14 Juin 2024
PATRIMOINE ET SÉCURITÉ INFORMATIQUE
Tous les biens matériels informatiques et aussi toutes les œuvres multimédias, audiovisuelles ou encore cinématographiques constituent le patrimoine informatique. Se pose alors la question de comment est assurée la sécurité de ce patrimoine informatique ?
I. Sécurité des œuvres immatérielles
Les droits d’auteur protègent toute œuvre de l’esprit, c’est-à-dire toute forme d’expression originale. En effet, l’article L.111-1 du code de la propriété intellectuelle dispose que « l’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous. Ce droit comporte des attributs d’ordre intellectuel et moral ainsi que des attributs d’ordre patrimonial. » Le critère de protection est l’originalité. L’originalité s’entend comme le reflet de la personnalité du créateur, il faut l’empreinte personnelle de l’auteur.
Toute atteinte à ces droits d’auteur est répréhensible.
Dans un arrêt en date du 11 mai 2021 (CA Bordeaux, 11 mai 2021, no 18/02506), la cour d’appel de Bordeaux a rappelé que ne sont pas protégés par un droit d’auteur pour leur contenu scientifique les ouvrages scientifiques. (4)
Sont passibles de 3 ans d’emprisonnement et de 300 000 € d’amende au titre de la contrefaçon, les téléchargements contraires aux droits d’auteurs depuis la loi Perben II du 9 mars 2004 qui a augmenté ces peines. Celles-ci passent d’ailleurs à 5 ans de prison et 500 000 € d’amende lorsque le délit est commis en bande organisée.
En effet, les maisons de disques et producteurs de films se basent sur l’article L.335-2 du code de propriété intellectuelle pour agir contre les internautes qui téléchargent des œuvres.
Cet article définit la contrefaçon comme « toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs ». Sont également punis des mêmes peines le débit, l’exportation et l’importation des ouvrages contrefaits.
Besoin de l’aide d’un avocat pour un problème de contrefaçon ?
Téléphonez-nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
« Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d’une œuvre de l’esprit en violation des droits de l’auteur, tels qu’ils sont définis et réglementés par la loi. » ( article L.335-3).
En outre, l’article L.335-4 dispose qu’« Est punie de trois ans d’emprisonnement et de 300 000 euros d’amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d’une prestation, d’un phonogramme, d’un vidéogramme, d’un programme ou d’une publication de presse, réalisée sans l’autorisation, lorsqu’elle est exigée, de l’artiste-interprète, du producteur de phonogrammes ou de vidéogrammes, de l’entreprise de communication audiovisuelle, de l’éditeur de presse ou de l’agence de presse.
Sont punis des mêmes peines l’importation, l’exportation, le transbordement ou la détention aux fins précitées de phonogrammes ou de vidéogrammes réalisés sans l’autorisation du producteur ou de l’artiste-interprète, lorsqu’elle est exigée. » (1)
Peuvent être déclarées responsables pénalement de ces infractions également les personnes morales, et ce, en vertu de l’article L 335-8 du code de la propriété intellectuelle.
Dans un arrêt en date du 11 janvier 2023 (Cass. com., 11 janv. 2023, nos 19-11670), la chambre commerciale a précisé que peut constituer un abus de droit le fait d’intenter une action en contrefaçon sur la base de brevets sur lesquels le demandeur ne disposait pas de droits opposables à des tiers. (5)
Les bases de données sont également protégées par les droits d’auteur et par la loi du 1er juillet 1998. L’architecture de la base et les outils d’interrogation et de recherche sont protégés au titre d’un droit d’auteur spécial et du droit commun du droit d’auteur.
Le producteur d’une base de données est protégé contre toute extraction, réutilisation de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base. ( articles L. 341-1 du code de la propriété intellectuelle) Seul le producteur peut bénéficier de cette protection.
« On entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. » ( article L.112-3 du code de la propriété intellectuelle).
