La loi Hadopi – dont fut rapporteur l’actuel ministre de la Culture, Franck Riester – fête ses dix ans

Cela fait une décennie que la loi Hadopi du 12 juin 2009 a été promulguée – mais sans son volet pénal, censuré par le Conseil constitutionnel, qui sera rectifié et promulgué quatre mois plus tard. Franck Riester en fut le rapporteur à l’Assemblée nationale. Jamais une loi et une autorité n’auront été autant encensées que maudites.

Alors que le conseiller d’Etat Jean-Yves Ollier doit rendre au ministre de la Culture Franck Riester (photo), qui l’a missionné, son rapport de réflexion sur « l’organisation de la régulation » – fusion Hadopi-CSA ? – dans la perspective de la future loi sur l’audiovisuel, la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) fête ses dix ans. Car il y a en effet une décennie que la loi du 12 juin 2009 « favorisant la diffusion et la protection de la création sur Internet » a porté cette autorité publique sur les fonts baptismaux. Cette loi, dite « Création et Internet » – ou loi « Hadopi » – a donc modifié le code de la propriété intellectuelle (CPI) pour remplacer l’ARMT (1) par l’actuelle Hadopi. Car, face à la montée du piratage sur Internet boosté par les réseaux de partage décentralisés peer-to-peer, le président de la République de l’époque – Nicolas Sarkozy – rêvait d’instaurer des radars automatiques sur Internet en s’inspirant des radars routiers qu’il avait lui-même décidé lorsqu’il était ministre l’Intérieur.

La tentation de Sarkozy pour des radars du Net
Autant ces derniers, installés au nom de la sécurité routière, n’ont jamais fait l’objet d’aucun débat parlementaire (2), autant le dispositif d’infraction dans la lutte contre le piratage sur Internet a âprement été discuté au Parlement. Comme la loi dite DADVSI (3) de 2006 ne prévoyait pas de sanction en cas de piratage, Nicolas Sarkozy, tout juste élu président de la République en mai 2007, et sa ministre de la Culture et de la Communication de l’époque, Christine Albanel, ont entrepris d’y remédier, poussés par les industries culturelles – au premier rang desquelles la musique. C’est ainsi qu’ils ont confié dès juillet 2007 à Denis Olivennes, alors PDG de la Fnac, une « mission de lutte contre le téléchargement illicite et le développement des offres légales d’oeuvres musicales, Continuer la lecture

La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?

Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?

Par Corentin Pallot, Hervé Castelnau et Marie-Hélène Tonnellier – Latournerie Wolfrom Avocats

 

 

 

 

Ces dernières années, les médias ont été les victimes directes ou indirectes de plusieurs cyberattaques. On se souvient notamment, en avril 2015, de l’arrêt de la diffusion de TV5 Monde qui avait, à l’époque, fait grand bruit. Ayant fait face à une « agression fulgurante, qui a probablement été très bien préparée », le directeur informatique de TV5 Monde s’était en effet trouvé forcé de « tout couper », occasionnant un coût de « dix millions d’euros à la chaîne et le rehaussement du niveau de sécurité confié à la filiale cyber d’Airbus, [engendrant ainsi] une dépense
de 3,5 millions d’euros chaque année ».

DoS/DDoS et droit pénal
Trois mois plus tôt, en janvier 2015, Le Monde annonçait que l’Armée électronique syrienne (SEA) avait tenté de prendre le contrôle du compte Twitter de Lemonde.fr
et avait réussi à s’infiltrer dans son outil de publication, puis essayé de diffuser des articles, en vain. Mais quelques jours plus tard, la SEA réussissait finalement à pirater le compte Twitter du Monde et publiait quelques messages (1). Peu de temps après, Lemonde.fr faisait l’objet d’une attaque par « déni de service » – aussi connue sous l’acronyme DoS pour « Denial of Service ». En 2016, une cyberattaque contre une société chargée de rediriger les flux Internet vers les hébergeurs empêchait l’accès à de prestigieux médias américains comme CNN, le New York Times, le Boston Globe,
le Financial Times ou encore The Guardian.
En mai 2017, le prestataire français Cedexis racheté en février par l’américain Citrix
et chargé d’aiguiller une partie du trafic Internet, était la cible d’une attaque DDoS (Distributed Denial of Service). S’en suivait la perturbation de l’accès à de nombreux sites web, parmi lesquels ceux du Monde, de L’Obs, du Figaro, de France Info, de 20 Minutes ou encore de L’Equipe.
Pourtant, sur le papier, l’arsenal répressif français permettant de lutter contre les infractions informatiques se présente particulièrement étoffé. Certaines atteintes commises sur (ou via) des moyens numériques peuvent bien entendu être réprimées par le droit pénal général (vol pour sanctionner le détournement de données, escroquerie pour condamner le phishing, recel de contrefaçon de logiciels, etc.). Mais le code pénal prévoit également un nombre conséquent de textes spécifiquement destinés à encadrer l’usage des outils informatiques. Pionnière en la matière, la loi « Godfrain » du 5 janvier 1988 (2) permet ainsi de lutter contre les « atteintes aux systèmes de traitement automatisé de données » (accès frauduleux à un serveur, modification des informations contenues dans un ordinateur, etc.). Mais il y a beaucoup d’autres exemples de textes répressifs dédiés au numérique, comme les sanctions spécifiques en matière de pédopornographie lorsqu’il y a utilisation d’un réseau de communications électroniques (3), l’infraction constituée par le défaut de mentions légales sur un site Internet (4), l’atteinte au secret des correspondances émises par voie électronique (5), etc. La décision rendue le 7 novembre 2017 par la chambre criminelle de la Cour de cassation pourrait laisser penser que la justice se saisit avec fermeté de ces sujets, en n’hésitant pas à sanctionner des individus qui auraient participé, même indirectement, à des cyberattaques. En l’espèce, un individu avait
mis à disposition des internautes un «WebIRC » (IRC pour Internet Relay Chat, un protocole de communication textuelle sur Internet) sur un serveur dont il était locataire et gestionnaire, afin de leur faciliter l’accès à des sites web de discussion. Cet IRC avait facilité la conduite d’une attaque par déni de service dirigée contre EDF, sur fond de protestations contre le nucléaire. En effet, parmi les sites Internet qu’il référençait, figuraient ceux utilisés par des membres Anonymous, et notamment un site web dédié aux discussions sur les modalités concrètes d’opérations du mouvement « hacktiviste » contre EDF, parmi lesquelles une attaque par déni de service.

