Archives par mot-clé : Pénal

Piratage : l’amende de 350 € vraiment écartée ?

Publié le par

En fait. Le 13 juillet, à l’Assemblée nationale, se tiendra la deuxième séance publique sur le projet de loi « Régulation et protection de l’accès aux œuvres culturelles à l’ère numérique ». Une commission mixte paritaire présentera son rapport. Le Sénat renoncera-t-il définitivement à l’amende de 350 euros pour piratage ?

En clair. Le 23 juin dernier, l’Assemblée nationale a adopté le projet de loi sur « la régulation et la protection de l’accès aux œuvres culturelles à l’ère numérique » (1). Ce texte, qui a remplacé en bien plus modeste la grande réforme de l’audiovisuel voulue initialement par Emmanuel Macron pour son quinquennat, fait de la lutte contre le piratage en ligne une priorité. Cependant, les industries culturelles restent sur leur faim car l’une des dispositions adoptées sous leur impulsion par le Sénat – l’amende transactionnelle de 350 euros pour un(e) internaute reconnu(e) coupable de piratage sur Internet (1.050 euros pour une personne morale) – a été retirée par les députés en commission.
Cette « transaction pénale » aurait été proposée à l’auteur de l’infraction et de la « négligence caractérisée » (défaut de sécurisation de son accès Internet dont il est responsable) par la future Autorité de régulation de la communication audiovisuelle et numérique (Arcom, alias Hadopi-CSA). Ne croyant plus à l’efficacité de la réponse graduée, les organisations professionnelles des industries culturelles, de l’audiovisuel et de la création (Sacem, SACD, Alpa, Scam, SEVN, Snac, UPC, …) en avaient rêvée (2). La droite sénatoriale, emmenée par le rapporteur du projet de loi Jean-Raymond Hugonet (LR), l’a fait en faisant adopter début mai un amendement (3) introduisant cette « amende transaction-nelle » qui donne la main à l’Arcom au lieu d’en passer par une décision judicaire. Selon ses motifs, « plus de 85 % des saisines du procureur ne donnent lieu à aucune poursuite ». La députée Aurore Bergé (LREM) avait soutenu avec les ayants droits cette disposition en 2020 lorsqu’elle était rapporteure du projet de loi (abandonné) sur la réforme de l’audiovisuel.
Mais le 9 juin, des députés – côté LREM (4) et côté LFI (5) – ont retiré cette transaction pénale de l’arsenal « anti-piratage », donnant satisfaction à la ministre de la Culture, Roselyne Bachelot, qui préfère la réponse graduée à cette amende pénale. Dans la foulée, cette suppression de l’amende transactionnelle coupait l’herbe sous le pieds de députés LR qui, eux, voulaient augmenter la sanction pécuniaire de 350 à 500 euros pour une personne physique, et de 1.050 à 2.500 euros pour une personne morale (6). Mais sortie par la porte, cette disposition peut-elle revenir par la fenêtre d’ici le 13 juillet ? @

La loi Hadopi – dont fut rapporteur l’actuel ministre de la Culture, Franck Riester – fête ses dix ans

Publié le par

Cela fait une décennie que la loi Hadopi du 12 juin 2009 a été promulguée – mais sans son volet pénal, censuré par le Conseil constitutionnel, qui sera rectifié et promulgué quatre mois plus tard. Franck Riester en fut le rapporteur à l’Assemblée nationale. Jamais une loi et une autorité n’auront été autant encensées que maudites.

Alors que le conseiller d’Etat Jean-Yves Ollier doit rendre au ministre de la Culture Franck Riester (photo), qui l’a missionné, son rapport de réflexion sur « l’organisation de la régulation » – fusion Hadopi-CSA ? – dans la perspective de la future loi sur l’audiovisuel, la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) fête ses dix ans. Car il y a en effet une décennie que la loi du 12 juin 2009 « favorisant la diffusion et la protection de la création sur Internet » a porté cette autorité publique sur les fonts baptismaux. Cette loi, dite « Création et Internet » – ou loi « Hadopi » – a donc modifié le code de la propriété intellectuelle (CPI) pour remplacer l’ARMT (1) par l’actuelle Hadopi. Car, face à la montée du piratage sur Internet boosté par les réseaux de partage décentralisés peer-to-peer, le président de la République de l’époque – Nicolas Sarkozy – rêvait d’instaurer des radars automatiques sur Internet en s’inspirant des radars routiers qu’il avait lui-même décidé lorsqu’il était ministre l’Intérieur. Autant ces derniers, installés au nom de la sécurité routière, n’ont jamais fait l’objet d’aucun débat parlementaire (2), autant le dispositif d’infraction dans la lutte contre le piratage sur Internet a âprement été discuté au Parlement.

