Données personnelles : une infraction peut en cacher une autre

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Concernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

Du volet pénal d’une rumeur…

Les journaux font état ces jours-ci d’un dépôt de plainte pour « introduction frauduleuse de données dans un système informatique » dans le cadre de la rumeur mettant en cause le couple présidentiel. Je ne vais pas m’appesantir sur le fond de la rumeur mais sur le visa de la plainte. Le visa est en droit le texte sur lequel on s’appuie.

Un bref rappel des faits est nécessaire. Dans la nuit du 9 mars, est publié sur la plate-forme de blogs du JDD un billet évoquant les turpitudes du couple présidentiel. Ce texte a été rapidement dépublié par les responsables du site du JDD. Toutefois, entretemps, la rumeur a été reprise par les journaux français et étrangers. Plus embêtant pour le JDD, la source de la rumeur lui a parfois été attribuée. Afin de mettre un terme à la polémique la direction du JDD fait état dans un communiqué de presse de la responsabilité de l’un de ses salariés dans cette histoire. La démission de ce salarié et d’un dirigeant de la société a été acceptée. On pensait la polémique close. Lire la suite…

Est-ce une infraction d’accéder à un répertoire caché sur un site Internet ?

Il n’est pas rare qu’un gestionnaire de site Internet utilise un répertoire caché pour y stocker des informations ou pour faire des essais, notamment de mise en page. Ce répertoire n’est pas forcément protégé par un fichier htaccess pour que les visiteurs ne puisse y accéder. Dès lors, il peut arriver qu’un internaute y accède et en voit le contenu. Cet internaute commet-il pour autant une infraction ?

L’infraction qui vient à l’esprit du juriste s’appelle accès ou maintien dans un système de traitement automatisé de données (art. 323-1 c. pénal). Un site internet répond bien aux différents critères posés par le texte. Ainsi un site Internet est bien un tel système. La question qui se pose est de savoir si le fait d’accéder à des données dans un répertoire caché, éventuellement sans lien avec le reste du site Internet est constitutif d’un accès ou d’un maintien dans ce système. Lire la suite…

Convoiter le wifi du voisin, c’est pas bien !

Très présent dans les foyers grâce aux « box », les connexions wifi, ne sont pas toujours sécurisées par leurs utilisateurs, souvent par ignorance ou négligence. Il peut alors être tentant de profiter, voler, la connexion wifi de son voisin cela, à son insu. L’infraction de vol n’est toutefois pas constituée. Pour mémoire le vol est défini comme la soustraction frauduleuse de la chose d’autrui (art. 311-1 c. pénal). En effet, rien dans l’utilisation d’une connexion ne peut être vu comme une soustraction. Dès lors cette infraction n’est pas constituée. Lire la suite…

Vers une dépénalisation du droit de la publicité ?

Portant sur la dépénalisation de la vie des affaires, le rapport du groupe de travail présidé par le Premier Président Jean-Marie Coulon a été officiellement remis le 20 février 2008 au Garde des Sceaux. Ce rapport contient entre autres une partie concernant les infractions dépénalisables, notamment en matière de droit de la consommation. Parmi les différentes infractions concernées, seules celles consacrées au droit de la publicité seront abordées ici. Lire la suite…