piratage

LES SPYWARES OU « LOGICIELS ESPIONS »

Les internautes ont souvent l’habitude de télécharger des plusieurs programmes en ligne. Certains sont gratuits et d’autres payants. Beaucoup de programmes téléchargés viennent avec ce que l’on appelle des spywares ou « espiogiciels » en français.

NOUVEAU : Utilisez nos services pour en cas de piratage informatique en passant par le formulaire !

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage). Ils s’installent, généralement, en même temps que d’autres logiciels et ils permettent aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d’informations statistiques par exemple. Il s’agit donc, d’un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Quels sont les enjeux juridiques liés à la prolifération des spywares ?

En effet, les espiogiciels peuvent causer préjudice aux internautes puisqu’ils permettent la divulgation d’informations à caractère personnel. Aussi, ils peuvent être une source de nuisances diverses telles que : la consommation de mémoire vive ou l’utilisation d’espace disque.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I.  Les différents types de spywares

À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils : les logiciels publicitaires, le cheval de Troie, les cookies de suivi et les moniteurs de système.

  • Les logiciels publicitaires

Les logiciels publicitaires sont une catégorie d’applications qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.

Ces logiciels peuvent aussi avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. Ils peuvent aussi servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées. Cependant, ils ne sont pas aussi dangereux que les chevaux de Troie informatique.

  • Cheval de Troie

Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.

  • Cookies de suivi

Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, mais leur particularité c’est qu’ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.

Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Par ailleurs la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc. Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.

  • Les moniteurs de système

Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.

II. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. Toutefois, il arrive souvent que les internautes ignorent totalement la présence de spywares. De ce fait, le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.

La loi informatique et libertés (LIL) instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées. Ainsi, il est précisé à l’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Une décision de la Cour d’appel rappelle cela d’ailleurs. En effet, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté (CA Bourges, 11 janvier 2007, n° 2007/03).

Le projet de loi concernant la refonte de la LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Par conséquent, tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).

III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Selon l’ article 9 du Code civil, chacun a droit au respect de sa vie privée. Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi informatique et Libertés. Ainsi, les données personnelles consistent à toute information se rapportant à une personne physique identifiée ou identifiable. Elles peuvent concerner des informations relatives à la vie privée de la personne : le pays dans lequel vit l’internaute, le type d’achat qu’il effectue, les sites visités, etc.

À travers les logiciels espions, les destinataires des données peuvent constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et e-mails .

La loi pour la confiance dans une économie numérique condamne cela. Il faut le consentement préalable de l’internaute via les e-mails (article 22). L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Il faut savoir, que le profilage ne se limite plus au comportement des internautes sur Internet, mais il concerne désormais le simple lecteur d’un e-mail. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel, car elles peuvent aller jusqu’à 1,5 million d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

La CNIL émet régulièrement des recommandations qui visent à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware », mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

Pour cela, il convient, donc, de voir quelques conseils pratiques afin de se protéger contre les spywares.

IV. Comment se protéger contre les spywares ?

Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares :

  • Éviter le téléchargement d’applications suspectes : il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables. À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
  • Se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.

Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation. Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisant pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.

Pour lire une version plus complète de cet article sur les spywares et le piratage informatique, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi

La collecte automatisée de données : Crawling & Scraping

Aujourd’hui, il est indéniable que les nouvelles technologies prennent une place de plus en plus importante dans notre quotidien. Au regard de la production massive de données qui en découle, la question se pose de savoir comment encadrer leur collecte, notamment lorsqu’elle est automatisée.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est important de comprendre qu’internet est un outil qui fonctionne sur les données fournies par ses utilisateurs. L’émergence du « Big data » devait, nécessairement, s’accompagner d’outils de collecte automatisée de ces données. C’est notamment le cas des pratiques de « crawling » et de « scraping ».

Ces logiciels permettent en effet, dans un laps de temps très court, d’obtenir une quantité importante d’informations utiles pour une entreprise ou un particulier, à partir d’une liste de sites constituant le « champ d’action » du robot.

Néanmoins, ces pratiques demeurent encadrées. Elles doivent répondre à certains principes, et notamment à ceux liés à la protection des données collectées automatiquement.


 

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Dès lors la propriété, la nécessité d’une autorisation préalable pour la collecte, ou encore les questions liées à la réutilisation de ces données sont des enjeux de taille qui dictent les limites de la légalité de ces outils de collecte automatisée.

Pour en saisir toute l’importance il convient donc de comprendre, dans un premier temps, les différents usages qui peuvent être faits de ces outils (I), pour ensuite envisager le cadre protecteur des données collectées automatiquement (II).

