LES SPYWARES OU « LOGICIELS ESPIONS »

Les internautes ont souvent l’habitude de télécharger des plusieurs programmes en ligne. Certains sont gratuits et d’autres payants. Beaucoup de programmes téléchargés viennent avec ce que l’on appelle des spywares ou « espiogiciels » en français.

NOUVEAU : Utilisez nos services pour en cas de piratage informatique en passant par le formulaire !

Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage). Ils s’installent, généralement, en même temps que d’autres logiciels et ils permettent aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d’informations statistiques par exemple. Il s’agit donc, d’un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Quels sont les enjeux juridiques liés à la prolifération des spywares ?

En effet, les espiogiciels peuvent causer préjudice aux internautes puisqu’ils permettent la divulgation d’informations à caractère personnel. Aussi, ils peuvent être une source de nuisances diverses telles que : la consommation de mémoire vive ou l’utilisation d’espace disque.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I.  Les différents types de spywares

À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils : les logiciels publicitaires, le cheval de Troie, les cookies de suivi et les moniteurs de système.

  • Les logiciels publicitaires

Les logiciels publicitaires sont une catégorie d’applications qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.

Ces logiciels peuvent aussi avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. Ils peuvent aussi servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées. Cependant, ils ne sont pas aussi dangereux que les chevaux de Troie informatique.

  • Cheval de Troie

Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.

  • Cookies de suivi

Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, mais leur particularité c’est qu’ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.

Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

Par ailleurs la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement. Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.

La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc. Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.

Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.

  • Les moniteurs de système

Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.

II. L’absence de consentement de l’internaute « infesté » par un spyware

Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.

L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. Toutefois, il arrive souvent que les internautes ignorent totalement la présence de spywares. De ce fait, le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.

La loi informatique et libertés (LIL) instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées. Ainsi, il est précisé à l’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».

Une décision de la Cour d’appel rappelle cela d’ailleurs. En effet, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté (CA Bourges, 11 janvier 2007, n° 2007/03).

Le projet de loi concernant la refonte de la LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).

Par conséquent, tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.

Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).

III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel

Selon l’ article 9 du Code civil, chacun a droit au respect de sa vie privée. Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi informatique et Libertés. Ainsi, les données personnelles consistent à toute information se rapportant à une personne physique identifiée ou identifiable. Elles peuvent concerner des informations relatives à la vie privée de la personne : le pays dans lequel vit l’internaute, le type d’achat qu’il effectue, les sites visités, etc.

À travers les logiciels espions, les destinataires des données peuvent constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et e-mails .

La loi pour la confiance dans une économie numérique condamne cela. Il faut le consentement préalable de l’internaute via les e-mails (article 22). L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Il faut savoir, que le profilage ne se limite plus au comportement des internautes sur Internet, mais il concerne désormais le simple lecteur d’un e-mail. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.

Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel, car elles peuvent aller jusqu’à 1,5 million d’euros d’amendes pour les personnes morales.

Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.

La CNIL émet régulièrement des recommandations qui visent à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware », mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent. Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.

Pour cela, il convient, donc, de voir quelques conseils pratiques afin de se protéger contre les spywares.

IV. Comment se protéger contre les spywares ?

Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares :

  • Éviter le téléchargement d’applications suspectes : il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables. À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
  • Se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.

Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation. Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisant pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.

Pour lire une version plus complète de cet article sur les spywares et le piratage informatique, cliquez

Sources :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi