Archive

La Cour Européenne des Droits de l’Homme, par un arrêt pris en Grande Chambre, en date du 16 juin 2015, a jugé que la loi « SSI » estonienne (loi sur les Services de la Société d’Information) était conforme à l’article 10 de la Convention de sauvegarde des Droits de l’Hommes et des Libertés Fondamentales (CDHLF) sur la liberté d’expression.

Or, la loi « SSI » estonienne, au même titre que la loi « LCEN » française, s’inscrivent dans la droite ligne des directives « SSI » 98/34/CE et « commerce électronique » 200/31/CE, comme le rappelle la Cour Européenne. Ce qui vaut pour la loi estonienne vaut donc pour la loi française.

A ce titre, cet arrêt souligne que les éditeurs de contenus, qui sont aussi hébergeurs de commentaires ou d’avis d’internautes sur ces contenus, ont une responsabilité limitée mais certaine, non seulement quant au prompt retrait des commentaires excessifs dépassant le cadre de la liberté d’expression, et à plus forte raison lorsque ces éditeurs-hébergeurs ne s’assurent pas de moyens réalistes pour tenir les auteurs desdits commentaires / avis responsables de leurs propos.

Pour arriver à cette solution, la Cour souligne bien que la législation estonienne, comme la législation française, met en avant le principe de liberté d’expression et de responsabilité limitée des hébergeurs de contenus, sans aucune obligation de contrôle a priori des informations hébergées.

Principe de liberté d’expression sauvegardé, pas de contrôle a priori, responsabilité limitée des hébergeurs

Dans la législation estonienne, poursuit la Cour dans son analyse, seuls sont susceptibles d’être poursuivies les atteintes à la personnalité, la diffusion d’informations fausses, et la responsabilité pour faute [süü] équivalent de notre article 1382 du Code civil.

Or, c’est exactement le type de législation préconisée par le Conseil de l’Europe dans sa Déclaration sur la liberté de la communication sur l’Internet du 28 mai 2003, texte qui est désormais consacré par l’important arrêt de la CEDH.

En effet, dans la déclaration du 28 mai 2003, le Conseil de l’Europe précise notamment que « Afin d’assurer une protection contre les surveillances en ligne et de favoriser l’expression libre d’informations et d’idées, les États membres devraient respecter la volonté des usagers de l’Internet de ne pas révéler leur identité. Cela n’empêche pas les États membres de prendre des mesures et de coopérer pour retrouver la trace de ceux qui sont responsables d’actes délictueux, conformément à la législation nationale, à la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales et aux autres traités internationaux dans le domaine de la justice et de la police« .

Que la CNIL se le tienne pour dit, depuis plus de 12 ans : il ne serait pas illégitime de conserver des données sur les utilisateurs de services en lignes, même à titre gratuit, pour leur identification future de l’auteur d’un éventuel délit ou d’une éventuelle atteinte aux droits d’un tiers. Cela n’est toutefois pas prévu (ou du moins pour une durée bien trop limitée) par le cadre légal sur la conservation des données personnelles, telle qu’encadrée par la CNIL dans ses précieuses déclarations CNIL que nous connaissons tous.

Responsabilité en cas de retrait tardif et de défaut de moyen d’identification de(s) (l’) auteur(s) de l’infraction ou de l’atteinte

Quant au contrôle – a posteriori – après signalement d’un contenu illicite, le Conseil de l’Europe détaille les moyens que peuvent employer les éditeurs de contenus qui hébergent également les commentaires ou avis des internautes sous leurs publications.

Enfin, la Cour rappelle les dispositions de la Directive « Services de la société de l’information » 98/34/CE dans la droite ligne de laquelle se situent les législations estoniennes et française.

En conséquence, l’arrêt relève notamment que l’insuffisance des mesures prises par la société d’édition requérante : 1) pour retirer sans délai après leur publication les propos litigieux ; et 2) pour assurer une possibilité réaliste de tenir les auteurs des commentaires pour responsables de leurs propos ; est susceptible d’engager la responsabilité d’un éditeur-hébergeur sans que ce dernier puisse arguer de la violation par la législation de son pays de l’article 10 de la CDHLF.

Dans un arrêt du 20 mai 2015 (publié au bulletin), la Cour de cassation vient de préciser la définition de la fraude informatique en retenant qu’il suffit que le pirate ait eu connaissance de la présence d’un système de protection (par identifiant et mot de passe) pour que soit retenu le délit de piratage informatique… même si ledit système de protection a été « contourné » par la simple utilisation d’un moteur de recherche internet. Etrange.

On est bien loin du hacking / piratage informatique tel qu’on l’entend classiquement, et dont le jeu consiste à casser ou à contourner un système de protection informatique en passant par une faille (un port ouvert, une backdoor ou encore un outil spécialisé).

