a estimé que la plateforme avait un rôle purement technique dans la mise ne ligne de ce contenu litigieux, elle n’avait pas de rôle actif, et que par conséquent, la qualification d’hébergeur pour Dailymotion ne faisait pas de doute.

Ainsi, Dailymotion bénéficie donc du statut d’hébergeur et de la responsabilité atténuée qui y est associée.

Par conséquent, la jurisprudence retient aujourd’hui communément ce critère du rôle actif des plateformes dans la mise en ligne des contenus pour qualifier la plateforme d’hébergeur ou d’éditeur et par conséquent définir le régime de responsabilité qui tend à s’appliquer.

Pou rlire une version plus complète de cet article sur le streaming, cliquez

Sources :

https://www.legifrance.gouv.fr/loda/article_lc/LEGIARTI000043982464/
https://www.arcom.fr/
https://www.arcom.fr/lutte-contre-le-piratage-des-retransmissions-sportives
https://www.legifrance.gouv.fr/juri/id/JURITEXT000023607266/

LES SPYWARES OU « LOGICIELS ESPIONS »

Les internautes ont souvent l’habitude de télécharger des plusieurs programmes en ligne. Certains sont gratuits et d’autres payants. Beaucoup de programmes téléchargés viennent avec ce que l’on appelle des spywares ou « espiogiciels » en français.

NOUVEAU : Utilisez nos services pour en cas de piratage informatique en passant par le formulaire !

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage). Ils s’installent, généralement, en même temps que d’autres logiciels et ils permettent aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d’informations statistiques par exemple. Il s’agit donc, d’un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Quels sont les enjeux juridiques liés à la prolifération des spywares ?

En effet, les espiogiciels peuvent causer préjudice aux internautes puisqu’ils permettent la divulgation d’informations à caractère personnel. Aussi, ils peuvent être une source de nuisances diverses telles que : la consommation de mémoire vive ou l’utilisation d’espace disque.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I.  Les différents types de spywares

À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils : les logiciels publicitaires, le cheval de Troie, les cookies de suivi et les moniteurs de système.

  • Les logiciels publicitaires

Les logiciels publicitaires sont une catégorie d’applications qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.

Ces logiciels peuvent aussi avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. Ils peuvent aussi servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées. Cependant, ils ne sont pas aussi dangereux que les chevaux de Troie informatique.

  • Cheval de Troie

Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.

  • Cookies de suivi

Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, mais leur particularité c’est qu’ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.

Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Par ailleurs la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc. Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.

  • Les moniteurs de système

Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.

II. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. Toutefois, il arrive souvent que les internautes ignorent totalement la présence de spywares. De ce fait, le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.

La loi informatique et libertés (LIL) instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées. Ainsi, il est précisé à l’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Une décision de la Cour d’appel rappelle cela d’ailleurs. En effet, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté (CA Bourges, 11 janvier 2007, n° 2007/03).

Le projet de loi concernant la refonte de la LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Par conséquent, tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).

III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Selon l’ article 9 du Code civil, chacun a droit au respect de sa vie privée. Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi informatique et Libertés. Ainsi, les données personnelles consistent à toute information se rapportant à une personne physique identifiée ou identifiable. Elles peuvent concerner des informations relatives à la vie privée de la personne : le pays dans lequel vit l’internaute, le type d’achat qu’il effectue, les sites visités, etc.

À travers les logiciels espions, les destinataires des données peuvent constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et e-mails .

La loi pour la confiance dans une économie numérique condamne cela. Il faut le consentement préalable de l’internaute via les e-mails (article 22). L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Il faut savoir, que le profilage ne se limite plus au comportement des internautes sur Internet, mais il concerne désormais le simple lecteur d’un e-mail. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel, car elles peuvent aller jusqu’à 1,5 million d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

La CNIL émet régulièrement des recommandations qui visent à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware », mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

Pour cela, il convient, donc, de voir quelques conseils pratiques afin de se protéger contre les spywares.