La tentation de Sarkozy pour des radars du Net
Comme la loi dite DADVSI (3) de 2006 ne prévoyait pas de sanction en cas de piratage, Nicolas Sarkozy, tout juste élu président de la République en mai 2007, et sa ministre de la Culture et de la Communication de l’époque, Christine Albanel, ont entrepris d’y remédier, poussés par les industries culturelles – au premier rang desquelles la musique. C’est ainsi qu’ils ont confié dès juillet 2007 à Denis Olivennes, alors PDG
de la Fnac, une « mission de lutte contre le téléchargement illicite et le développement des offres légales d’œuvres musicales, audiovisuelles et cinématographiques ». Quatre mois et quatre-vingts auditions plus tard, son rapport (4) fut remis à Nicolas Sarkozy et aboutira aux accords dits « Olivennes », « pour le développement et la protection des œuvres et des programmes culturels sur les nouveaux réseaux », appelés aussi
« accords de l’Elysée » car signés justement au Château en présence du chef de l’Etat le 23 novembre 2007.

La censure du Conseil constitutionnel
Les fournisseurs d’accès Internet (FAI) – à savoir France Télécom (devenu Orange), Iliad (maison mère de Free), Neuf Cegetel et Numéricâble (devenus SFR, aujourd’hui groupe Altice), etc. – s’étaient alors engagés auprès des ayants droit et des pouvoirs publics à « expériment[er] des technologies de filtrage des réseaux disponibles (…) et
à les déployer si les résultats s’avèr[ai]ent probants et la généralisation techniquement et financièrement réaliste » (5). Quant aux plateformes d’hébergement et de partage de contenus sur Internet, autrement dit les Google, YouTube et autres Dailymotion, ils ont promis de « généraliser à court terme les techniques efficaces de reconnaissance de contenus et de filtrage » (par empreinte numérique). Très réticents à généraliser le filtrage sur leur réseau, ce qu’exigeaient d’eux les industries culturelles, les FAI feront tout pour ne pas y donner suite. Et les plateformes numériques, elles, rappelleront que le filtrage généralisé contrevient aux directives européennes « E-commerce » de 2000 et « DADVSI » de 2001.
Nicolas Sarkozy, lui, voulait non seulement des « radars » partout sur le Net (6), mais aussi taxer les FAI pour compenser la fin de la publicité sur la télévision publique. Cela faisait beaucoup ! Le spectre du filtrage envenimera les débats au Parlement lors des premiers pas du projet de loi « Olivennes » (encore lui), dont l’arbitre sera in fine le président de la République lui-même. Quant au député (UMP puis LR) Franck Riester, artisan et farouche défenseur de cette future loi controversée « favorisant la diffusion
et la protection de la création sur Internet », il en sera nommé rapporteur à l’Assemblée nationale. Les joutes parlementaires dureront du dépôt du texte le 18 juin 2008 jusqu’à sa version finale du 12 juin 2009, après censure du Conseil constitutionnel.
La loi renvoie les expérimentations de « reconnaissance des contenus et de filtrage »
à leur évaluation par la haute autorité nouvellement instituée par cette loi « Hadopi ». La censure constitutionnelle porta, elle, sur le volet pénal adopté le 13 mai. Le texte prévoyait alors que les sanctions pour piratage – mécanismes d’avertissement et de sanction administrative pouvant aller jusqu’à la suspension de l’accès à Internet pendant une durée d’un mois à trois mois – devaient être prononcées non pas par l’autorité judiciaire (le juge) mais par la seule Hadopi et son bras armé la commission de protection des droits (CPD) – dont Franck Riester sera membre de fin 2009 à fin 2015. Dans leur décision du 10 juin 2019, les sages du Palais-Royal ont reproché au législateur d’enfreindre la Déclaration des droits de l’homme et du citoyen de 1789, laquelle a gravé dans le marbre « la libre communication des pensées et des opinions » (article 11), et de « confier de tels pouvoirs (de sanctions) à une autorité administrative (qui n’est pas une juridiction) dans le but de protéger les droits des titulaires du droit d’auteur et de droits voisins » (7). Résultat : le Parlement a dû non seulement amender sa loi « Hadopi 1 » (8), d’où sa date du 12 juin 2009, mais en plus adopter une loi
« Hadopi 2 » (9) datée du 29 octobre de la même année instaurant « la protection pénale de la propriété littéraire et artistique sur Internet ». Franck Riester est là aussi rapporteur de ce nouveau volet pénal. Cette fois, l’Hadopi ne se voit plus confier de pouvoir de sanction mais une « réponse graduée » qui consiste à envoyer aux abonnés soupçonnés de piratage sur Internet jusqu’à trois avertissements pour « négligence caractérisée », à savoir pour manquement à l’obligation faite à tout abonné auprès d’un FAI de « veiller à ce que cet accès [à Internet] ne fasse pas l’objet d’une utilisation à des fins [de piratage] ».
L’abonné qui n’aurait pas assuré la « sécurisation de son accès à Internet » est donc condamnés par le juge pénal à des amendes pouvant aller jusqu’à 1.500 euros, voire
à la suspension de son accès à Internet pour une durée maximale d’un mois (au lieu
de deux mois à un an initialement prévu). Cette coupure de l’accès, décriée, sera finalement supprimée par décret du 9 juillet 2013 à l’initiative d’Aurélie Filippetti, farouche opposante à la loi « Hadopi » devenue ministre de la Culture et de la Communication, et de la ministre de la Justice, Christiane Taubira. La fameuse contravention de cinquième classe, dite de « négligence caractérisée », fut officiellement introduite dans le CPI par un décret d’application daté 25 juin 2010.
C’est donc avec retard (10) que l’Hadopi – pourtant installée depuis le début de cette année-là – mettra en route sa « réponse graduée » avec l’aide de la toujours très discrète société nantaise TMG (11) (*) (**).