Décryptage.

Le piratage informatique / hacking est retenu dès que l’auteur des faits sait qu’il existe un système de protection des données informatiques et qu’il persiste quand même dans son action

C’est aussi simple que cela : l’internaute qui s’introduit sur le site extranet d’une personne physique ou morale, même à la suite d’une défaillance technique du système de protection, et sans être à l’origine de cette défaillance, et qui se maintient dans ce système pour y dérober des fichiers alors qu’il a préalablement constaté l’existence d’un contrôle d’accès est auteur d’actes de maintien frauduleux sur un système automatisé de données.

Cela peut paraitre injuste au yeux de certains, puisque c’est l’absence de sécurité informatique (en panne) qui rend les informations, prétendument « volées », en réalité disponibles au public par l’utilisation d’un simple moteur de recherches internet.

Pourtant, il faut distinguer l’accès frauduleux et le maintien frauduleux.

L’accès étant facilité par une panne du système informatique, le délit d’accès frauduleux ne peut pas être retenu, certes… Mais cela ne signifie pas qu’on ne peut pas reprocher à l’auteur des faits un maintien frauduleux s’il sait qu’en principe il faut un identifiant et un mot de passe pour accéder à ces informations. C’est le raisonnement suivi par la Cour de cassation.

Pourtant cette analyse ne résiste pas à la décortication de la fraude informatique, laquelle est nécessaire à la matérialisation du délit, qui à mon sens très mal définie dans cet arrêt, je pense à dessein, pour des raisons politiques : c’est ANSES la victime.

Un internaute complètement noob (newbie) peut donc parfaitement être reconu fraudeur et être condamné pour piratage informatique en utilisant Google

Pas besoin d’être un geek ou un hacker, donc, pour être condamné. C’est la leçon à tirer de cet arrêt de la Cour de cassation qui met fin à un mouvement oscillant de la jurisprudence de certaines Cour d’appel et de précédentes positions de la Cour de cassation qui tantôt acceptaient de manière variable la notion d’introduction frauduleuse dans un système de traitement automatisé de données (STAD). Depuis 2004, la loi s’est élargi aux notions d’accès et de maintien dans un STAD, certes, mais la Cour de cassation s’engouffre dans une appréciation laconique de la fraude informatique qui permet un tel accès et/ou maintien.

En effet, il convient de rappeler que le texte de l’article 323-1 du Code pénal, mis à jour par la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économique numérique dispose que : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende« .

Or, l’arrêt retient que l’auteur des faits déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google et qu’il affirmait être arrivé par erreur au coeur de l’extranet de l’ANSES. Ce n’est donc pas par une manoeuvre frauduleuse qu’il s’est retrouvé dans l’arborescence de l’intranet de l’ANSES… mais par inadvertance.

Il s’en suit que la notion de « fraude » est au coeur de l’appréciation et que la qualification juridique des faits : l’auteur des faits fraude-t-il lorsqu’il n’utilise aucun outil de piratage, ni aucun savoir-faire illicite de hacking, ni aucune manoeuvre particulière ? Autrement dit, l’auteur des faits fraude-t-il lorsqu’il utilise un moteur de recherche internet avec un navigateur pour récupérer une information (un fichier informatique) rendu disponible publiquement en raison d’un défaillance du système de sécurité ?

La Cour de cassation répond par l’affirmative en se bornant à souligner que  l’auteur s’est maintenu sur l’extranet litigieux « alors qu’il avait constaté l’existence d’un contrôle d’accès« . Il a constaté l’existence d’un contrôle d’accès ne signifie pas qu’il avait conscience que ce contrôle d’accès régissait forcément l’accès aux données litigieuses. Comment le savoir de toute façon, si par définition, ce contrôle d’accès ne fonctionne pas.

C’est critiquable : si je suis mené par Google sur un site extranet non sécurisé (qui lorsqu’il est ouvert a toutes les apparences d’un site internet), comment faire la différence entre ce que j’ai le droit d’y faire ou pas ? La réponse est simple : certains extranets ont des zones d’informations publiques (généralement en lien avec un site internet mais pas obligatoirement) et des zones d’informations privées, protégées par mot de passe. Si la sécurité ne fonctionne pas, je ne ferai donc pas nécessairement la différence.

La Cour de cassation élude admirablement bien la question…. pourtant la réponse à cette question fournit un autre élément : l’élément moral / intentionnel de l’infraction de maintien frauduleux dans un système automatisé de données.