Atteinte à un système informatique
L’individu en question ne contestait pas les faits ; il avait même affirmé à l’audience avoir ressenti de la fierté lorsqu’il avait appris que des Anonymous avaient cité son WebIRC comme moyen d’accès au forum de discussion du groupement pour une autre opération contre EDF. Il n’ignorait d’ailleurs pas l’opération qui était mise au point sur
le site web de discussion qu’il hébergeait. Toutefois, l’homme n’avait pas pris part à la cyberattaque ; il affirmait en outre désapprouver les attaques DoS. Il assurait aussi ne pas avoir participé activement à la définition des modalités des actions d’entrave contre EDF et ne pas nécessairement les approuver, n’étant personnellement pas opposé au nucléaire. Pour reprendre les termes de la Cour de cassation, cette personne se présentait avant tout comme « un acteur de mise en relation [n’ayant] agi que dans
le but de favoriser un usage flexible et libre d’Internet [et ne maîtrisant pas] l’utilisation [des sites web accessibles via son serveur] par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux ». Confirmant la position de la cour d’appel de Paris, la Cour de cassation a considéré que ces éléments étaient suffisants pour sanctionner l’individu sur le fondement de la « participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions » d’atteinte à un système de traitement automatisé de données (6), validant ainsi sa condamnation à une peine de deux mois d’emprisonnement assortis d’un sursis avec mise à l’épreuve.

Finalement, de rares condamnations
Le champ d’application de cette infraction, qui se trouve être une transposition dans la sphère numérique de l’ancienne « association de malfaiteurs », a été ici sensiblement étendu par les magistrats. En effet, la jurisprudence et la doctrine considéraient jusqu’alors qu’il était nécessaire que le groupement ou l’entente ait été constitué en vue de la préparation d’une atteinte à un système de traitement automatisé de données ou, à tout le moins, qu’il ait « à un moment donné eu pour but de préparer la commission » (7). Ce qui n’était pas tout à fait le cas ici. Faut-il y voir une forme de sévérité de l’appareil judiciaire à l’égard des hackers ? Peut-être, certes, sur le plan de l’interprétation de la loi. Pour autant, les poursuites et les condamnations reposant sur ces outils répressifs se révèlent en en réalité particulièrement rares.
Dans un rapport interministériel (8), datant certes de 2014 (mais l’on peut sérieusement douter d’une véritable amélioration), on apprenait ainsi qu’entre 2008 et 2012, seules environ 2.000 infractions par an étaient prononcées sur des fondements de droit pénal spécial du numérique (entendu au sens large, incluant par exemple des infractions au droit de la presse, des atteintes aux données personnelles, de la captation frauduleuse de programmes télédiffusés, des atteintes à la propriété intellectuelle, …). Et en regardant en détail ces statistiques, on s’aperçoit que certaines pratiques réprimées par le code pénal sont particulièrement peu sanctionnées. Ainsi, sur l’année 2012, seules 182 condamnations pour des atteintes à des systèmes de traitement automatisé de données – les attaques les plus fréquentes et les plus perturbantes pour les médias – étaient prononcées. Lorsque l’on sait qu’une étude de PwC estime à 4.165 le nombre de cyberattaques « détectées » en France en 2016, pour un montant moyen de pertes financières estimé dans chaque cas à 1,5 million d’euros (9), on ne peut que s’étonner et regretter que l’Etat ne se soit pas encore doté de véritables moyens techniques, financiers et surtout humains pour lutter opérationnellement contre ces pratiques qui entravent l’économie. A quoi sert en effet de disposer d’un arsenal répressif aussi puissant s’il n’y pas assez de soldats formés pour en faire usage ? Il paraît difficilement acceptable que les entreprises soient, à ce jour, livrées à elles-mêmes et à des solutions techniques coûteuses : selon un rapport d’Accenture de 2017, les coûts induits par la cybercriminalité auraient augmenté de 62 % en cinq ans (10) pour les entreprises, sans qu’elles puissent compter sur un véritable soutien de l’Etat. D’autant que – en plus des conséquences financières qui pèsent nécessairement sur l’économie – d’autres intérêts fondamentaux sont en jeu comme le respect de la liberté d’expression, clairement mis à mal quand les médias sont la cible de cyberattaques. Finalement, plutôt qu’un arsenal répressif objectivement difficile, voire irréaliste, à mettre en oeuvre a posteriori (difficultés techniques de l’expertise, problématiques d’extranéités inhérentes à Internet, etc.), ne devrait-on pas envisager des solutions plus réalistes et efficaces qui conjugueraient intelligemment droit et technique ?
En ce sens, voilà quelques semaines, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), faisait le constat suivant : « dans le cas d’une attaque massive de déni de service distribué […] les opérateurs sont les seuls
à pouvoir agir » (11). Quelques jours plus tard était présenté le projet de loi de programmation militaire (LPM) pour les années 2019 à 2025, avec des mesures qui visent à détecter les attaques massives au niveau des réseaux – et donc avant qu’elles ne puissent atteindre leurs cibles. Notamment, la mesure phare consiste à autoriser
les opérateurs télécoms à mettre en place des marqueurs techniques de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. LMP 2019-2025 : le rôle des « telcos » Si ce texte « LMP 2019-2025 » passe le filtre du Parlement (12), où il commencera à être débattu à l’Assemblée nationale à partir du 20 mars 2018, l’ANSSI pourra également imposer aux opérateurs télécoms d’avoir recours à ses propres marqueurs lorsqu’elle aura eu connaissance d’une menace. De plus, ces « telcos » seront tenus d’informer l’ANSSI des vulnérabilités
des attaques qu’ils auront détectées, et elle pourra même aller jusqu’à imposer aux opérateurs de réseaux et/ou aux fournisseurs d’accès à Internet (FAI) d’alerter leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information. @