La Cour d’appel de Paris, dans un arrêt récent rendu 2 février 2021, confirme la protection du site leboncoin.fr exploité par la société LBC contre l’extraction et la réutilisation non autorisées d’annonces immobilières de ce dernier par la société Entreparticuliers.com, et ce, sur le fondement du droit des producteurs de bases de données prévu aux articles L.341-1 et L.342-2 du code de la propriété intellectuelle. (2)
Il peut y avoir contrefaçon d’une base de données qui est punie en vertu de l’article L 335-3.
Mais également toute atteinte aux droits du producteur d’une base de données est punie au titre de l’article L. 343-4 de trois ans d’emprisonnement et de 300 000 euros d’amende. Ces peines sont portées à sept ans d’emprisonnement et 750 000 euros d’amende lorsque le délit est commis en bande organisée.La personne qui a réalisé un investissement substantiel dans cette base est considérée comme producteur d’une base de données, c’est-à-dire celle qui a effectué les investissements nécessaires à la constitution, à la vérification et la présentation de la base de données. La protection bénéficie aux personnes physiques, comme aux personnes morales dès lors qu’elles sont ressortissantes d’un État de la Communauté européenne.
Dans un arrêt en date du 22 décembre 2023 (TJ Paris, 3e ch., 22 déc. 2023, no 22/03126), le tribunal judiciaire de Paris a précisé que ne confère pas la qualité d’un producteur de bases de données, la réalisation d’investissement pour la création d’un logiciel associé à un système de gestion de bases de données, à moins qu’il soit en lien avec le contenu des bases constitué par les utilisateurs du logiciel. (6)
La loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a d’ailleurs autorisé les sociétés de perception et de répartition de droits d’auteur à former, sous l’œil vigilant de la CNIL, des fichiers ou listes noires des contrevenants qui téléchargeraient des œuvres sans autorisation.
« Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;
3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits. »
En outre, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé, en application de l’article 9-4° de la loi de 1978 modifiée en août 2004, le syndicat des éditeurs de logiciels de loisirs (SELL) à mettre en œuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle.
En effet, le SELL avait présenté un dispositif à la CNIL visant à adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux “peer to peer”, et à relever, dans certains cas, l’adresse IP de ces internautes. La CNIL, après étude, a autorisé la mise en place de ce dispositif en mars 2005, estimant que l’équilibre entre la protection des droits des personnes dont les données sont traitées et la protection des droits d’auteurs était préservé.
Les messages de prévention indiqueront que ces logiciels sont protégés par des droits d’auteur et que la violation de l’un des droits de l’auteur d’un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon.
S’agissant de la collecte des adresses IP, elle ne sera effectuée que pour les infractions graves et dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations et ne pourront acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire.
Les mesures techniques de protection et les Systèmes numériques de gestion des droits (Digital Rights Management Systems) constituent un ensemble de protections. Ce sont des technologies permettant de protéger les droits d’auteur en chiffrant les contenus et en n’autorisant qu’un accès limité et contrôlé. L’utilisation de la cryptographie permet de chiffrer les données à des fins de non-divulgation et de non-reproduction.
Ces nouvelles protections visent à assurer la protection des contenus numériques pour de nouvelles formes de distribution et d’exploitation. Les DRMS permettent la traçabilité des œuvres lorsqu’elles sont diffusées sur support numérique et plus particulièrement lors de leur mise en ligne.
En premier lieu, les fonctions principales remplies par les DRMS consistent dans la gestion numérique des droits, par l’identification des contenus auxquels les droits sont attachés, la description de ces droits, et le chiffrement des contenus.
En second lieu, la mise à disposition des droits par la distribution, la reconnaissance des contenus la requête des droits. Cette requête des droits suppose l’identification et l’authentification de l’utilisateur ainsi que l’autorisation d’exploiter.
En dernier lieu, l’exploitation des droits par le contrôle de l’accès aux œuvres et le contrôle de la copie.
II. Sécurité des systèmes informatiques
Les dispositions du Code pénal protègent les systèmes de traitement automatisé de données, en particulier contre la fraude informatique.