IV. Comment se protéger contre les spywares ?

Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares :

  • Éviter le téléchargement d’applications suspectes : il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables. À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
  • Se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.

Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation. Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisant pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.

Pour lire une version plus complète de cet article sur les spywares et le piratage informatique, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

La collecte automatisée de données : Crawling & Scraping

Aujourd’hui, il est indéniable que les nouvelles technologies prennent une place de plus en plus importante dans notre quotidien. Au regard de la production massive de données qui en découle, la question se pose de savoir comment encadrer leur collecte, notamment lorsqu’elle est automatisée.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est important de comprendre qu’internet est un outil qui fonctionne sur les données fournies par ses utilisateurs. L’émergence du « Big data » devait, nécessairement, s’accompagner d’outils de collecte automatisée de ces données. C’est notamment le cas des pratiques de « crawling » et de « scraping ».

Ces logiciels permettent en effet, dans un laps de temps très court, d’obtenir une quantité importante d’informations utiles pour une entreprise ou un particulier, à partir d’une liste de sites constituant le « champ d’action » du robot.

Néanmoins, ces pratiques demeurent encadrées. Elles doivent répondre à certains principes, et notamment à ceux liés à la protection des données collectées automatiquement.


 

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Dès lors la propriété, la nécessité d’une autorisation préalable pour la collecte, ou encore les questions liées à la réutilisation de ces données sont des enjeux de taille qui dictent les limites de la légalité de ces outils de collecte automatisée.

Pour en saisir toute l’importance il convient donc de comprendre, dans un premier temps, les différents usages qui peuvent être faits de ces outils (I), pour ensuite envisager le cadre protecteur des données collectées automatiquement (II).

I. Les différents usages des crawlers et scrapers

La récolte des données à des fins d’information (A), tout comme l’indexation et la réutilisation de celles-ci (B), sont les objectifs visés par l’usage de ces outils numériques.

A) La récolte des données

En effet, le crawling est une pratique qui consiste à « collecter [automatiquement] le contenu d’une page pour ensuite la traiter, la classer et fournir des informations» ) au propriétaire du logiciel .

Le logiciel de scraping, lui, va « extraire du contenu d’un site Web dans le but de le transformer pour permettre son utilisation dans un autre contexte ».

Néanmoins, la récolte de ces données ne va pas fonctionner sur le même principe, que l’on soit dans le cas des crawlers ou dans celui des scrapers.

En effet, les crawlers vont fonctionner sur un principe de redirection : à partir d’une liste (« seed ») de sites prédéfinis par l’utilisateur du robot, le crawler va dans un premier temps se rendre sur ces pages et en récupérer l’intégralité du contenu. Par la suite, le logiciel va extraire l’ensemble des liens URLs présents sur les pages analysées, et suivre ces liens pour également analyser le contenu des pages référencées sous ces liens.

Le scraper, lui, va plutôt se baser sur un « patron » configuré au préalable, qui prend en compte la structure HTML de la base de donnée  analysée, afin de pouvoir extraire de manière pertinente les données et leur mise à disposition sur les pages consultées.

Les agences « 1 min 30 s » et « Centraledesmarchés.com » constituent des exemples illustrant : quand la première fait usage de crawlers pour analyser les « forces et faiblesses » de sites de marketing en ligne à travers l’analyse de leurs outils et pratiques, la seconde référence quotidiennement, depuis 2013, les appels d’offres publics d’une centaine de sites par le biais de scrapers.

B) L’indexation et la réutilisation des données

La traduction française du terme « crawler » s’intitule «Robot d’indexation ». Comme on l’a dit, tout l’intérêt de ce genre d’outil consiste en la récolte et l’analyse de données contenues sur des pages Web.

Ceci étant, des questions peuvent se poser au regard de l’exploitation des données récoltées par ce biais.

L’objectif principal de ces outils demeure celui de tirer des informations pratiques et concrètes de ces données : une fois récoltées, puis triées et structurées en fonction de leur pertinence et de ce que recherche l’auteur, elles permettront d’avoir une vision précise du contenu et des pratiques, pour l’usager, des pages analysées.

Mais, comme on l’a vu, ces données peuvent également être réexploitées dans un but bien précis : c’est l’exemple de la plateforme américaine Common Crawl, ayant pour objectif d’archiver le plus de pages Web possible, et de rendre disponible leur accès via le site de la fondation. On estime qu’aujourd’hui, la plateforme centralise environ 15 % du web mondial, grâce à l’usage de crawlers .

De plus, certains pourraient être tentés de réutiliser les données collectées, afin par exemple d’augmenter le trafic de leur propre site internet.

Ces pratiques posent plusieurs questions, au regard du droit rattaché à ces différentes utilisations du jeu de données récolté : des questions de droit de la concurrence, mais aussi et plus largement des questions liées au droit de la propriété intellectuelle et à la protection accordée à ces données et bases de données.

 

II. Les atteintes à la protection de ces données

La propriété intellectuelle et le droit d’auteur offrent un cadre légal protection aux données récoltées automatiquement (A). Ceci étant, le propriétaire de ces données pourra également chercher à se prémunir lui-même d’une telle collecte (B).

A) Le cadre imposé par le droit de la propriété intellectuelle et le droit d’auteur

Il faut savoir que ces pratiques sont encadrées par le droit, et notamment par la propriété intellectuelle, pour éviter tout type d’abus et notamment la contrefaçon.

Dans le cadre d’une indexation des données, en réalité, la contrefaçon ne sera généralement pas admise. En effet, même si l’indexation de données récoltées par l’usage de crawlers va permettre au réexploitant d’augmenter le nombre de visites de son site, l’indexation fait normalement référence aux sources citées et, de ce fait, n’entre pas en contradiction ni avec le droit d’auteur , ni avec le droit des bases de données.

C’est notamment ce qu’a pu retenir le Tribunal de grande instance de Paris, dans son arrêt « Adenclassified » du 1er février 2011 ayant débouté de sa demande une société dont les données ont été indexées, les faits ne constituant pas une violation du « droit sui generis du producteur de bases de données» .

À la lecture de cette décision, on comprend également que l’extraction de données par le biais de ces outils numériques dans la poursuite d’un objectif de réutilisation « de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données » est constitutive d’un acte de contrefaçon, comme le prévoient expressément les articles 342-1 et 342-2 du Code de la propriété intellectuelle.
La Cour d’appel vient condamner une société d’édition dans un arrêt du 31 juillet 2019 pour avoir mis en place un système informatique permettant l’exploration et le crawling sur des sites d’éditeurs concurrent. Ainsi, le service offert par la société consistant en la fourniture de recherches jurisprudentielles et d’indexation de commentaires juridiques était basé sur un système de crawling permettant à la société de proposer, à leurs abonnés, des contenus normalement destinés uniquement aux abonnés des sites concurrents.

La jurisprudence de 2011 fut également confirmée dans un arrêt récent rendu par la Cour d’appel de Paris,, le 2 février 2021. L’arrêt dispose que l’extraction et la réutilisation des données en l’espèce les annonces proposées par la société leboncoin.fr, constituait une violation du « droit sui generis du producteur de base de données », violant ainsi les articles 342-1 et 342-2 du Code de la Propriété intellectuelle.

Au demeurant, il n’existe pas de règles précises concernant l’établissement du caractère substantiel du contenu. Ainsi, la reconnaissance d’un tel critère se fera au cas par cas par le juge du litige en question, et il convient donc aux utilisateurs des extracteurs de mesurer l’exploitation qu’ils feront de ces données.

B) Les moyens de lutte contre ces outils

Il est souvent recommandé aux utilisateurs d’outils comme les crawlers et scrapers d’agir avec mesure et parcimonie : par exemple, ceux-ci ne devront pas surcharger les serveurs des sites visités par un nombre de requêtes trop important, au risque de causer un déni de service qui pourra facilement s’apparenter à un acte de concurrence déloyale.

En outre, certains propriétaires de sites peuvent vouloir se prémunir face à ces outils, refusant de voir leurs données récoltées « pillées » .