La prescription pénale des délits de presse sur Internet : la croisade du Sénat continue

La loi du 27 février 2017 sur la prescription en matière pénale ne modifie pas le délai de prescription des délits de presse sur Internet (trois mois), malgré une énième tentative du Sénat repoussée par l’Assemblée nationale. Au-delà de l’opposition entre les deux chambres, le problème demeure.

Fabrice Lorvo*, avocat associé, FTPA.

Après avoir modifié les délais de la prescription civile (1) à la baisse (2), le législateur vient de réformer les délais de
la prescription pénale (3) en les doublant. Ainsi, le délai de prescription de l’action publique passe de dix à vingt ans en matière criminelle et de trois à six ans pour les délits de droit commun. Pour les infractions occultes ou dissimulées, le délai de prescription démarre à compter du jour où l’infraction a été constatée. Ce délai ne peut toutefois pas excéder trente années révolues pour les crimes et douze années révolues pour les délits à compter du jour où l’infraction a été commise.

Délais de trois mois sur Internet
Lors des débats parlementaires, il a été tenté une nouvelle fois d’allonger, de trois mois à un an, le délai de prescription des délits de presse sur Internet. Cette tentative du Sénat a été, à nouveau, repoussée par l’Assemblée nationale. Il s’agit d’un nouvel épisode d’une opposition entre les deux chambres sur cette question mais le problème demeure. La liberté d’expression est une liberté fondamentale reconnue et protégée
par le droit (4). Cette liberté n’est ni générale, ni absolue. Elle peut être limitée sous certaines conditions (5). En droit français, la loi sur la liberté de la presse (6) fixe la liste limitative des abus de la liberté d’expression et sanctionne notamment la diffamation et l’injure. Cependant, cette sanction n’est possible que si l’action est engagée dans un délai de trois mois (à compter de la publication des propos contestés). À défaut, l’action publique comme l’action civile sont prescrites et la victime ne peut plus agir dès lors que d’autres voies, comme l’ancien article 1382 du Code civil, ne sont pas applicables aux abus de la liberté d’expression. La prescription pénale a pour finalité de « garantir la sécurité juridique en fixant un terme aux actions, mettre les défendeurs potentiels
à l’abri de plaintes tardives peut-être difficiles à contrer, et empêcher l’injustice qui pourrait se produire si les tribunaux étaient appelés à se prononcer sur des événements survenus loin dans le passé à partir d’éléments de preuve auxquels on ne pourrait plus ajouter foi et qui seraient incomplets en raison du temps écoulé. » (7). En matière de presse, la prescription a pour objet et pour effet de protéger la liberté d’expression. Cette courte prescription, qui serait la plus courte d’Europe, est justifiée par le fait qu’on ne peut apprécier le caractère abusif d’une expression qu’au moment où elle est exprimée. Un rapport sénatorial (8) rappelle que l’exposé des motifs d’une des lois précédant la loi sur la liberté de la presse de 1881 (9) indiquait : « Il est dans la nature des crimes et délits commis avec publicité, et qui n’existent que par cette publicité même, d’être aussitôt aperçus et poursuivis par l’autorité et ses nombreux agents. (…) Elle serait tyrannique la loi qui, après un long intervalle, punirait une publication à raison de tous ses effets possibles les plus éloignés, lorsque la disposition toute nouvelle des esprits peut changer du tout au tout les impressions que l’auteur lui-même se serait proposé de produire dès l’origine. » La loi de 1881, quant à elle, fait référence dans
son exposé des motifs à la nature éphémère de l’actualité : « Ainsi, la rapidité avec laquelle les circonstances viennent à changer, peut faire perdre, dans un très court
laps de temps, à un écrit, tout ou partie de sa force injurieuse. Les articles des journaux, les discours des hommes politiques, sont lus, écoutés le jour même et oubliés le lendemain. L’idée de l’oubli, fondement de toute prescription, joue ici au maximum, renforcée par la rapidité avec laquelle s’efface l’impression produite par la nouvelle
du jour ». Ce mécanisme applicable à la presse écrite a été purement et simplement transposé à la publication en ligne.

Plusieurs tentatives d’allonger depuis 2004
Notons cependant que les juges du fond avaient néanmoins tenté de faire du délit de presse sur Internet un délit continu (et non plus un délit instantané). En effet, une cour d’appel avait considéré que le point de départ de la prescription devait être repoussé
à la date à laquelle les propos litigieux avaient été mis hors ligne. Cette analyse a été écartée par trois décisions de la Chambre criminelle de la Cour de cassation en 2001 (10) qui fixent le point de départ du délai de prescription à la date du premier acte de publication (11). Dès lors, le législateur, et notamment le Sénat, tente régulièrement d’allonger cette prescription, essentiellement pour les propos tenus, en ligne, par les non professionnels. La première tentative date de 2004, lors de l’adoption de la loi
« Confiance dans l’économie numérique ». Il avait été prévu de distinguer deux types de prescription : une pour les propos publiés en même temps sur le support informatique et le support papier, et une pour les propos publiés uniquement sur le support informatique. Dans ce dernier cas, l’action publique et l’action civile devaient se prescrire après le délai de trois mois courant à compter de la date à laquelle les propos litigieux avaient été mis hors ligne.

Le Sénat toujours et encore insatisfait
Une telle solution a été déclarée inconstitutionnelle (12) dès lors qu’elle méconnaissait le principe d’égalité devant la loi. En effet, selon le Conseil constitutionnel, « la différence de régime instaurée, en matière de droit de réponse et de prescription,
par les dispositions critiquées dépasse manifestement ce qui serait nécessaire pour prendre en compte la situation particulière des messages exclusivement disponibles
sur un support informatique ».
Dès 2007, un rapport sénatorial, qualifiait cette situation d’insatisfaisante (13).
En 2008, le Sénat a adopté une proposition de loi tendant à « allonger le délai de prescription de l’action publique pour les diffamations, injures ou provocations commises par l’intermédiaire d’Internet » (14) qui portait à un an la prescription pour
les articles publiés en ligne « sauf en cas de reproduction du contenu d’une publication de presse légalement déclarée ». Cette proposition a été déposée sur le bureau de l’Assemblée nationale une première fois le 5 novembre 2008 et une seconde fois le
2 juillet 2012. Elle n’eut pas de suite. En avril 2016, lors de la discussion de la loi pour une République numérique (15), le Sénat a proposé un amendement fixant la prescription à un an pour les publications en ligne. Cet amendement a été rejeté.
En juillet 2016, un rapport sénatorial (16), proposait, de nouveau, d’allonger ledit
délai. En 2017, une nouvelle tentative infructueuse a été faite par le Sénat lors de la discussion sur la loi relative à l’égalité et à la citoyenneté (17). L’amendement a été rejeté par l’Assemblée nationale. La dernière tentative infructueuse a été faite lors de
la discussion de la loi portant réforme de la prescription en matière pénale. La question de l’allongement de la prescription pour les propos tenus sur Internet par des non professionnels reste une préoccupation majeure du Sénat. On ne peut que saluer l’assiduité des sénateurs. Il s’agit d’une réalité puisque d’un côté, n’importe qui peut mettre en cause n’importe qui, sur Internet et les réseaux sociaux, et ce durablement pour ne pas dire éternellement dès lors que le support numérique est impérissable (à
la différence du support papier) et immédiatement accessible (à cause des moteurs de recherche). Chaque citoyen peut donc être durablement marqué numériquement par un propos excessif s’il n’a pas agi dans les trois mois. D’un autre côté, il n’est pas envisageable – que ce soit politiquement ou juridiquement – de modifier la loi de la presse pour les journalistes qui sont soumis à une déontologie professionnelle. Serions-nous confrontés à une nouvelle quadrature du cercle numérique ? A titre de piste de réflexion, on rappellera que le Conseil constitutionnel considérait en 2004 que « la prise en compte de différences dans les conditions d’accessibilité d’un message dans le temps, selon qu’il est publié sur un support papier ou qu’il est disponible sur un support informatique, n’est pas contraire au principe d’égalité ». Il était donc considéré uniquement que la différence de régime à instaurer ne devait pas dépasser ce qui était manifestement nécessaire. Il convient donc de poursuivre l’exploration de cette voie et de rechercher une solution proportionnelle. On doit aussi se demander si la solution attendue par le public est réellement celle de l’allongement du délai de prescription. En pratique, les victimes qui ont laissé passer les trois mois de la prescription souhaitent moins une sanction de l’auteur présumé de l’abus de la liberté d’expression que de faire disparaître le propos litigieux. Plus précisément, le souci des victimes n’est pas de faire effacer les propos sur Internet mais plutôt d’éviter que le propos litigieux soit éternellement associé à leur son nom ou à leur raison sociale lors d’une recherche.

Courte prescription et liberté d’expression
La sagesse est de ne pas toucher à la liberté d’expression et de conserver ce régime de prescription très courte. Elle est le garant de cette liberté fondamentale, qui est le chien de garde de la démocratie. A l’inverse, à l’expiration du délai de trois mois, chacun, que ce soit une personne physique ou une personne morale, devrait avoir le droit d’obtenir, d’un moteur de recherche, sur simple demande, le déréférencement d’un propos excessif apparaissant lors d’une recherche faite à partir de son nom ou de sa raison sociale. @

* Auteur du livre
« Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

Protéger l’innovation et le patrimoine informationnel : une entreprise avertie en vaut deux

Depuis la directive européenne « Attaques contre les systèmes d’information »
de 2013, censée être transposée par les Ving-huit depuis le 4 septembre 2015,
les entreprises – et leurs-traitants – doivent redoubler de vigilance contre la cybercriminalité aux risques démultipliés. L’arsenal français est renforcé.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

L’innovation à l’ère numérique peut revêtir plusieurs formes :
un nouveau brevet, un concept commercial, un logiciel, des informations stratégiques, des bases de données, de la musique, des films, … Certaines de ces données bénéficient d’une protection légale : le droit d’auteur pour les logiciels, les vidéos, les œuvres multimédia… ; le droit des marques pour les noms de domaine,
les logos… ; la loi informatique et libertés pour les données personnelles, le droit des brevets pour les inventions, …

Preuve de la titularité des droits
La protection est parfois assujettie à des formalités légales : l’enregistrement des brevets, des dépôts de marques, des noms de domaine ou encore les formalités auprès de la Cnil (1). Parfois, la protection est acquise de plein droit mais il faudra justifier de certaines conditions en cas de contestation : l’« originalité » pour l’oeuvre logicielle ou encore l’« investissement financier, matériel ou humain substantiel » pour les bases de données (2). Il faudra en tout état de cause établir la preuve de la titularité des droits, ce qui peut exiger des précautions telles que le dépôt des codes sources pour lui donner date certaine, ou encore un contrat pour encadrer les conditions de cession
des données concernées.
Mais la protection n’est pas systématique, comme l’illustre si bien le long débat législatif sur le secret des affaires qui n’a pas encore permis de trouver de solution (3), ouvrant la voie au détournement de données stratégiques pour l’entreprise. S’il est désormais acquis que la valeur de l’entreprise réside en grande partie dans son patrimoine informationnel, la question de la protection de ces données est d’autant plus cruciale que l’entreprise, pour être compétitive, doit vivre à l’heure du big data, de l’open data, du cloud, du logiciel libre (open source), des API (4) et des objets connectés.
Comment, dans cet environnement, lutter contre la malveillance ou tout simplement la négligence ?
Une enquête réalisée par le cabinet d’étude britannique Vanson Bourne pour EMC, réalisée entre août et septembre 2014 sur des décideurs informatiques au sein d’entreprises employant plus de 250 personnes (pour un total de 3.300 personnes dans 24 pays), a révélé que 64 % des entreprises concernées avaient déclaré avoir
été victime(s) de pertes de données ou d’interruptions d’activité dans le cours de l’année 2014. Ce qui correspond à une moyenne de trois jours ouvrés d’interruption
non planifiée. Ces entreprises auraient subi un préjudice de 1,7 milliards de dollars.

Si les entreprises sont confrontées à des risques en provenance de l’extérieur (piratage, vol de données, fraude, virus, phishing, usurpation d’identité, …), il faut constater que les défaillances sont le plus souvent le résultat de négligences internes : non respect des règles de sécurité, notamment dans la gestion des badges d’accès ou des codes, divulgations non autorisées de données, erreurs de manipulations, …, manque de formation, d’information, de sensibilisation, etc.
L’exemple de la recherche et du développement – secteur d’investissement et d’innovation par nature – en est une bonne illustration. En effet, les travaux menés
par les chercheurs le sont parfois en mode collaboratif sur des réseaux non sécurisés, voire non conservés dans les serveurs de l’entreprise, exposant à la perte des investissements. De même, la publication ou l’utilisation d’API ouvrent des fenêtres sur les systèmes d’information des entreprises et organisations, et engendrent des risques liés à la sécurité, notamment d’atteintes aux données (intrusion, captation, …).

Directive contre la cybercriminalité
Le chef d’entreprise a l’obligation d’assurer la sécurité de l’entreprise. Cette obligation devrait être renforcée dans les années à venir avec la directive européenne « Attaques contre les systèmes d’information » du 12 août 2013.
Cette directive visant à combattre la cybercriminalité (5), qui devait être transposée par les Vingt-huit avant le 4 septembre 2015 (6), encourage les Etats membres à prévoir
« dans le cadre de leur droit national, des mesures pertinentes permettant d’engager
la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques » (considérant 26). Mais au-delà de cette obligation générale, le chef d’entreprise peut être tenu, pour certaines catégories de données, à des obligations légales spécifiques. Tel est le cas pour les données à caractère personnel pour lesquelles il est tenu de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (7).
Le manquement à cette disposition légale est sanctionné de cinq ans de prison et de 300.000 euros d’amende (8).

Obligations des entreprises
L’entreprise, elle, doit également veiller au respect de cette obligation par ses sous-traitants (9), au risque d’être sanctionnée. Ainsi, une société distribuant des produits optiques a été condamnée par la Cnil à une sanction de 50.000 euros pour avoir, entre autres, manqué à son obligation d’assurer la sécurité et la confidentialité gérées par
un de ses sous-traitants. La Cnil relève que « le contrat entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données » (10).
Sur ce point également, le prochain règlement européen sur la protection des données à caractère personnel (« Privacy »), devrait renforcer les obligations en prévoyant une obligation de notification des failles de sécurité à toutes les personnes concernées, ainsi qu’une obligation d’informer l’autorité de contrôle de toute violation « sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance ». Au-delà du délai de 24 heures, l’entreprise devra nécessairement justifier son silence.
Par ailleurs, les opérateurs d’importance vitale (OIV) sont tenus de respecter des règles de sécurité spécifiques (11). Leur non-respect les expose à des sanctions pénales (12). Les OIV ont également l’obligation d’informer sans délai le Premier ministre de tout incident affectant le fonctionnement ou la sécurité des systèmes d’information (13).