In fine, 243 condamnations depuis 2010
Les envois d’avertissements ont commencé en septembre 2010. Depuis, l’Hadopi
a expédié plus de 11,1 millions de premiers e-mails (cumul au 31 mars 2019), suivis
de plus de 1 million de deuxième avertissement, et a transmis 3.795 dossiers à
la Justice, dont 1.318 ont donné lieu à une suite pénale – pour 243 condamnations (12). Tout ça pour ça, diront certains. Il faut dire qu’en une décennie, les usages se sont déplacés des réseaux peer-to-peer – où l’Hadopi est compétente – vers le streaming qui échappe encore à ses prérogatives. @

Charles de Laubier

La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?

Publié le par

Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?

Par Corentin Pallot, Hervé Castelnau et Marie-Hélène Tonnellier – Latournerie Wolfrom Avocats

Ces dernières années, les médias ont été les victimes directes ou indirectes de plusieurs cyberattaques. On se souvient notamment, en avril 2015, de l’arrêt de la diffusion de TV5 Monde qui avait, à l’époque, fait grand bruit. Ayant fait face à une
« agression fulgurante, qui a probablement été très bien préparée », le directeur informatique de TV5 Monde s’était en effet trouvé forcé de « tout couper », occasionnant un coût de « dix millions d’euros à la chaîne et le rehaussement du niveau de sécurité confié à la filiale cyber d’Airbus, [engendrant ainsi] une dépense
de 3,5 millions d’euros chaque année ».

DoS/DDoS et droit pénal
Trois mois plus tôt, en janvier 2015, Le Monde annonçait que l’Armée électronique syrienne (SEA) avait tenté de prendre le contrôle du compte Twitter de Lemonde.fr
et avait réussi à s’infiltrer dans son outil de publication, puis essayé de diffuser des articles, en vain. Mais quelques jours plus tard, la SEA réussissait finalement à pirater le compte Twitter du Monde et publiait quelques messages (1). Peu de temps après, Lemonde.fr faisait l’objet d’une attaque par « déni de service » – aussi connue sous l’acronyme DoS pour « Denial of Service ». En 2016, une cyberattaque contre une société chargée de rediriger les flux Internet vers les hébergeurs empêchait l’accès à de prestigieux médias américains comme CNN, le New York Times, le Boston Globe,
le Financial Times ou encore The Guardian.
En mai 2017, le prestataire français Cedexis racheté en février par l’américain Citrix
et chargé d’aiguiller une partie du trafic Internet, était la cible d’une attaque DDoS (Distributed Denial of Service). S’en suivait la perturbation de l’accès à de nombreux sites web, parmi lesquels ceux du Monde, de L’Obs, du Figaro, de France Info, de 20 Minutes ou encore de L’Equipe.
Pourtant, sur le papier, l’arsenal répressif français permettant de lutter contre les infractions informatiques se présente particulièrement étoffé. Certaines atteintes commises sur (ou via) des moyens numériques peuvent bien entendu être réprimées par le droit pénal général (vol pour sanctionner le détournement de données, escroquerie pour condamner le phishing, recel de contrefaçon de logiciels, etc.).
Mais le code pénal prévoit également un nombre conséquent de textes spécifiquement destinés à encadrer l’usage des outils informatiques. Pionnière en la matière, la loi
« Godfrain » du 5 janvier 1988 (2) permet ainsi de lutter contre les « atteintes aux systèmes de traitement automatisé de données » (accès frauduleux à un serveur, modification des informations contenues dans un ordinateur, etc.). Mais il y a beaucoup d’autres exemples de textes répressifs dédiés au numérique, comme les sanctions spécifiques en matière de pédopornographie lorsqu’il y a utilisation d’un réseau de communications électroniques (3), l’infraction constituée par le défaut de mentions légales sur un site Internet (4), l’atteinte au secret des correspondances émises par voie électronique (5), etc. La décision rendue le 7 novembre 2017 par la chambre criminelle de la Cour de cassation pourrait laisser penser que la justice se saisit avec fermeté de ces sujets, en n’hésitant pas à sanctionner des individus qui auraient participé, même indirectement, à des cyberattaques. En l’espèce, un individu avait
mis à disposition des internautes un «WebIRC » (IRC pour Internet Relay Chat, un protocole de communication textuelle sur Internet) sur un serveur dont il était locataire et gestionnaire, afin de leur faciliter l’accès à des sites web de discussion. Cet IRC avait facilité la conduite d’une attaque par déni de service dirigée contre EDF, sur fond de protestations contre le nucléaire. En effet, parmi les sites Internet qu’il référençait, figuraient ceux utilisés par des membres Anonymous, et notamment un site web dédié aux discussions sur les modalités concrètes d’opérations du mouvement « hacktiviste » contre EDF, parmi lesquelles une attaque par déni de service.

Atteinte à un système informatique
L’individu en question ne contestait pas les faits ; il avait même affirmé à l’audience avoir ressenti de la fierté lorsqu’il avait appris que des Anonymous avaient cité son WebIRC comme moyen d’accès au forum de discussion du groupement pour une autre opération contre EDF. Il n’ignorait d’ailleurs pas l’opération qui était mise au point sur
le site web de discussion qu’il hébergeait. Toutefois, l’homme n’avait pas pris part à la cyberattaque ; il affirmait en outre désapprouver les attaques DoS. Il assurait aussi ne pas avoir participé activement à la définition des modalités des actions d’entrave contre EDF et ne pas nécessairement les approuver, n’étant personnellement pas opposé au nucléaire. Pour reprendre les termes de la Cour de cassation, cette personne se présentait avant tout comme « un acteur de mise en relation [n’ayant] agi que dans
le but de favoriser un usage flexible et libre d’Internet [et ne maîtrisant pas] l’utilisation [des sites web accessibles via son serveur] par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux ». Confirmant la position de la cour d’appel de Paris, la Cour de cassation a considéré que ces éléments étaient suffisants pour sanctionner l’individu sur le fondement de la « participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions » d’atteinte à un système de traitement automatisé de données (6), validant ainsi sa condamnation à une peine de deux mois d’emprisonnement assortis d’un sursis avec mise à l’épreuve.

Finalement, de rares condamnations
Le champ d’application de cette infraction, qui se trouve être une transposition dans la sphère numérique de l’ancienne « association de malfaiteurs », a été ici sensiblement étendu par les magistrats. En effet, la jurisprudence et la doctrine considéraient jusqu’alors qu’il était nécessaire que le groupement ou l’entente ait été constitué en vue de la préparation d’une atteinte à un système de traitement automatisé de données ou, à tout le moins, qu’il ait « à un moment donné eu pour but de préparer la commission » (7). Ce qui n’était pas tout à fait le cas ici. Faut-il y voir une forme de sévérité de l’appareil judiciaire à l’égard des hackers ? Peut-être, certes, sur le plan de l’interprétation de la loi. Pour autant, les poursuites et les condamnations reposant sur ces outils répressifs se révèlent en en réalité particulièrement rares.
Dans un rapport interministériel (8), datant certes de 2014 (mais l’on peut sérieusement douter d’une véritable amélioration), on apprenait ainsi qu’entre 2008 et 2012, seules environ 2.000 infractions par an étaient prononcées sur des fondements de droit pénal spécial du numérique (entendu au sens large, incluant par exemple des infractions au droit de la presse, des atteintes aux données personnelles, de la captation frauduleuse de programmes télédiffusés, des atteintes à la propriété intellectuelle, …). Et en regardant en détail ces statistiques, on s’aperçoit que certaines pratiques réprimées par le code pénal sont particulièrement peu sanctionnées. Ainsi, sur l’année 2012, seules 182 condamnations pour des atteintes à des systèmes de traitement automatisé de données – les attaques les plus fréquentes et les plus perturbantes pour les médias – étaient prononcées. Lorsque l’on sait qu’une étude de PwC estime à 4.165 le nombre de cyberattaques « détectées » en France en 2016, pour un montant moyen de pertes financières estimé dans chaque cas à 1,5 million d’euros (9), on ne peut que s’étonner et regretter que l’Etat ne se soit pas encore doté de véritables moyens techniques, financiers et surtout humains pour lutter opérationnellement contre ces pratiques qui entravent l’économie. A quoi sert en effet de disposer d’un arsenal répressif aussi puissant s’il n’y pas assez de soldats formés pour en faire usage ? Il paraît difficilement acceptable que les entreprises soient, à ce jour, livrées à elles-mêmes et à des solutions techniques coûteuses : selon un rapport d’Accenture de 2017, les coûts induits par la cybercriminalité auraient augmenté de 62 % en cinq ans (10) pour les entreprises, sans qu’elles puissent compter sur un véritable soutien de l’Etat. D’autant que – en plus des conséquences financières qui pèsent nécessairement sur l’économie – d’autres intérêts fondamentaux sont en jeu comme le respect de la liberté d’expression, clairement mis à mal quand les médias sont la cible de cyberattaques. Finalement, plutôt qu’un arsenal répressif objectivement difficile, voire irréaliste, à mettre en oeuvre a posteriori (difficultés techniques de l’expertise, problématiques d’extranéités inhérentes à Internet, etc.), ne devrait-on pas envisager des solutions plus réalistes et efficaces qui conjugueraient intelligemment droit et technique ?
En ce sens, voilà quelques semaines, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), faisait le constat suivant : « dans le cas d’une attaque massive de déni de service distribué […] les opérateurs sont les seuls
à pouvoir agir » (11). Quelques jours plus tard était présenté le projet de loi de programmation militaire (LPM) pour les années 2019 à 2025, avec des mesures qui visent à détecter les attaques massives au niveau des réseaux – et donc avant qu’elles ne puissent atteindre leurs cibles. Notamment, la mesure phare consiste à autoriser
les opérateurs télécoms à mettre en place des marqueurs techniques de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. LMP 2019-2025 : le rôle des « telcos » Si ce texte « LMP 2019-2025 » passe le filtre du Parlement (12), où il commencera à être débattu à l’Assemblée nationale à partir du 20 mars 2018, l’ANSSI pourra également imposer aux opérateurs télécoms d’avoir recours à ses propres marqueurs lorsqu’elle aura eu connaissance d’une menace. De plus, ces « telcos » seront tenus d’informer l’ANSSI des vulnérabilités
des attaques qu’ils auront détectées, et elle pourra même aller jusqu’à imposer aux opérateurs de réseaux et/ou aux fournisseurs d’accès à Internet (FAI) d’alerter leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information. @