Quoi qu’il en soi, si la pratique n’est pas formellement bannie, les propriétaires de sites peuvent réagir. La Cour d’appel de Paris, dans son arrêt « SAIF c/Google » du 26 janvier 2011, soutenait effectivement que « chaque webmaster peut, via son fichier robot.txt, contrôler la manière dont les données de son site sont visitées par les crawlers, notamment en interdisant l’accès à certaines d’entre elles » .

L’action en contrefaçon, ouverte à la suite de la violation d’un droit privatif conféré par la protection du droit d’auteur, ainsi que l’action en concurrence déloyale, fondée sur la responsabilité délictuelle, sont deux procédures judiciaires de règlement des conflits liés à de telles pratiques. Mais, comme on l’a vu, le propriétaire de bases de données peut également se prémunir de ces pratiques que d’aucuns considèrent comme attentatoires. La légalité, tout comme la légitimité, du crawling et du scraping restent donc encore aujourd’hui discutables.
>Aux États-Unis, la problématique du crawling et du scraping existe également et des entreprises veulent lutter contre ces pratiques. La société Linkedin a notamment voulu lutter contre le scraping, elle s’opposait à la collecte massive et automatisée de données. Cependant, la juridiction américaine a refusé l’action de la société, dans sa décision du 9 septembre 2019. En effet, la juridiction considère que la société n’avait pas de droit à agir, vu qu’elle n’est pas propriétaire des données publiées par ses membres, de plus, les membres avaient déjà connaissance que leurs données allaient être accessibles à des tiers, vu qu’il s’agissait de l’objectif principal du site.

Pour lire une version plus complète de cet article, cliquer sur le mot crawling

SOURCES :

(1) http://firstmonday.org/article/view/1394/1312_2
(2) https://fr.oncrawl.com/seo-technique/introduction-crawler-web/
(3) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(4) https://fr.wikipedia.org/wiki/Robot_d%27indexation
(5) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(6) https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-3eme-chambre-1ere-section-jugement-du-01-fevrier-2011/
(7) https://fr.wikipedia.org/wiki/Web_scraping
(8) http://curia.europa.eu/juris/document/document.jsf?docid=145914&doclang=FR
(9) https://www.islean-consulting.fr/fr/transformation-digitale/scraping-pages-web-legal/
(10) https://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.ht
Cour d’appel de Paris, 31 juillet 2019, n° 19/02352
Cour d’appel de Paris, 2 février 2021, n° 17/17688.
https://cdn.ca9.uscourts.gov/datastore/opinions/2019/09/09/17-16783.pdf

Intrusion dans un système informatique

Si le phénomène du piratage informatique a, d’ores et déjà, fait l’objet d’une intervention législative, conduisant à l’insertion, par le biais de la loi Godfrain du 5 janvier 1988, dans le code pénal des dispositions spécifiques à l’accès et maintien frauduleux dans un système de traitement automatisé de données (art. 323-1 et s. Code pénal), des nouveaux problèmes liés à la technologie de l’information ne cessent d’apparaître.

C’est le cas, par exemple de la technique dite d’aspiration d’un site web, qui permet à l’internaute de récupérer partiellement ou entièrement le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur, afin de pouvoir y accéder hors connexion.

Les deux techniques -l’intrusion dans un système informatique et l’aspiration de site- présentent des similarités, en ce qui concerne, notamment leur mode d’exécution : des programmes spécifiques, voire des logiciels très élaborés, sont utilisés tant pour accéder dans un système de traitement automatisé de données que pour ” aspirer ” un site web. Ce fait, pourtant, ne suffit pas pour les assimiler.

En effet, dans le cas de l’accès et maintien frauduleux dans un système informatique, il s’agit bien d’une infraction pénale, qui consiste essentiellement à pénétrer sans droit dans un système en en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

En revanche, dans le cas de l’aspiration de site, il s’agit d’une technique non appréhendée par une disposition spécifique de droit. Ceci dit, il pourrait s’agir d’une méthode tout à fait licite. Or, le fait de copier tout ou une partie du contenu d’un site web, afin de pouvoir le visualiser sans être connecté, est susceptible de porter atteinte aux droits d’auteur du créateur dudit site.