Enfin, on rappellera que le Référentiel général de sécurité (RGS) – afin d’instaurer
la confiance dans les échanges au sein de l’administration et avec les citoyens – s’impose aux administrations et aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information (arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en oeuvre de la procédure
de validation des certificats électroniques). Plus généralement, on rappellera que l’arsenal français est complet avec plusieurs infractions répertoriées dans le Code pénal. Le vol (14) de données est cependant rarement reconnu par la jurisprudence puisque les éléments constitutifs de l’infraction ne sont pas réunis : dans la mesure
où la donnée n’est pas une « chose », il n’y a pas de « soustraction frauduleuse de la chose d’autrui ».
En revanche, le recel (15) peut être invoqué à la condition que les données atteintes soient fixées sur un support physique. Même si le recel d’informations sans support matériel a pu être admis dans des arrêts anciens, la jurisprudence actuelle ne suit
pas cette tendance. De même, l’abus de confiance (16) est souvent utilisé à l’encontre de salariés ayant détourné des fichiers informatiques à des fins personnelles, en contradiction avec, notamment, la Charte informatique de l’entreprise. Enfin, l’usurpation d’identité numérique (17), utilisée depuis peu, a conduit récemment à la condamnation d’une personne s’étant fait passer pour l’ancien associé d’une entreprise afin de créer des adresses courrielles et des profils sur les réseaux sociaux. De même, c’est sur ce fondement qu’a été sanctionnée la personne ayant créé un faux site web permettant aux internautes de publier au nom d’une personne publiques des communiqués au contenu diffamatoire.

Infractions et Cheval de Troie
Enfin, les atteintes aux STAD (18) répertorient toute une série d’infractions : le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD, le fait d’entraver ou fausser le fonctionnement d’un STAD, le fait d’introduire frauduleusement des données dans un STAD, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement les données qu’il contient, ou encore le fait de – sans motif légitime – importer, détenir, offrir, céder ou mettre à disposition un équipement, instrument, programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 232-1 à 323-3 du Code pénal, comme par exemple le Cheval de Troie.
Il convient de signaler que dans un arrêt récent (19), la Cour d’appel de Paris a relaxé un internaute ayant accédé à un système de traitement automatisé de données (STAD) dont la sécurité défaillante avait permis l’accès aux données, mais l’a condamné pour maintien frauduleux, ayant constaté qu’il avait réalisé des opérations de chargement alors qu’il existait un contrôle d’accès dont il n’avait pu ignorer l’existence On rappellera que la voie pénale n’exclut pas une action civile pour obtenir des dommages intérêts. @

* Christiane Féral-Schuhl,
ancien bâtonnier du Barreau de Paris.

Notification des violations de données personnelles : régime juridique bientôt élargi, source d’incertitudes

Accès frauduleux à des données de santé, piratage de données personnelles, divulgation de photos hébergées sur le cloud portant atteinte à la vie privée, perte d’informations relevant du secret bancaire,…:les failles de sécurité des systèmes d’informations les plus performants défraient la chronique.

Par Christophe Clarenc (photo) et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

Les organismes, entreprises ou établissements publics ont l’obligation légale de garantir la sécurité des données à caractère personnel qu’ils traitent ou qui sont traitées pour leur compte par des prestataires. Cette obligation résulte de la loi « Informatique et Libertés », selon laquelle « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (1).

Sanctions administratives et pénales
La Cnil (2) a le pouvoir de contrôler, sur place, le respect de ces obligations de sécurité. Elle peut prononcer des sanctions administratives allant de l’avertissement (souvent publié) à la sanction pécuniaire pouvant atteindre 300.000 euros en cas de récidive.
Le manquement à cette obligation de sécurité est également sanctionné par le Code pénal d’une peine pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (3). Depuis l’ordonnance «Communications électroniques » (4) de 2011 transposant les directives « Paquet télécom » (5) du 25 novembre 2009, la Cnil est compétente pour examiner les failles de sécurité des opérateurs télécoms (fixe ou mobile) et des fournisseurs d’accès à Internet (FAI). Ces failles de sécurité sont définies comme « toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques ».
La loi « Informatique et Libertés » impose à ces opérateurs télécoms et FAI – devant être déclarés devant l’Arcep (6) – de notifier à la Cnil les violations des données à caractère personnel (7). Or à ce jour, l’obligation de notification des violations de données personnelles ne concerne pas les grands acteurs de l’Internet qui fournissent pourtant au public des solutions de cloud régulièrement victimes de cyberattaques. Alors que les opérateurs télécoms et les FAI, eux, sont tenus de notifier à la Cnil (8)
– dans les 24 heures de la constatation de la violation – toute destruction, perte, altération, divulgation ou tout accès non autorisé à des données à caractère personnel, et ce quel que soit le niveau de gravité de la violation (accident, malveillance ou négligence). Les personnes dont les données à caractère personnel ont été violées doivent également être informées par leur fournisseur d’accès, sans retard injustifié après constat de la violation des données personnelles (9). Parmi les informations requises figurent :
• le nom du fournisseur ;
• l’identité et les coordonnées d’un point de contact en interne auprès duquel les personnes peuvent obtenir des informations supplémentaires, le cas échéant,
et dans la mesure où l’organisation interne le permet, ce point de contact pourrait
être le correspondant informatique et libertés ;
• le résumé de l’incident à l’origine de la violation ;
• la date estimée de l’incident ;
• la nature et la teneur des données concernées ;
• les conséquences vraisemblables de la violation pour la personne ;
• les circonstances de la violation ;
• les mesures prises pour remédier à la violation ;
• les mesures recommandées par le fournisseur pour atténuer les préjudices potentiels. La Cnil précise que « l’information doit être rédigée dans une langue claire et aisément compréhensible », et être distincte et autonome (10).

