L’usurpation d’identité numérique n’est pas un phénomène nouveau. Ce type d’escroquerie sur internet, visant à se faire passer pour un autre (entreprise, administration) pour accéder à des données ou des comptes bancaires et détourner des fonds, ou porter atteinte à la réputation d’une entreprise ou d’une personne physique s’est développé parallèlement à l’essor de l’internet. En ces périodes troublées, le détournement de comptes bancaires pour en soutirer les fonds, ou de comptes personnels sur les réseaux sociaux à des fins de propagande par exemple, est plus que jamais un phénomène d’actualité.
Avant l’entrée en vigueur de la loi LOPPSI II, adoptée le 14 mars 2011, la victime d’une usurpation d’identité sur internet ne pouvait poursuivre l’auteur de l’infraction que sur des fondements généraux du droit pénal, tels l’escroquerie, la prise du nom d’un tiers aux fins de commission d’une infraction pénale (ex. diffamation, escroquerie), l’atteinte à un traitement automatisé de données, l’atteinte à la vie privée et l’atteinte au droit à l’image.
La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. (1)
La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web. (2)
Toutefois, la collecte des preuves, et surtout, l’identification de l’auteur du délit reste un obstacle difficile à surmonter pour la victime souhaitant engager des poursuites.
Nous analysons ci-dessous les aspects spécifiques de la notion d’usurpation d’identité numérique puis les moyens de défense dont disposent les victimes.
1. La notion d’usurpation d’identité numérique
1.1 La définition légale
L’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tous autres éléments permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion et son périmètre.
L’usurpation d’identité “numérique”, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). (3)
Le préjudice effectif ou éventuel s’analyse en un trouble de la tranquillité de la personne dont l’identité est usurpée ou celle d’un tiers, ou en une atteinte à son honneur ou à sa réputation.
L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000€ d’amende. La condamnation peut atteindre 75.000€ lorsque l’auteur de l’infraction est une personne morale.
1.2 Usurpation d’identité numérique : phishing, faux sites web et faux profils
L’usurpation d’identité numérique peut porter préjudice à deux catégories de victimes :
- la personne dont l’identité a été usurpée : l’auteur de l’infraction nuit à son image, à sa réputation, à sa marque ou trouble sa tranquillité ;
- le tiers trompé : l’auteur de l’infraction induit l’internaute en erreur et lui soutire des informations et/ou de l’argent.
L’usurpation d’identité numérique est généralement commise de deux manières : par la technique du phishing (ou hameçonnage), ou par la création d’un faux site web ou d’un faux profil sur un service de réseau social.
Le phishing ou hameçonnage
Le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques de la marque, en vue d’obtenir de la part d’internautes trompés, des informations personnelles (identifiants, mots de passe ou coordonnées bancaires). Ces informations sont ensuite utilisées pour accéder à leurs comptes et effectuer des opérations sous l’identité de l’internaute (virement, souscription d’un crédit, abonnement). (4)
Par exemple, dans un jugement rendu le 21 septembre 2005, le Tribunal de grande instance de Paris a condamné un internaute pour contrefaçon de marque et contrefaçon d’un site web. Ce dernier avait imité la page d’enregistrement du service Microsoft MSN Messenger, et sa marque figurative (le papillon MSN), pour obtenir des données personnelles des personnes au moment de leur enregistrement sur le service. (5)
La création d’un faux site web ou d’un faux profil sous l’identité d’une tierce personne
L’usurpation d’identité numérique est également réalisée via la création d’un faux site web, reprenant à l’identique les composants d’un site “légitime” (charte graphique, reproduction de tout ou partie du contenu, etc.). Cette technique est souvent liée à une “campagne” de phishing.
La création d’un faux site web ou d’un faux profil a pour objet ou pour effet de porter atteinte à l’honneur ou à la réputation du titulaire du site ou du profil, personne physique ou morale.
1.3 Le jugement du 18 décembre 2014
Le Tribunal de grande instance de Paris a rendu un premier jugement le 18 décembre 2014 condamnant l’auteur d’une usurpation d’identité numérique sur le fondement de l’article 226-4-1 du Code pénal.
Dans cette affaire, un informaticien avait créé un faux "site officiel" de la députée-maire Rachida Dati. Le faux site reprenait la photo de Rachida Dati ainsi que la charte graphique du site officiel et permettait aux internautes de publier des commentaires sous la forme de communiqués de presse, soi-disant rédigés par Rachida Dati, mais au contenu trompeur. L’internaute se trouvait en réalité sur le site officiel, très similaire au faux site. L’auteur de cette usurpation avait utilisé une faille de sécurité du site de la députée-maire, permettant d'y injecter du code indirect (opération dite "XSS" ou cross-site scripting).
Le directeur du Cabinet de Madame Dati a déposé plainte contre X pour usurpation d’identité sur support numérique et atteinte aux systèmes de traitement automatisé de données. L’enquête, menée par la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), a permis d’identifier l’auteur des agissements.
Dans un jugement du 18 décembre 2014, le TGI de Paris a retenu les deux chefs d’accusation à l’encontre du prévenu. Le Tribunal considère en effet, que l’identité de Madame Rachida Dati avait été numériquement usurpée, dans la mesure où “ces mentions [“je vous offre un communiqué…" ou “merci pour ce geste citoyen “], aux côtés du nom de Madame Rachida Dati et sur un site reprenant la photographie officielle de la député-maire, sa mise en page et sa charte graphique, ne peut que conduire l’internaute à opérer une confusion avec le site officiel de celle-ci“.
Par ailleurs, le Tribunal a retenu que l’auteur du faux site avait mis en place un dispositif permettant la mise en ligne par les internautes de faux communiqués au contenu sexiste et dégradant. Or, en sa qualité de modérateur du site, il avait la possibilité de fermer son site ou de désapprouver les termes des commentaires mis en ligne par les internautes.
Le prévenu a également été considéré coupable d’introduction frauduleuse de données dans un système de traitement de données, du fait d'avoir exploité la faille de sécurité du site officiel pour y introduire des instructions dans le but d’en modifier son comportement. L’ensemble de ces éléments entraînant la confusion avec le site officiel de la femme politique, l’internaute a été reconnu coupable d’usurpation d’identité numérique. Condamné à une amende de 3.000€, l’auteur du faux site a fait appel de la décision.
Le fournisseur d’hébergement a quant à lui été reconnu complice de cette infraction.
2. Les moyens de défense à la disposition des victimes
2.1 Pour la personne usurpée
Face à ce type d’agissement, il est possible de prendre des mesures proactives, ou en cas de constatation d’une infraction, de prendre des mesures en réaction.
Les institutions fournissent des recommandations, proactives - concernant la sécurité des comptes personnels, et réactives - concernant les mesures de retrait de contenu ou de dépôt de plainte.
L’Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet) fournit une série de recommandations aux fins d’éviter l’usurpation d’identité numérique. Ces recommandations, qui relèvent souvent du bon sens, consistent notamment, à utiliser des mots de passe complexes et de ne pas les communiquer à des tiers, activer les protections anti-phishing existant dans certains navigateurs web, éviter de se connecter sur des sites sensibles (sites de banques ou de vente en ligne) dans les lieux publics ou chez des tiers, ne pas répondre à des emails provenant de prétendus organismes de confiance et demandant de communiquer mots de passe ou autres coordonnées personnelles confidentielles, ne jamais cliquer sur les liens ni ouvrir les documents contenus dans ces messages, etc. (6)
Si des informations d’identification ont été publiées sans autorisation et/ou détournées, le responsable du site sur lequel ces informations ou données sont publiées doit être contacté pour en demander leur suppression. A cet effet, la CNIL (Commission nationale de l’informatique et des libertés) propose sur son site des modèles de courriers pour formuler cette demande. (7) A défaut de réponse, il conviendra alors de porter plainte en ligne via le site de la CNIL. La Commission aide ainsi à la suppression des informations détournées et à la récupération de l’accès à sa messagerie électronique. (8)
2.2 Les moyens de preuve à l’appui d’une action en usurpation d’identité numérique
La difficulté à identifier l’auteur de l’infraction
Il existe encore peu de décisions judiciaires condamnant ces pratiques. La victime se heurte en effet à deux difficultés majeures : l’identification des auteurs de l’escroquerie, rendue difficile notamment à cause des procédés d’anonymisation ; et la localisation de l’auteur. Lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci est souvent situé à l’étranger, rendant les poursuites difficiles et la procédure coûteuse.
Comme mentionné ci-dessus, la victime d’une usurpation d’identité numérique peut adresser une plainte à la CNIL. Elle peut également porter plainte soit auprès des forces de l’ordre (police ou gendarmerie), soit directement auprès du procureur de la République.
Afin que l’affaire ne soit pas classée sans suite, il est fortement recommandé de fournir des éléments de preuve remontant jusqu’à l’auteur de l’infraction. A cette fin, la victime peut contacter le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction.
Les moyens de preuve
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires” (article 6 II). (9)
Ainsi, à la demande de l’autorité judiciaire, FAI et hébergeurs doivent transmettre toute information en leur possession, nécessaire à la constitution du dossier, dans le respect des délais de prescription. Il est à noter cependant que, suivant les catégories de données concernées, différents délais de prescription s’appliquent. Ainsi, les données de connexion ne seront conservées que pendant un an.
Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites.