I. Les différents usages des crawlers et scrapers

La récolte des données à des fins d’information (A), tout comme l’indexation et la réutilisation de celles-ci (B), sont les objectifs visés par l’usage de ces outils numériques.

A) La récolte des données

En effet, le crawling est une pratique qui consiste à « collecter [automatiquement] le contenu d’une page pour ensuite la traiter, la classer et fournir des informations» ) au propriétaire du logiciel .

Le logiciel de scraping, lui, va « extraire du contenu d’un site Web dans le but de le transformer pour permettre son utilisation dans un autre contexte ».

Néanmoins, la récolte de ces données ne va pas fonctionner sur le même principe, que l’on soit dans le cas des crawlers ou dans celui des scrapers.

En effet, les crawlers vont fonctionner sur un principe de redirection : à partir d’une liste (« seed ») de sites prédéfinis par l’utilisateur du robot, le crawler va dans un premier temps se rendre sur ces pages et en récupérer l’intégralité du contenu. Par la suite, le logiciel va extraire l’ensemble des liens URLs présents sur les pages analysées, et suivre ces liens pour également analyser le contenu des pages référencées sous ces liens.

Le scraper, lui, va plutôt se baser sur un « patron » configuré au préalable, qui prend en compte la structure HTML de la base de donnée  analysée, afin de pouvoir extraire de manière pertinente les données et leur mise à disposition sur les pages consultées.

Les agences « 1 min 30 s » et « Centraledesmarchés.com » constituent des exemples illustrant : quand la première fait usage de crawlers pour analyser les « forces et faiblesses » de sites de marketing en ligne à travers l’analyse de leurs outils et pratiques, la seconde référence quotidiennement, depuis 2013, les appels d’offres publics d’une centaine de sites par le biais de scrapers.

B) L’indexation et la réutilisation des données

La traduction française du terme « crawler » s’intitule «Robot d’indexation ». Comme on l’a dit, tout l’intérêt de ce genre d’outil consiste en la récolte et l’analyse de données contenues sur des pages Web.

Ceci étant, des questions peuvent se poser au regard de l’exploitation des données récoltées par ce biais.

L’objectif principal de ces outils demeure celui de tirer des informations pratiques et concrètes de ces données : une fois récoltées, puis triées et structurées en fonction de leur pertinence et de ce que recherche l’auteur, elles permettront d’avoir une vision précise du contenu et des pratiques, pour l’usager, des pages analysées.

Mais, comme on l’a vu, ces données peuvent également être réexploitées dans un but bien précis : c’est l’exemple de la plateforme américaine Common Crawl, ayant pour objectif d’archiver le plus de pages Web possible, et de rendre disponible leur accès via le site de la fondation. On estime qu’aujourd’hui, la plateforme centralise environ 15 % du web mondial, grâce à l’usage de crawlers .

De plus, certains pourraient être tentés de réutiliser les données collectées, afin par exemple d’augmenter le trafic de leur propre site internet.

Ces pratiques posent plusieurs questions, au regard du droit rattaché à ces différentes utilisations du jeu de données récolté : des questions de droit de la concurrence, mais aussi et plus largement des questions liées au droit de la propriété intellectuelle et à la protection accordée à ces données et bases de données.

 

II. Les atteintes à la protection de ces données

La propriété intellectuelle et le droit d’auteur offrent un cadre légal protection aux données récoltées automatiquement (A). Ceci étant, le propriétaire de ces données pourra également chercher à se prémunir lui-même d’une telle collecte (B).

A) Le cadre imposé par le droit de la propriété intellectuelle et le droit d’auteur

Il faut savoir que ces pratiques sont encadrées par le droit, et notamment par la propriété intellectuelle, pour éviter tout type d’abus et notamment la contrefaçon.

Dans le cadre d’une indexation des données, en réalité, la contrefaçon ne sera généralement pas admise. En effet, même si l’indexation de données récoltées par l’usage de crawlers va permettre au réexploitant d’augmenter le nombre de visites de son site, l’indexation fait normalement référence aux sources citées et, de ce fait, n’entre pas en contradiction ni avec le droit d’auteur , ni avec le droit des bases de données.

C’est notamment ce qu’a pu retenir le Tribunal de grande instance de Paris, dans son arrêt « Adenclassified » du 1er février 2011 ayant débouté de sa demande une société dont les données ont été indexées, les faits ne constituant pas une violation du « droit sui generis du producteur de bases de données» .