Notifications à la Cnil et à l’intéressé
En revanche, si le niveau de gravité de la violation est tel qu’il n’est pas susceptible de porter atteinte aux données ou à la vie privée des personnes concernées, le fournisseur n’a pas l’obligation d’en informer les personnes concernées. Il en va de même pour le fournisseur qui a mis en place des mesures techniques de protection préalables, telles que le chiffrement, rendant incompréhensibles les données à tous tiers non autorisées à y avoir accès (11).
Un inventaire des violations, dans lequel figure notamment les modalités de la violation, l’effet de la violation et les mesures pour y remédier, doit être mis à disposition de la Cnil. Si l’opérateur télécoms ou le FAI ne notifient pas à cette dernière ou à l’intéressé une violation de données personnelles, ils encourent cinq ans d’emprisonnement et
300 000 € d’amende (12). Trois années après l’entrée en vigueur en France de ce régime spécifique de notification applicable aux seuls fournisseurs de communications électroniques, celui-ci fait encore débat.

Extension à tous les acteurs du Net
La proposition de règlement européen – qui sera d’application directe – prévoit
un régime similaire, bien que non identique, pour l’ensemble des responsables
de traitements de données à caractère personnel (13). Seraient également mis
à contribution les sous-traitants, qui auraient l’obligation d’alerter et d’informer le responsable de traitement de la violation de données personnelles. Seraient ainsi concernés l’ensemble des services de la société d’informations : sites de e-commerce, réseaux sociaux, banques en lignes, téléservices des administrations, etc, ainsi que tout organisme qui traite des données personnelles, comme tout simplement pour la gestion de ses ressources humaines.
Or, il apparaît que le respect des obligations de notification de failles de sécurité présente un investissement volumineux, tant en termes de coût que de temps. Alors que les opérateurs télécoms et les FAI peinent à répondre aux obligations requises, il est à craindre que le régime à venir étendant l’obligation de notification des violations de données personnelles à tous les responsables de traitements, soit difficilement praticable pour les TPE et les PME. Le délai actuel de 24 heures ne paraît pas raisonnable, voire impraticable lorsque la violation de données personnelles s’est produite chez le prestataire. Dans le cadre du règlement européen à venir, le sous-traitant aurait donc l’obligation d’informer et d’alerter immédiatement le responsable
de traitement. Toutefois, compte tenu du temps nécessaire à l’identification, la circonscription, la mesure et la correction de la faille par le sous-traitant, puis le temps nécessaire au responsable de traitement pour procéder aux mesures de vérifications, de contrôle et pour notifier, il est à craindre que le délai de 24 heures ne soit dépassé. La proposition de règlement européen prévoit un régime plus souple que celui actuellement réservé aux opérateurs télécoms et FAI. Aussi, une question persiste :
le nouveau régime va-t-il se substituer à l’actuel régime pour ne créer qu’un seul et unique régime de notification des failles de sécurité ? Ou les deux régimes similaires, sans être identiques, vont-ils devoir se juxtaposer créant deux régimes distincts, inégaux et même contradictoires par certains égards ? Une modification de la loi
« Informatique et Libertés » paraît donc nécessaire, afin d’anticiper sur le règlement européen. Des incertitudes demeurent créant une certaine insécurité juridique. En effet, dans la mesure où aucun texte de loi contraignant ne fixe précisément des standards de sécurité à respecter, il est difficile d’identifier avec précision les manquements à la sécurité (par faute ou négligence) susceptibles d’être sanctionnés par la Cnil. Par ailleurs, la notification d’une faille de sécurité ou d’une attaque ayant porté atteinte aux données personnelles de ses clients (par perte, divulgation, accès frauduleux, etc) déclenche une procédure d’instruction par la Cnil. L’autorité administrative compétente dispose d’un large pouvoir de contrôle et de sanction, allant de l’avertissement aux sanctions pécuniaires, étant précisé que la Cnil publie souvent les sanctions qu’elle prononce. Une telle publication a pu être maintenue en page d’accueil du site de la
Cnil pendant plusieurs semaines, causant un préjudice particulièrement important au responsable de traitement en termes de réputation.
La Cnil reconnaît elle-même, dans ses FAQ, qu’« une faille de sécurité peut donner une très mauvaise réputation à une entreprise, dont l’impact économique pourra être bien supérieur à la valeur même des données perdues ». Ainsi, le dispositif actuel, comme
à venir, n’encourage pas les responsables de traitements à la transparence et à la notification à la Cnil des violations des données personnelles. En effet, une entreprise qui notifierait une faille de sécurité ou une attaque ayant porté atteinte aux données personnelles de ses clients, risque non seulement une sanction de la Cnil mais encore la perte de confiance de sa clientèle et l’atteinte à sa réputation et à son image auprès du grand public. Il est donc à craindre que ce dispositif de notification des violations de données personnelles dissuade in fine un certain nombre d’entreprises à jouer le jeu
de la transparence.

Politique de sanction contreproductive
Une politique d’accompagnement dans la mise en oeuvre de mesures de protection optimales et efficaces, mais aussi proportionnées aux risques, paraît devoir être privilégiée en lieu et place d’une politique de sanction. Et ce, dès lors que le responsable de traitement qui notifie la faille de sécurité dont il est victime justifie de diligences et d’efforts suffisants et raisonnables au regard des règles de l’art.
Il en résulterait que le taux de participation des entreprises au respect de ce dispositif de notification augmenterait de manière significative au bénéfice de l’amélioration et
du renforcement de la protection des données et de la vie privée de tous. @

 

Streaming illicite : l’aveu de faiblesse de l’Hadopi

En fait. Le 12 septembre, l’Hadopi a publié une délibération de son collège datée de la veille sur la lutte contre les sites de streaming et de téléchargement direct illicites. L’Hadopi approuve le rapport « MIQ » (implication des intermédiaires du Net) mais ne peut le mettre en oeuvre « à droit constant ».