La conscience d’être dans un système informatique protégé : l’élément moral de l’infraction du maintien frauduleux

La Cour de cassation adopte un raisonnement confus  dans un « attendu » fouilli mêlant deux délits différents (« maintien frauduleux » – art. 323-1 du Code pénal et « vol » – art. 311-1 du Code pénal).

Sur la question de maintien frauduleux, la seule conscience d’être dans un système informatique protégé suffit à caractériser l’élément matériel. Dont acte : le délit de maintien frauduleux est un délit matériel avec un élément matériel extrêmement fugace. Il fallait que ce soit dit. Je ne suis pas d’accord, mais on le saura pour la prochaine fois.

Sur l’autre incrimination retenue, on notera que ce n’est pas le délit « d’extraction, de détention, de reproduction, de transmission, de suppression ou de modification frauduleuse des données » de l’article 323-3 du Code pénal qui a été instruit et poursuivi dans cette affaire… mais le délit de « vol » de l’article 311-1 du Code pénal.

La Cour de cassation aurait donc dû écarter cette incrimination de vol comme n’étant pas applicable au délit informatique de téléchargement illicite de fichiers et données.

Cela semble ne choquer personne et pourtant cela devrait. En appliquant l’incrimination pénale de « vol » à un délit informatique « d’extraction et de reproduction de données informatique », la Cour de cassation méconnaît le principe d’interprétation stricte de la loi pénale.

Si le législateur a créé l’article 323-3 du Code pénal, ce n’est pas pour faire joli. C’est parce qu’il n’y a pas de vol – autrement dit pas de soustraction frauduleuse de la chose d’autrui – lorsqu’on télécharge un fichier informatique. Le délit n’est matériellement pas constitué, car il s’agit d’une simple reproduction, pas d’une soustraction de la chose d’autrui.

Pourtant c’est bien en s’appuyant sur le prétendu « vol » commis que la Cour de cassation va retenir la responsabilité du dangereux prévenu, comme signe de la volonté de nuire de l’auteur des faits. Etrange que de s’appuyer sur un délit de vol non constitué pour asseoir une décision de maintien frauduleux dans un système automatisé de données.

La préparation du délit motivé par un mobile dérisoire, gage de la volonté de nuire ?

Il est vrai cependant que l’auteur des faits était caché derrière un VPN panaméen lors de sa recherche internet complexe sur Google laquelle l’a mené à l’extranet litigieux et aux données informatiques litigieuses. Je reconnais volontiers que c’est suspect, comme attitude, et qu’on est peut être pas face à un internaute classique qui utilise son adresse IP française de son fournisseur d’accès français.

D’un autre côté l’utilisation de VPN se démocratise, car un VPN permet notamment de faire des recherches sans être identifié et « profilé » par Google dans les recherches opérées (pourvu qu’on ne se connecte pas à son compte Google évidemment). De là, à en déduire une intention criminelle, il ne faut pas aller trop vite.

Et c’est là que réside la plus surprenante tournure de cet arrêt : pour quel mobile l’auteur se voit-il reproché un maintien frauduleux dans un système automatisé de données et un vol de fichiers informatiques ? Réponse de la Cour de cassation : pour « avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisés pour argumenter son article sur la légionellose » et pour « avoir communiqué des documents à un autre rédacteur du site ».

Ah, oui ! Ca valait la peine de le condamner celui-là (ironie)… Et de tordre le bras à des incriminations pénales pour les appliquer à la va-vite ? Moins sûr.

Moralité, cet espiègle internaute a été condamné à 3.000,00 € d’amende. Vous me direz « c’est peu » ? Eh bien, non, c’est déjà trop dans un pays où le salaire moyen net mensuel, par ménage, est de 2 410 € nets / mois… surtout lorsque notre plus haute institution judiciaire jongle avec incriminations pénales pour asseoir une décision contestable.

C’est surtout trop au regard de ce que coûte l’ANSES dans les rapports de la Cour des comptes : l’ANSES a certainement les moyens de s’offrir un bon administrateur réseau et du matériel de qualité. Néanmoins, j’ai un peu l’impression que c’est le justiciable qui est placé au sens propre, sur le banc des accusés. Pas l’autorité publique qui a géré sa sécurité informatique de manière discutable.

On aura compris la leçon.

Depuis que les stratégies de référencement et d’accroissement de trafic à des fins publicitaires sont connues des acteurs de l’internet, on a vu tour à tour différentes méthodes d’exploitation des noms de domaines prospérer… parfois au détriment de tiers.

Sans que la liste se veuille exhaustive on dénombre parmi ces méthodes deux des plus connues :

• Le « cyber-squatting » (détention et/ou exploitation frauduleuse d’un nom de domaine homonyme de la marque et/ou du nom de domaine antérieurs d’un tiers) ;
• Le « site-parking » (enregistrement d’un nom de domaine redirigé – le plus souvent via un « redirect 301 » – vers une page contenant des liens publicitaires).