 

I. L’intrusion dans un système informatique.

Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir.

Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique.

L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme ” net” (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système.

Dans ce cas là, le pirate utilise souvent des programmes de déchiffrage qui fonctionnent avec des dictionnaires proposant de nombreux mots de passe à des fréquences très élevées (jusqu’à plusieurs milliers de mots de passe par seconde).

Après la prise de contrôle, souvent indécelable, le pirate peut introduire des programmes de corruption (virus, bombe etc), modifier des données (par exemple défigurer une page web), installer des programmes espions (Sniffer).

A) La responsabilité pénale

La loi Godfrain du 8 janvier 1988, bien qu’élaborée à une époque où on ne parlait pas encore d’Internet et dont les dispositions ont été reprises par le Code pénal dans un chapitre intitulé “ Des atteintes au système de traitement automatisé de données “, permet de sanctionner toutes les intrusions non autorisées dans un système informatique. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

L’article L.323-1 du Nouveau code pénal prévoit que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni d’un an d’emprisonnement et de 15 000 euros d’amende “. Ces systèmes comprennent, entre autre, les sites web.

1) Accès frauduleux

La Cour d’appel de Paris a considéré dans un arrêt du 5 avril 1994 que ” l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication “.

Quid, pourtant, si le système n’est pas protégé ? La Cour d’appel de Paris, dans un arrêt en date du 30 octobre 2002, a jugé que la possibilité d’accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n’est pas répréhensible.

Elle a, ainsi, reformé le jugement du Tribunal de grande instance de Paris, qui avait estimait que l’existence des failles de sécurité ne constituait “ en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale “.

En effet, l’article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d’informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d’empêcher qu’elles ne soient communiquées à des tiers non-autorisés.

2) Le maintien frauduleux

La loi incrimine également le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ( Cour d’appel de Paris, jugement du 5 avril 1994 précité).

Quant à l’élément intentionnel de cette infraction, la doctrine et la jurisprudence s’accordent à admettre que l’adverbe ” frauduleusement ” n’est pas le dol général de l’attitude volontaire, ni le dol très spécial de l’intention de nuire, mais la conscience chez le délinquant que l’accès ou le maintien ne lui était pas autorisé.

3) Les intrusions avec dommages

L’alinéa 2 de l’article 323-1 du nouveau Code pénal prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’article 323-2 du Nouveau Code pénal définit l’entrave volontaire au système comme ” Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données “. Le peine encourue est de trois ans d’emprisonnement et de 45.000 euros d’amende.”
Cette infraction vise, notamment, l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

L’article 323-3 du Nouveau Code pénal sanctionne, par ailleurs, l’introduction, la suppression ou la modification frauduleuses de données dans un système informatique. Les applications illicites visées par cet article sont nombreuses. Elles peuvent aller de la réduction du prix des marchandises sur un site de commerce électronique, la modification ou la suppression du contenu des bases de données à la modification du statut fiscal de l’entreprise.

En tout cas, ces agissements sont susceptibles d’entraîner une perte financière considérable au sein de l’entreprise.

B ) La responsabilité civile

1) La responsabilité civile contractuelle

Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de l’article 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux.

La faute consiste ici en une intrusion dans un système informatique à l’insu de son utilisateur. Quant au dommage, il faut savoir s’il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s’y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi.

Quid, pourtant, si le pirate n’est pas de nationalité française ou s’il opère de l’étranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable.

En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement ” concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale “.

S’agissant d’un délit ou d’un quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Dans le cas où le dommage, causé par l’intrusion, serait survenu au sein du système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. La Cour de Cassation a jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177).

2) La responsabilité civile contractuelle.

Il est possible, en effet, d’engager la responsabilité civile contractuelle de l’héberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d’hébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme d’intrusion. Il faudrait aussi qualifier cette obligation de l’héberger : s’agit-il d’une obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra s’agir que d’une obligation de moyens qui aura pour effet de contraindre le prestataire d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée.