En clair. La délibération de l’Hadopi datée du 11 septembre est, en creux, un aveu de faiblesse face aux sites de streaming et de direct download (DDL) pour lesquels la loi éponyme de 2009 ne l’a pas « mandatée » pour lutter contre – à la différence des sites de peer-to-peer (P2P) visés, eux, par la réponse graduée. Le collège de l’Hadopi estime en effet qu’« une partie des recommandations du rapport (1) de Mireille Imbert- Quaretta [« MIQ », ndlr] peut être mise en oeuvre à droit constant ». Autrement dit, l’autorité de la rue de Texel ne peut instruire de dossiers de contrefaçon liés au streaming et au téléchargement direct – qu’il s’agisse de particuliers ou de sites Internet. Car sa commission de protection des droits (CPD) – présidée par MIQ
elle-même – n’est pas habilitée par la loi actuellement en vigueur à le faire.
Résultat : l’Hadopi n’apparaît toujours pas comme une menace directe pour non seulement les internautes, dont certains vont sur les sites de streaming ou de DDL illicites pour notamment leurs films et séries (2), mais aussi les éditeurs de ces sites soupçonnés de violation « massive » des droits d’auteur. La délibération du 11 septembre s’en tient donc à une phase préparatoire, sans conséquence immédiate pour les sites pirates relevant du streaming ou du DDL. C’est pourquoi Eric Walter, secrétaire général de l’Hadopi, est limité à ce stade à : « mettre en place un recensement fiable [des sites pirates] », « définir des protocoles décrivant les actions pour assécher [de ces sites] », « établir une cartographie des différentes technologies de reconnaissance de contenus », « développer la coopération avec les divers services de l’Etat ».

Il ne s’agit donc pas du lancement d’une action de lutte, par l’Hadopi, contre ces
sites « massivement contrefaisants ». Le plus important réside en fait dans la
« coopération » que va apporter l’Hadopi aux « divers services de l’Etat compétents », comprenez : des juridictions compétentes et/ou spécialisées pour des actions au pénal pour contrefaçon, qui peuvent à leur tour saisir des services d’enquête spécialisés de l’Etat comme l’OCLCTIC, la gendarmerie ou encore la douane judiciaire (SNDJ). Mais, comme l’a constaté le rapport MIQ, « la répression pénale montre ses limites au regard du [faible] nombre de condamnations prononcées » et « se heurtent à la difficulté particulière de lutter contre des faits commis sur Internet ». @

L’Hadopi remet en cause le statut d’hébergeur

En fait. Le 25 février, Mireille Imbert-Quaretta, présidente de la Commission de la protection des droits (CPD) de l’Hadopi, a remis à la présidente de cette dernière son rapport sur « les moyens de lutte contre le streaming et le téléchargement direct illicites ». Elle y critique le statut d’hébergeur.

En clair. « Le statut d’hébergeur a (…) favorisé le développement des actes de contrefaçon à grande échelle. Il est ainsi devenu un espace de protection pour les sites qui fondent leur activité sur la mise à disposition non autorisée de contenus. Cet espace
a été préservé par la jurisprudence, qui a consacré une acception large de la notion d’hébergement mais une appréciation stricte de l’obligation de retrait », critique Mireille Imbert-Quaretta, dans son rapport daté du 15 février (http://lc.cx/MIQ).
Si la Cour de cassation a reconnu le 17 février 2011 la qualité d’hébergeur à Dailymotion (1) (*) (**) et à un site d’hébergement de liens hypertextes (à l’époque Bloobox/Fuzz), elle a en revanche écarté le 3 mai 2012 le bénéfice de ce statut protecteur au site d’enchères eBay et au site musical Radioblog. « (…) C’est l’existence d’une capacité d’action sur les contenus ou d’un rôle actif du site de nature à lui donner une connaissance effective des contenus illicites qui peut permettre d’écarter le régime limitatif de responsabilité de l’hébergeur. La présence d’un contenu illicite sur un site ne suffit pas à engager sa responsabilité, mais les sites qui ont un rôle actif sur les mises à disposition de contenus illicites ne peuvent pas se retrancher derrière le statut d’hébergeur ». Ainsi, pour lutter contre le streaming et le téléchargement direct illicites, la magistrate estime que les sites web concernés devraient généraliser la pratique volontaire de la suppression définitive (« take down and stay down ») des contenus piratés. Or, pour l’instant, les hébergeurs ne doivent retirer ou empêcher l’accès aux contenus illicites que s’ils en ont eu effectivement connaissance (2). Les outils d’empreintes numériques, tels que Content ID de YouTube, permettent pourtant ce retrait systématique et définitif. Or, le rapport «MIQ » rappelle que la directive européenne de 2000 sur le commerce électronique donne la possibilité aux Etats membres de « prévoir une série d’obligations à la charge des intermédiaires [hébergeurs, fournisseurs d’accès Internet, fournisseurs de « cache », publicitaires, financiers, …], destinées à faire cesser ou prévenir les atteintes liées à des contenus illicites ». Selon Mireille Imbert-Quaretta, si la législation peut l’imposer contre le blanchiment d’argent sale, alors elle devrait pouvoir le faire contre le piratage en ligne. @