Archive

Archive for the ‘Pénal’ Category

Données personnelles et entreprise : quelles obligations ?

10 novembre, 2017 Laisser un commentaire

J’ai commencé la rédaction de ce billet il y a dix ans, si j’en crois WordPress. À l’époque, on ne parlait pas encore du RGPD. Voici le billet enfin publié, certes un peu réécrit.

Les entreprises au premier rang desquels on trouve les e-commerçants veulent et doivent recueillir des données personnelles sur leurs visiteurs, prospects et clients. Ce type d’information étant sensible voire très sensible, la réglementation leur impose un certain formalisme pour les recueillir. Par ailleurs, mal protéger ces données peut avoir de lourdes conséquences.

Les obligations d’information sur le recueil de données personnelles

Les obligations relatives aux données personnellesLe recueil des informations sur les visiteurs, prospects et client ne peut pas se faire n’importe comment. Il est nécessaire d’obtenir l’accord de la personne pour recueillir et utiliser des informations sur elle. L’article 32 de la loi du 6 janvier 1978 prévoit d’être informé :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Les cookies permettant de recueillir des données personnelles, il est nécessaire de prévenir les visiteurs de leur utilisation. Ce principe vaut de manière générale pour tous les moyens et toutes les informations recueillies : adresse IP, configuration de l’ordinateur… Ce formalisme est toutefois allégé si les informations sont rapidement anonymisées. Lire la suite…

Publicités

Données personnelles : une infraction peut en cacher une autre

9 novembre, 2017 Laisser un commentaire

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Données personnelles

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Protégez vos données personnellesConcernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

Google Suggest… une diffamation

24 septembre, 2010 3 commentaires

C’est ce qu’a jugé le TGI de Paris dans une décision du 8 septembre 2010. La fonctionnalité Google suggest utilise le principe de la saisie semi-automatique dans le champ de recherche du moteur. Parfois les suggestions sont pertinentes, d’autres fois elles sont surprenantes et enfin elles peuvent être déplacées.

C’est ce qu’a estimé , M. X… qui s’est rendu compte que la fonctionnalité proposait des résultats tels que «  »M. X… viol », « M. X… condamné », « M. X… sataniste », « M. X… prison » et « M. X…violeur ». Cet internaute a donc saisi le TGI de Paris pour faire supprimer ces suggestions au motif que cela constituait une diffamation publique. Dans son jugement tribunal a considéré que :

Ces propositions, prises séparément, et plus encore associées les unes aux autres, constituent ainsi, au moins par insinuation, des faits précis susceptibles de preuve et évidemment de nature à jeter l’opprobre sur qui en est l’objet.

Lire la suite…

Catégories :International, Pénal, Presse, Web Étiquettes : ,

Des avis de faux consommateurs sur l’Internet

20 septembre, 2010 Commentaires fermés

Didier Frochot faisait état la semaine dernière de la recrudescence des faux avis de consommateurs sur l’Internet. Je ne vais pas reprendre la typologie esquissée par Didier Frochot mais me pencher sur les conséquences juridiques de ces faux avis. Ces faux avis peuvent venir où d’une entreprise qui estime qu’il vanter à tout prix ses produits ou encore de concurrents malveillants.

Des avis de consommateurs qui relèvent de la publicité

Il est très tentant pour une entreprise de veiller à ce que les avis que les consommateurs donnent sur leurs produits sur les forums, blogs et autres plateformes sociales soient positifs. Pour ce faire il est possible de recourir à l’obfuscation, c’est à dire de noyer des commentaires négatifs sous des tonnes de commentaires laudatifs postés par des pseudo-consommateurs derrière qui se cachent des salariés de l’entreprise. Cette pratique aussi facile soit-elle est pourtant interdite. Elle est visée par le point 21 de l’article L. 121-1-1 du code de la consommation qui dispose ainsi que :

Sont réputées trompeuses au sens de l’article L. 121-1 les pratiques commerciales qui ont pour objet :

21° De faussement affirmer ou donner l’impression que le professionnel n’agit pas à des fins qui entrent dans le cadre de son activité commerciale, industrielle, artisanale ou libérale, ou se présenter faussement comme un consommateur ;

Le responsable est la personne pour le compte de qui la pratique est mise en œuvre. Il est donc nécessaire de prévenir les petites mains qu’il faut communiquer à visage découvert, ce qui d’ailleurs est plus responsable. Cette information à faire passer est d’autant plus importante que le risque juridique n’est pas négligeable puisque les peines encourues, prévues à l’article 213-1 c. conso. sont de 2 ans d’emprisonnement et 37500 € d’amende.