La prescription pénale des délits de presse sur Internet : la croisade du Sénat continue

Publié le par

La loi du 27 février 2017 sur la prescription en matière pénale ne modifie pas le délai de prescription des délits de presse sur Internet (trois mois), malgré une énième tentative du Sénat repoussée par l’Assemblée nationale. Au-delà de l’opposition entre les deux chambres, le problème demeure.

Fabrice Lorvo*, avocat associé, FTPA.

Après avoir modifié les délais de la prescription civile (1) à la baisse (2), le législateur vient de réformer les délais de
la prescription pénale (3) en les doublant. Ainsi, le délai de prescription de l’action publique passe de dix à vingt ans en matière criminelle et de trois à six ans pour les délits de droit commun. Pour les infractions occultes ou dissimulées, le délai de prescription démarre à compter du jour où l’infraction a été constatée. Ce délai ne peut toutefois pas excéder trente années révolues pour les crimes et douze années révolues pour les délits à compter du jour où l’infraction a été commise.

Délais de trois mois sur Internet
Lors des débats parlementaires, il a été tenté une nouvelle fois d’allonger, de trois mois à un an, le délai de prescription des délits de presse sur Internet. Cette tentative du Sénat a été, à nouveau, repoussée par l’Assemblée nationale. Il s’agit d’un nouvel épisode d’une opposition entre les deux chambres sur cette question mais le problème demeure. La liberté d’expression est une liberté fondamentale reconnue et protégée
par le droit (4). Cette liberté n’est ni générale, ni absolue. Elle peut être limitée sous certaines conditions (5). En droit français, la loi sur la liberté de la presse (6) fixe la liste limitative des abus de la liberté d’expression et sanctionne notamment la diffamation et l’injure. Cependant, cette sanction n’est possible que si l’action est engagée dans un délai de trois mois (à compter de la publication des propos contestés). À défaut, l’action publique comme l’action civile sont prescrites et la victime ne peut plus agir dès lors que d’autres voies, comme l’ancien article 1382 du Code civil, ne sont pas applicables aux abus de la liberté d’expression. La prescription pénale a pour finalité de « garantir la sécurité juridique en fixant un terme aux actions, mettre les défendeurs potentiels
à l’abri de plaintes tardives peut-être difficiles à contrer, et empêcher l’injustice qui pourrait se produire si les tribunaux étaient appelés à se prononcer sur des événements survenus loin dans le passé à partir d’éléments de preuve auxquels on ne pourrait plus ajouter foi et qui seraient incomplets en raison du temps écoulé. » (7). En matière de presse, la prescription a pour objet et pour effet de protéger la liberté d’expression. Cette courte prescription, qui serait la plus courte d’Europe, est justifiée par le fait qu’on ne peut apprécier le caractère abusif d’une expression qu’au moment où elle est exprimée. Un rapport sénatorial (8) rappelle que l’exposé des motifs d’une des lois précédant la loi sur la liberté de la presse de 1881 (9) indiquait : « Il est dans la nature des crimes et délits commis avec publicité, et qui n’existent que par cette publicité même, d’être aussitôt aperçus et poursuivis par l’autorité et ses nombreux agents. (…) Elle serait tyrannique la loi qui, après un long intervalle, punirait une publication à raison de tous ses effets possibles les plus éloignés, lorsque la disposition toute nouvelle des esprits peut changer du tout au tout les impressions que l’auteur lui-même se serait proposé de produire dès l’origine. » La loi de 1881, quant à elle, fait référence dans
son exposé des motifs à la nature éphémère de l’actualité : « Ainsi, la rapidité avec laquelle les circonstances viennent à changer, peut faire perdre, dans un très court
laps de temps, à un écrit, tout ou partie de sa force injurieuse. Les articles des journaux, les discours des hommes politiques, sont lus, écoutés le jour même et oubliés le lendemain. L’idée de l’oubli, fondement de toute prescription, joue ici au maximum, renforcée par la rapidité avec laquelle s’efface l’impression produite par la nouvelle
du jour ». Ce mécanisme applicable à la presse écrite a été purement et simplement transposé à la publication en ligne.

Plusieurs tentatives d’allonger depuis 2004
Notons cependant que les juges du fond avaient néanmoins tenté de faire du délit de presse sur Internet un délit continu (et non plus un délit instantané). En effet, une cour d’appel avait considéré que le point de départ de la prescription devait être repoussé
à la date à laquelle les propos litigieux avaient été mis hors ligne. Cette analyse a été écartée par trois décisions de la Chambre criminelle de la Cour de cassation en 2001 (10) qui fixent le point de départ du délai de prescription à la date du premier acte de publication (11). Dès lors, le législateur, et notamment le Sénat, tente régulièrement d’allonger cette prescription, essentiellement pour les propos tenus, en ligne, par les non professionnels. La première tentative date de 2004, lors de l’adoption de la loi
« Confiance dans l’économie numérique ». Il avait été prévu de distinguer deux types de prescription : une pour les propos publiés en même temps sur le support informatique et le support papier, et une pour les propos publiés uniquement sur le support informatique. Dans ce dernier cas, l’action publique et l’action civile devaient se prescrire après le délai de trois mois courant à compter de la date à laquelle les propos litigieux avaient été mis hors ligne.

Le Sénat toujours et encore insatisfait
Une telle solution a été déclarée inconstitutionnelle (12) dès lors qu’elle méconnaissait le principe d’égalité devant la loi. En effet, selon le Conseil constitutionnel, « la différence de régime instaurée, en matière de droit de réponse et de prescription,
par les dispositions critiquées dépasse manifestement ce qui serait nécessaire pour prendre en compte la situation particulière des messages exclusivement disponibles
sur un support informatique ».
Dès 2007, un rapport sénatorial, qualifiait cette situation d’insatisfaisante (13).
En 2008, le Sénat a adopté une proposition de loi tendant à « allonger le délai de prescription de l’action publique pour les diffamations, injures ou provocations commises par l’intermédiaire d’Internet » (14) qui portait à un an la prescription pour
les articles publiés en ligne « sauf en cas de reproduction du contenu d’une publication de presse légalement déclarée ». Cette proposition a été déposée sur le bureau de l’Assemblée nationale une première fois le 5 novembre 2008 et une seconde fois le
2 juillet 2012. Elle n’eut pas de suite. En avril 2016, lors de la discussion de la loi pour une République numérique (15), le Sénat a proposé un amendement fixant la prescription à un an pour les publications en ligne. Cet amendement a été rejeté.
En juillet 2016, un rapport sénatorial (16), proposait, de nouveau, d’allonger ledit
délai. En 2017, une nouvelle tentative infructueuse a été faite par le Sénat lors de la discussion sur la loi relative à l’égalité et à la citoyenneté (17). L’amendement a été rejeté par l’Assemblée nationale. La dernière tentative infructueuse a été faite lors de
la discussion de la loi portant réforme de la prescription en matière pénale. La question de l’allongement de la prescription pour les propos tenus sur Internet par des non professionnels reste une préoccupation majeure du Sénat. On ne peut que saluer l’assiduité des sénateurs. Il s’agit d’une réalité puisque d’un côté, n’importe qui peut mettre en cause n’importe qui, sur Internet et les réseaux sociaux, et ce durablement pour ne pas dire éternellement dès lors que le support numérique est impérissable (à
la différence du support papier) et immédiatement accessible (à cause des moteurs de recherche). Chaque citoyen peut donc être durablement marqué numériquement par un propos excessif s’il n’a pas agi dans les trois mois. D’un autre côté, il n’est pas envisageable – que ce soit politiquement ou juridiquement – de modifier la loi de la presse pour les journalistes qui sont soumis à une déontologie professionnelle. Serions-nous confrontés à une nouvelle quadrature du cercle numérique ? A titre de piste de réflexion, on rappellera que le Conseil constitutionnel considérait en 2004 que « la prise en compte de différences dans les conditions d’accessibilité d’un message dans le temps, selon qu’il est publié sur un support papier ou qu’il est disponible sur un support informatique, n’est pas contraire au principe d’égalité ». Il était donc considéré uniquement que la différence de régime à instaurer ne devait pas dépasser ce qui était manifestement nécessaire. Il convient donc de poursuivre l’exploration de cette voie et de rechercher une solution proportionnelle. On doit aussi se demander si la solution attendue par le public est réellement celle de l’allongement du délai de prescription. En pratique, les victimes qui ont laissé passer les trois mois de la prescription souhaitent moins une sanction de l’auteur présumé de l’abus de la liberté d’expression que de faire disparaître le propos litigieux. Plus précisément, le souci des victimes n’est pas de faire effacer les propos sur Internet mais plutôt d’éviter que le propos litigieux soit éternellement associé à leur son nom ou à leur raison sociale lors d’une recherche.

Courte prescription et liberté d’expression
La sagesse est de ne pas toucher à la liberté d’expression et de conserver ce régime de prescription très courte. Elle est le garant de cette liberté fondamentale, qui est le chien de garde de la démocratie. A l’inverse, à l’expiration du délai de trois mois, chacun, que ce soit une personne physique ou une personne morale, devrait avoir le droit d’obtenir, d’un moteur de recherche, sur simple demande, le déréférencement d’un propos excessif apparaissant lors d’une recherche faite à partir de son nom ou de sa raison sociale. @

* Auteur du livre
« Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

Protéger l’innovation et le patrimoine informationnel : une entreprise avertie en vaut deux

Publié le par

Depuis la directive européenne « Attaques contre les systèmes d’information »
de 2013, censée être transposée par les Ving-huit depuis le 4 septembre 2015,
les entreprises – et leurs-traitants – doivent redoubler de vigilance contre la cybercriminalité aux risques démultipliés. L’arsenal français est renforcé.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

L’innovation à l’ère numérique peut revêtir plusieurs formes :
un nouveau brevet, un concept commercial, un logiciel, des informations stratégiques, des bases de données, de la musique, des films, … Certaines de ces données bénéficient d’une protection légale : le droit d’auteur pour les logiciels, les vidéos, les œuvres multimédia… ; le droit des marques pour les noms de domaine,
les logos… ; la loi informatique et libertés pour les données personnelles, le droit des brevets pour les inventions, …

Preuve de la titularité des droits
La protection est parfois assujettie à des formalités légales : l’enregistrement des brevets, des dépôts de marques, des noms de domaine ou encore les formalités auprès de la Cnil (1). Parfois, la protection est acquise de plein droit mais il faudra justifier de certaines conditions en cas de contestation : l’« originalité » pour l’oeuvre logicielle ou encore l’« investissement financier, matériel ou humain substantiel » pour les bases de données (2). Il faudra en tout état de cause établir la preuve de la titularité des droits, ce qui peut exiger des précautions telles que le dépôt des codes sources pour lui donner date certaine, ou encore un contrat pour encadrer les conditions de cession
des données concernées.
Mais la protection n’est pas systématique, comme l’illustre si bien le long débat législatif sur le secret des affaires qui n’a pas encore permis de trouver de solution (3), ouvrant la voie au détournement de données stratégiques pour l’entreprise. S’il est désormais acquis que la valeur de l’entreprise réside en grande partie dans son patrimoine informationnel, la question de la protection de ces données est d’autant plus cruciale que l’entreprise, pour être compétitive, doit vivre à l’heure du big data, de l’open data, du cloud, du logiciel libre (open source), des API (4) et des objets connectés.
Comment, dans cet environnement, lutter contre la malveillance ou tout simplement la négligence ?
Une enquête réalisée par le cabinet d’étude britannique Vanson Bourne pour EMC, réalisée entre août et septembre 2014 sur des décideurs informatiques au sein d’entreprises employant plus de 250 personnes (pour un total de 3.300 personnes dans 24 pays), a révélé que 64 % des entreprises concernées avaient déclaré avoir
été victime(s) de pertes de données ou d’interruptions d’activité dans le cours de l’année 2014. Ce qui correspond à une moyenne de trois jours ouvrés d’interruption
non planifiée. Ces entreprises auraient subi un préjudice de 1,7 milliards de dollars.

Si les entreprises sont confrontées à des risques en provenance de l’extérieur (piratage, vol de données, fraude, virus, phishing, usurpation d’identité, …), il faut constater que les défaillances sont le plus souvent le résultat de négligences internes : non respect des règles de sécurité, notamment dans la gestion des badges d’accès ou des codes, divulgations non autorisées de données, erreurs de manipulations, …, manque de formation, d’information, de sensibilisation, etc.
L’exemple de la recherche et du développement – secteur d’investissement et d’innovation par nature – en est une bonne illustration. En effet, les travaux menés
par les chercheurs le sont parfois en mode collaboratif sur des réseaux non sécurisés, voire non conservés dans les serveurs de l’entreprise, exposant à la perte des investissements. De même, la publication ou l’utilisation d’API ouvrent des fenêtres sur les systèmes d’information des entreprises et organisations, et engendrent des risques liés à la sécurité, notamment d’atteintes aux données (intrusion, captation, …).