Si les actes de cyber-squatting sont désormais bien connus et facilement condamnés par les tribunaux, y compris par voie de référé, la condamnation de regristrars ou détenteurs de site-parking commence tout juste à rentrer dans les moeurs de nos juridictions.

Dans une affaire opposant le propriétaire d’une marque à la fois au registrar dudit Nom De Domaine et au titulaire du NDD litigieux la Cour de Cassation a pu retenir que le registrar, en ayant placé des liens commerciaux par redirection de l’url acquise par son client ne pouvait pas être qualifié de simple intermédiaire technique assurant le stockage de contenu, au sens de la Loi pour la Confiance dans l’Economie Numérique (LCEN).

Par voie de conséquence, la Cour a conclu que le registrar ne pouvait échapper à sa responsabilité d’éditeur étant entendu que « les principes de loyauté et de libre concurrence attachés à l’exercice de toute activité commerciale imposent à une entreprise intervenant sur le marché de s’assurer que son activité ne génère pas d’actes illicites au préjudice de tout autre opérateur économique« .

LA RESPONSABILITE DES REGISTRAR EN MATIERE DE SITES-PARKINGS PUBLICITAIRES

Ce raisonnement démontre que (en une pierre, deux coups) à la fois le titulaire d’un nom de domaine acquis en fraude des droits d’un tiers pouvait être condamné à transférer ledit nom au titulaire de la marque ou du nom de domaine antérieur…

… et que le registrar, dès lors qu’il recourt à la solution du site-parking (prétendument dans l’intérêt de l’accroissement de la valeur commerciale et de la qualité du référencement du nom de domaine de son client) se rend, par cet acte, lui-même éditeur et donc responsable du contenu diffusé… parfois à l’insu de son client le temps que la redirection mise en place soit écrasée par l’édition d’un site ou par la mise en place d’une autre redirection commandée, cette fois, par le titulaire du nom de domaine.

Mais, si l’on exclue l’atteinte au droit d’un tiers, le recours au site-parking a d’autres conséquences notamment dans la relation registrar – titulaire de nom de domaine.

S’il on peut concevoir que le titulaire du nom de domaine récemment acquis et son registrar sont responsables des atteintes commises aux droits des tiers, qu’en est-il de l’atteinte commise par le registrar aux droits de son propre client ?

Le fait que le client ait adhéré à des conditions générales de ventes le prive-t-il de tout recours contre le registrar qui aura agit ainsi et créé un préjudice audit client, notamment au regard de la concurrence déloyale ?

Pour simplifier les choses, le seul titulaire du nom de domaine est celui au profit duquel l’enregistrement du nom a été validé.

Or, le registrar qui met en place, même par défaut, une redirection du nom de domaine pointant sur un site hébergeant des publicités (quasi-systématiquement très ciblées par rapport à l’intitulé du nom) va profiter directement au registrar lui-même et non au titulaire du nom de domaine.

En effet, les revenus acquis au titre des liens publicitaires en rapport avec l’intitulé du nom de domaine litigieux ne profitent pas au titulaire du nom de domaine, mais bien au registrar.

Cela pourrait caractériser un acte de concurrence déloyale au détriment du client titulaire du nom de domaine.

Toutefois, on peut s’interroger sur le sort d’une éventuelle responsabilité du registrar vis-à-vis de son client, notamment lorsque la faculté de recourir à une redirection est expressément prévue au contrat.

Cependant, il paraît difficile de concevoir que le registrar (souvent également hébergeur) puisse valablement encaisser des revenus publicitaires sans offrir de compensation à son client…

LA PROBLEMATIQUE DE L’EXPLOITATION DU NDD

Reste à savoir si un nom de domaine en site-parking peut être valablement considéré comme exploité.

Or, dès lors que l’on considère que la page publicitaire est éditée par le registrar, et non par le titulaire du nom de domaine, il apparaît difficile de considérer qu’il pourrait valablement y avoir exploitation dudit NDD.

La question trouverait-elle une réponse différente si c’est le titulaire qui exploite un page de publicité ?

La réponse est plus incertaine, car le NDD est bien utilisé à des fins commerciales…

… mais pour répondre totalement à cette question, il convient alors de s’attacher au fait de savoir si, comme le retient la jurisprudence en matière de droit des marques, l’usage fait du nom est un usage sérieux, en rapport avec les produits ou services considérés entre les deux signes (conflit de marque et de nom de domaine ou noms de domaine en conflit entre eux) dont l’antériorité est remise en cause.

L’appréciation appartient souverainement aux juges du fond.