 

II. Les mesures préventives

Certes, la possibilité d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Sur le plan juridique, la difficulté réside sur l’administration de la preuve, d’autant plus si l’intrusion a été effectuée à partir d’un réseau ouvert de type Internet. En effet, même si l’origine de cette intrusion peut être détectée, l’identification de la personne qui se cache derrière celle-ci peut s’avérer extrêmement difficile.

Or, l’étendue les dommages susceptibles d’être causés tant aux systèmes d’information attaqués et, par voie de conséquence, à l’entreprise qui les gère qu’à la crédibilité de cette dernière sur le plan professionnel, impose que des mesures de précaution soient prises.

En premier lieu, il est important d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique.

Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Par ailleurs, on peut imaginer qu’une entreprise puisse souscrire une assurance contre le risque d’attaque informatique. Dans ce cas précis, le dédommagement dépendra du type d’assurance souscrite.

III. L’aspiration de site

La technique d’aspiration de site consiste, comme on l’a déjà précisé, à copier, partiellement ou entièrement le contenu d’un site, ainsi que des pages liées, sur le disque dur de l’ordinateur de l’utilisateur, afin de pouvoir y accéder hors connexion. Le site ainsi ” aspiré ” s’ouvre comme n’importe quel fichier sans attente ni risque de coupure de la connexion.

Il existe, en effet, des logiciels, tel que Mémoweb, qui permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Il est vrai que l’aspiration des sites a suscité des multiples interrogations quant à sa légitimité face au droit d’auteur. D’autant plus que, comme on va le voir par la suite, les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à la quelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

L’auteur d’un œuvre bénéficie d’une protection élevée en France et en Europe en application des droits qui lui sont conférés par le CPI, ainsi que par la directive CE 2001/29 du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

La jurisprudence française considère, depuis un jugement du Tribunal de commerce de Paris du 9 février 1998, que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que ” Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants droits au ayants cause est illicite ” et elle est donc punie à titre de contrefaçon.

Or, l’interdiction de la reproduction intégrale ou partielle de l’œuvre, faite sans le consentement de son auteur ne comprend pas, selon l’article 122-5 2° du CPI, ” les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective “.

Ceci dit, l’aspiration d’un site peut parfaitement être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

Selon l’article L.341-1 du CPI : ” Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs “.

Le producteur d’une base de données a le droit d’interdire l’extraction, par transfert permanent ou temporaire, de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, ainsi que la réutilisation, par la mise à la disposition du public de ceci (art. L. 342-1 CPI).

L’article 122-4 du CPI exclue le droit de copie privée pour les ” copies et reproductions d’une base de données électronique “.

Il reste à savoir ce qu’on l’en entend comme base de données. A cet égard, l’article L. 112-3 du CPI dispose qu’ ” on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout moyen “.

Or, si certains sites web peuvent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas. La raison est qu’ils ne répondent pas à la définition de ” recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique “.

En effet, si un site de compilation de données (un annuaire en ligne par exemple ou un site portail) constitue certainement une base de données, un site classique (site commercial) ne semble pas pour autant pouvoir revêtir cette qualification ; dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Qu’en est-il, pourtant, des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Dans ces cas très fréquents, il faut considérer que l’objet de la protection c’est non pas le site entier, qui ne présente, par ailleurs, aucune structure systématique et méthodique, mais seulement la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

Pour que l’aspiration d’un site puisse être sanctionnée au titre de l’article 323-1 du Code pénal, il faut, avant tout, qu’il y ait eu intrusion dans un système informatique au sens de ce même article. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

Comme le montre la décision récente de la Cour d’appel de Paris précitée, il ne suffit pas que la personne acteur de l’intrusion n’avait pas le droit d’accès dans le système, mais encore faut-il qu’il en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sur avec des logiciels spéciaux. En plus, dans la plus part de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé!

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

L’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.

ARTICLES EN RELATION