En effet, l’article 323-1 du Code pénal incrimine l’accès frauduleux et le maintien frauduleux dans un système informatique malgré l’accès licite. Cet acte est puni de deux ans d’emprisonnement et de 60 000 euros d’amende. Les peines sont portées à trois ans d’emprisonnement et 100 000 euros d’amende si l’acte frauduleux a eu pour conséquence d’altérer le fonctionnement du système ou de modifier ou supprimer les données contenues dans le système.
Ce texte vise à la fois tous les modes de pénétration irréguliers d’un système de traitement de données, ainsi que le maintien irrégulier dans un tel système de la part de celui qui y serait entré par inadvertance, ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. ( Cour d’appel Paris 5 avril 1994).
Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données, notamment par le spamming, c’est-à-dire l’envoi massif de messages non sollicités et le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient sont punis de cinq ans d’emprisonnement et de 150 000 euros d’amende en vertu de l’article 323-2 du Code pénal.
Il découle de la loi sur la confiance en l’économie numérique du 21 juin 2004, en outre, l’article 323-3-1 qui incrimine “Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou tout donné conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3”.
La loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (L. n° 2023-22, 24 janv. 2023) a crée à l’article 323-3-2 du code pénal un nouveau délit incriminant l’administration d’une plateforme en ligne proposant à des utilisateurs anonymes la vente de services ou de produits illicites. (7)
Les personnes qui créent des virus ou des moyens de contourner des protections techniques, les personnes qui mettent à disposition de faux numéros de cartes bancaires sur internet peuvent être punis sur la base de ce texte.
Cela étant, il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux. La nouvelle infraction prévue à l’article 226-4-1 du Code pénal permet de punir d’un an de prison et de 15 000 euros d’amendes “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne”. (3)
Afin de garantir l’efficacité de cette répression, il existe “des cybergendarmes” et notamment l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication et la brigade d’enquête sur les fraudes aux technologies de l’information.
Douze gendarmes forment la “cellule Internet” au service technique de recherche judiciaire et de documentation (STRJD) du fort de Rosny-sous-Bois. Ils se relayent pour surveiller le réseau en permanence afin de traquer les cybercriminels. Ils ont à leur disposition différents logiciels, le principal effectue des recherches par mots clés, car les délinquants utilisent souvent des termes spécifiques comme le terme carding utilisés par les escrocs à la carte bleue.
Un contrôle est assuré également par la Commission nationale de l’informatique et des libertés qui vérifie que la loi est respectée. En cas de constatations d’infractions, la commission peut les dénoncer au parquet. Elle a des pouvoirs de vérification et d’investigation pour instruire les plaintes.
Enfin, au niveau international, une entraide judiciaire est prévue pour tenter de couvrir l’ensemble du réseau Internet.
Pour lire une version plus complète de cet article sur la sécurité informatique, cliquez
Sources :
- LOI n° 2019-775 du 24 juillet 2019 https://www.wipo.int/fr/web/wipolex/w/news/2019/article_0013#:~:text=Nouveautés-,France%3A%20Loi%20n°%202019%2D775%20du%2024%20juillet%202019,vigueur%20le%2024%20octobre%202019.
- Cour d’appel Paris, pôle 5, ch. 1, 2 févr. 2021, n° 17/17 688 https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/jurisprudence/CAPARIS-02022021-17_17688?em=2.%09Cour%20d’appel%20%20Paris%2C%20pôle%205%2C%20ch.%201%2C%202%20févr.%202021%2C%20%2017%2F17%E2%80%89688
- LOI n° 2020-936 du 30 juillet 2020 https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042193593/
- Cour d’appel de Bordeaux, 11 mai 2021, no18/02506 https://www.doctrine.fr/d/CA/Bordeaux/2021/C3577132BE8B6192F1DA4
- com., 11 janv. 2023, nos19-11670 https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/jurisprudence/CC-11012023-19_11670
- TJ Paris, 3e, 22 déc. 2023, no22/03126 https://www.doctrine.fr/d/TJ/Paris/2023/TJP0A6AAE143F514B659B72
- n° 2023-22, 24 janv. 2023, d’orientation et de programmation du ministère de l’Intérieur https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047046768