Directive contre la cybercriminalité
Le chef d’entreprise a l’obligation d’assurer la sécurité de l’entreprise. Cette obligation devrait être renforcée dans les années à venir avec la directive européenne « Attaques contre les systèmes d’information » du 12 août 2013.
Cette directive visant à combattre la cybercriminalité (5), qui devait être transposée par les Vingt-huit avant le 4 septembre 2015 (6), encourage les Etats membres à prévoir
« dans le cadre de leur droit national, des mesures pertinentes permettant d’engager
la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques » (considérant 26). Mais au-delà de cette obligation générale, le chef d’entreprise peut être tenu, pour certaines catégories de données, à des obligations légales spécifiques. Tel est le cas pour les données à caractère personnel pour lesquelles il est tenu de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (7).
Le manquement à cette disposition légale est sanctionné de cinq ans de prison et de 300.000 euros d’amende (8).

Obligations des entreprises
L’entreprise, elle, doit également veiller au respect de cette obligation par ses sous-traitants (9), au risque d’être sanctionnée. Ainsi, une société distribuant des produits optiques a été condamnée par la Cnil à une sanction de 50.000 euros pour avoir, entre autres, manqué à son obligation d’assurer la sécurité et la confidentialité gérées par
un de ses sous-traitants. La Cnil relève que « le contrat entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données » (10).
Sur ce point également, le prochain règlement européen sur la protection des données à caractère personnel (« Privacy »), devrait renforcer les obligations en prévoyant une obligation de notification des failles de sécurité à toutes les personnes concernées, ainsi qu’une obligation d’informer l’autorité de contrôle de toute violation « sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance ». Au-delà du délai de 24 heures, l’entreprise devra nécessairement justifier son silence.
Par ailleurs, les opérateurs d’importance vitale (OIV) sont tenus de respecter des règles de sécurité spécifiques (11). Leur non-respect les expose à des sanctions pénales (12). Les OIV ont également l’obligation d’informer sans délai le Premier ministre de tout incident affectant le fonctionnement ou la sécurité des systèmes d’information (13).

Enfin, on rappellera que le Référentiel général de sécurité (RGS) – afin d’instaurer
la confiance dans les échanges au sein de l’administration et avec les citoyens – s’impose aux administrations et aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information (arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en oeuvre de la procédure
de validation des certificats électroniques). Plus généralement, on rappellera que l’arsenal français est complet avec plusieurs infractions répertoriées dans le Code pénal. Le vol (14) de données est cependant rarement reconnu par la jurisprudence puisque les éléments constitutifs de l’infraction ne sont pas réunis : dans la mesure
où la donnée n’est pas une « chose », il n’y a pas de « soustraction frauduleuse de la chose d’autrui ».
En revanche, le recel (15) peut être invoqué à la condition que les données atteintes soient fixées sur un support physique. Même si le recel d’informations sans support matériel a pu être admis dans des arrêts anciens, la jurisprudence actuelle ne suit
pas cette tendance. De même, l’abus de confiance (16) est souvent utilisé à l’encontre de salariés ayant détourné des fichiers informatiques à des fins personnelles, en contradiction avec, notamment, la Charte informatique de l’entreprise. Enfin, l’usurpation d’identité numérique (17), utilisée depuis peu, a conduit récemment à la condamnation d’une personne s’étant fait passer pour l’ancien associé d’une entreprise afin de créer des adresses courrielles et des profils sur les réseaux sociaux. De même, c’est sur ce fondement qu’a été sanctionnée la personne ayant créé un faux site web permettant aux internautes de publier au nom d’une personne publiques des communiqués au contenu diffamatoire.

Infractions et Cheval de Troie
Enfin, les atteintes aux STAD (18) répertorient toute une série d’infractions : le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD, le fait d’entraver ou fausser le fonctionnement d’un STAD, le fait d’introduire frauduleusement des données dans un STAD, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement les données qu’il contient, ou encore le fait de – sans motif légitime – importer, détenir, offrir, céder ou mettre à disposition un équipement, instrument, programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 232-1 à 323-3 du Code pénal, comme par exemple le Cheval de Troie.
Il convient de signaler que dans un arrêt récent (19), la Cour d’appel de Paris a relaxé un internaute ayant accédé à un système de traitement automatisé de données (STAD) dont la sécurité défaillante avait permis l’accès aux données, mais l’a condamné pour maintien frauduleux, ayant constaté qu’il avait réalisé des opérations de chargement alors qu’il existait un contrôle d’accès dont il n’avait pu ignorer l’existence On rappellera que la voie pénale n’exclut pas une action civile pour obtenir des dommages intérêts. @

* Christiane Féral-Schuhl,
ancien bâtonnier du Barreau de Paris.