Sauvegarder son image est une chose, tenter de compromettre celle des autres en est une autre.

Des avis de consommateurs qui relèvent du dénigrement

Dans la mesure où la diffamation et l’insulte n’est pas applicable aux produits et services, il faut se tourner vers le code civil pour trouver un fondement juridique au dénigrement de produits entre concurrents.

L’article 1382 du code civil qui fonde la responsabilité civile prévoit ainsi que

Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.

C’est vers ce fondement qu’il faut se tourner pour agir contre le dénigrement. Trois conditions doivent être réunies pour espérer réussir à faire cesser le trouble :

  • une faute : elle pourra résulter de l’abus du droit de critique des produits. C’est le comportement du concurrent qui qualifiera la faute ;
  • un préjudice : cela peut être une perte d’image de marque, des ventes ratées du fait du dénigrement… Toutefois ce préjudice doit être réel pour que l’action soit efficace ;
  • un lien de causalité entre la faute et le préjudice

Sur le plan procédural, l’action prendra la forme d’une action en référé destinée à faire cesser un trouble manifestement illicite (art. 809 c. proc. civ.). L’idée est ici de mettre un terme à la diffusion des messages dénigrant l’entreprise ou ses produits.

On le voit, que ce soit en défendant ses produits ou en dénigrant les produits de ses concurrents, il ne faut pas franchir la ligne blanche. Au delà de l’aspect purement juridique, l’aspect marketing et l’image de marque doivent prévaloir.

Du volet pénal d’une rumeur…

5 avril, 2010 Commentaires fermés

Les journaux font état ces jours-ci d’un dépôt de plainte pour « introduction frauduleuse de données dans un système informatique » dans le cadre de la rumeur mettant en cause le couple présidentiel. Je ne vais pas m’appesantir sur le fond de la rumeur mais sur le visa de la plainte. Le visa est en droit le texte sur lequel on s’appuie.

Un bref rappel des faits est nécessaire. Dans la nuit du 9 mars, est publié sur la plate-forme de blogs du JDD un billet évoquant les turpitudes du couple présidentiel. Ce texte a été rapidement dépublié par les responsables du site du JDD. Toutefois, entretemps, la rumeur a été reprise par les journaux français et étrangers. Plus embêtant pour le JDD, la source de la rumeur lui a parfois été attribuée. Afin de mettre un terme à la polémique la direction du JDD fait état dans un communiqué de presse de la responsabilité de l’un de ses salariés dans cette histoire. La démission de ce salarié et d’un dirigeant de la société a été acceptée. On pensait la polémique close. Lire la suite…

Catégories :Actualité, Pénal Étiquettes : ,

Proposer un chat vidéo en ligne en France, est-ce jouer à la roulette russe ?

24 mars, 2010 Commentaires fermés

Le succès rencontré par Chatroulette excite les appétits à tel point que, rapidement, des sites concurrents ont été créés. Si le site original était soumis au droit russe, son créateur est en effet russe, des concurrents sont français.

Si le comportement des utilisateurs des sites français est à l’image de ceux du site original, il est fort à parier que des débordements seront également commis. Dans le cas présent, le droit français sera applicable. Aussi, un grand nombre d’infractions peut être commis par les utilisateurs.  Lire la suite…

De la divulgation par mégarde de données personnelles

31 août, 2009 2 commentaires

Il y a quelques jours Pcinpact faisait état des problèmes d’une mutuelle avec une liste d’adresses e-mail de ses adhérents. Cette liste était sur le serveur internet de la mutuelle et a été scannée par le robot d’indexation de Google. De ce fait, les adresses ont été récupérées par un spammeur qui a inondé des adhérents de messages. C’est d’ailleurs à cause de l’augmentation de ces spams qu’une des victimes s’est aperçue, après une simple requête sur Google de la facilité d’accès à cette liste d’adresses emails.

D’un point de vue strictement technique, il semble que le fichier en cause n’était pas protégé contre une indexation par les moteurs de recherche. L’utilisation d’un simple fichier robots.txt garantie pourtant cette absence d’indexation. Ce fichier robots.txt n’aurait de toute façon pas été efficace contre les scripts des spammeurs qui ne tiennent pas compte des indications fournies. Un autre moyen de protéger ces informations en ligne aurait été la mise en place d’un htaccess interdisant non seulement l’indexation mais également l’accès aux fichiers ainsi protégés. Là encore il semble que cette solution n’a pas été retenue par les personnes en charges de la maintenance du site. Lire la suite…

Catégories :Juridique, Pénal, Web Étiquettes : ,