À la lecture de cette décision, on comprend également que l’extraction de données par le biais de ces outils numériques dans la poursuite d’un objectif de réutilisation « de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données » est constitutive d’un acte de contrefaçon, comme le prévoient expressément les articles 342-1 et 342-2 du Code de la propriété intellectuelle.
La Cour d’appel vient condamner une société d’édition dans un arrêt du 31 juillet 2019 pour avoir mis en place un système informatique permettant l’exploration et le crawling sur des sites d’éditeurs concurrent. Ainsi, le service offert par la société consistant en la fourniture de recherches jurisprudentielles et d’indexation de commentaires juridiques était basé sur un système de crawling permettant à la société de proposer, à leurs abonnés, des contenus normalement destinés uniquement aux abonnés des sites concurrents.

La jurisprudence de 2011 fut également confirmée dans un arrêt récent rendu par la Cour d’appel de Paris,, le 2 février 2021. L’arrêt dispose que l’extraction et la réutilisation des données en l’espèce les annonces proposées par la société leboncoin.fr, constituait une violation du « droit sui generis du producteur de base de données », violant ainsi les articles 342-1 et 342-2 du Code de la Propriété intellectuelle.

Au demeurant, il n’existe pas de règles précises concernant l’établissement du caractère substantiel du contenu. Ainsi, la reconnaissance d’un tel critère se fera au cas par cas par le juge du litige en question, et il convient donc aux utilisateurs des extracteurs de mesurer l’exploitation qu’ils feront de ces données.

B) Les moyens de lutte contre ces outils

Il est souvent recommandé aux utilisateurs d’outils comme les crawlers et scrapers d’agir avec mesure et parcimonie : par exemple, ceux-ci ne devront pas surcharger les serveurs des sites visités par un nombre de requêtes trop important, au risque de causer un déni de service qui pourra facilement s’apparenter à un acte de concurrence déloyale.

En outre, certains propriétaires de sites peuvent vouloir se prémunir face à ces outils, refusant de voir leurs données récoltées « pillées » .

Quoi qu’il en soi, si la pratique n’est pas formellement bannie, les propriétaires de sites peuvent réagir. La Cour d’appel de Paris, dans son arrêt « SAIF c/Google » du 26 janvier 2011, soutenait effectivement que « chaque webmaster peut, via son fichier robot.txt, contrôler la manière dont les données de son site sont visitées par les crawlers, notamment en interdisant l’accès à certaines d’entre elles » .

L’action en contrefaçon, ouverte à la suite de la violation d’un droit privatif conféré par la protection du droit d’auteur, ainsi que l’action en concurrence déloyale, fondée sur la responsabilité délictuelle, sont deux procédures judiciaires de règlement des conflits liés à de telles pratiques. Mais, comme on l’a vu, le propriétaire de bases de données peut également se prémunir de ces pratiques que d’aucuns considèrent comme attentatoires. La légalité, tout comme la légitimité, du crawling et du scraping restent donc encore aujourd’hui discutables.
>Aux États-Unis, la problématique du crawling et du scraping existe également et des entreprises veulent lutter contre ces pratiques. La société Linkedin a notamment voulu lutter contre le scraping, elle s’opposait à la collecte massive et automatisée de données. Cependant, la juridiction américaine a refusé l’action de la société, dans sa décision du 9 septembre 2019. En effet, la juridiction considère que la société n’avait pas de droit à agir, vu qu’elle n’est pas propriétaire des données publiées par ses membres, de plus, les membres avaient déjà connaissance que leurs données allaient être accessibles à des tiers, vu qu’il s’agissait de l’objectif principal du site.

Pour lire une version plus complète de cet article, cliquer sur le mot crawling

SOURCES :

(1) http://firstmonday.org/article/view/1394/1312_2
(2) https://fr.oncrawl.com/seo-technique/introduction-crawler-web/
(3) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(4) https://fr.wikipedia.org/wiki/Robot_d%27indexation
(5) https://www.c-radar.com/blog/2017/04/24/developper-votre-intelligence-commerciale-avec-le-crawling-et-le-scraping/
(6) https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-3eme-chambre-1ere-section-jugement-du-01-fevrier-2011/
(7) https://fr.wikipedia.org/wiki/Web_scraping
(8) http://curia.europa.eu/juris/document/document.jsf?docid=145914&doclang=FR
(9) https://www.islean-consulting.fr/fr/transformation-digitale/scraping-pages-web-legal/
(10) https://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.ht
Cour d’appel de Paris, 31 juillet 2019, n° 19/02352
Cour d’appel de Paris, 2 février 2021, n° 17/17688.
https://cdn.ca9.uscourts.gov/datastore/opinions/2019/09/09/17-16783.pdf