Une infraction “autonome”
Depuis la LOPPSI II, le délit d’usurpation d’identité numérique est une infraction autonome. Ainsi, le seul fait de commettre un acte de phishing, même sans accès effectif aux comptes dont les données ont été récupérées, est suffisant pour être qualifié d’acte d’usurpation d’identité numérique. Il n’est donc pas obligatoire de rapporter la preuve selon laquelle l’usurpation a été commise en vue de la réalisation d’une infraction (telle que le détournement de fonds ou l’apologie du terrorisme par exemple).
Le législateur exige cependant un dol spécial : l’accusation doit rapporter la preuve que l’usurpateur a agi en vue de troubler la tranquillité de la personne dont l’identité est usurpée ou de celle d’un tiers, ou afin de porter atteinte à son honneur ou à sa considération.
Toutefois, le législateur n’impose pas de prouver une répétition des agissements fautifs, alors que la rédaction initiale de l’article 226-4-1 al. 2 dans le projet de loi LOPPSI II avait prévu une condition de réitération.
Une infraction “instantanée”
L’usurpation d’identité numérique étant un délit, la victime dispose d’un délai de prescription de trois ans pour agir. Le délit d’usurpation d’identité numérique est une infraction instantanée : le point de départ du délai de prescription se situe au jour où l’identité a été usurpée.
Cependant, comme mentionné plus haut, il convient d’agir sans attendre. En effet, selon les catégories de données concernées, différents délais de prescription peuvent avoir pour conséquence que certaines d’entre elles ne seront plus disponibles au moment de la constitution du dossier.
* * * * * * * * * * *
(1) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, et
(2) TGI Paris, 13e ch. corr., 18 décembre 2014, MP c/ X.
(3) art. 226-4-1 du code pénal : “Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”
(4) Les auteurs de l’escroquerie utilisent régulièrement la technique du ”social engineering”, ou ingénierie sociale, méthode de manipulation abusant de la crédulité de personnes, afin qu’elles divulguent des données confidentielles.
(5) TGI Paris, 31e ch. corr., 21 septembre 2005, Microsoft Corporation c/ Robin B
(6) Fiche Hadopi relative aux moyens de sécurisation : Identité numérique//Usurpation d’identité publiée en décembre 2011, accessible à : http://www.hadopi.fr/sites/default/files/page/pdf/UsurpationIdentite.pdf
(7) Accessibles sur le site de la CNIL à : http://www.cnil.fr/vos-droits/les-courriers-pour-agir/
(8) Voir http://www.cnil.fr/vos-droits/plainte-en-ligne/ et http://www.cnil.fr/vos-droits/la-cnil-a-vos-cotes/
(9) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Janvier 2015
Affichage des articles dont le libellé est LOPPSI 2. Afficher tous les articles
Affichage des articles dont le libellé est LOPPSI 2. Afficher tous les articles
lundi 26 janvier 2015
vendredi 17 février 2012
L'arsenal répressif contre le spamming s'étoffe : sera-t-il efficace pour enrayer la fraude ?
Le spamming est un fléau qui touche tout utilisateur, particuliers et entreprises. Ces spams ont un impact économique de poids sur les entreprises (coût de traitement des emails, encombrement des serveurs, etc.), et sont une source majeure de fraudes sur internet : fraude financière, écoulement de produits de contrefaçon, proposition de services illicites, etc.
Pour faire face à cette fraude d’envergure internationale, la France a mis en place un arsenal répressif contre le spamming (mesures législatives, actions gouvernementales, initiatives privées, etc.). Mais la mise en oeuvre de ces mesures sera-t-elle suffisante pour réduire l’ampleur de cette pratique ? Nous procédons ci-après à l’analyse du spamming et aux moyens mis en oeuvre pour sa répression.
1. Le spamming : un phénomène mondial difficile à combattre techniquement et judiciairement
Depuis de nombreuses années, le volume du spamming et les menaces qu'il véhicule (escroqueries, virus, etc.) portent préjudice à tous les acteurs et utilisateurs de l'internet.
1.1 La pratique du spamming
Définition - Le spamming ne doit pas être confondu avec la prospection commerciale par e-mail. Le spamming est illégal ; la prospection commerciale est licite. (1)
Le spamming consiste en l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté les adresses électroniques de façon irrégulière. Ces trois conditions cumulatives doivent être présentes afin que l’emailing soit considéré comme du “spamming”.
Typologie du/des spams - Le spam contient généralement de la publicité. Il peut s’agir d'e-mails adressés par des entreprises ignorant la législation et voyant cette pratique comme un moyen peu coûteux d’assurer la promotion de leurs produits ou services.
Le plus souvent, le spam est frauduleux. Le message est trompeur, ou est porteur de virus informatique, ou encore ne dispose pas d'une adresse valide d'expédition ou de désinscription. De même, il est fréquent que l'expéditeur masque son identité ou usurpe l’adresse e-mail d’un tiers, afin de ne pas être identifié.
Le spamming peut recouvrir plusieurs formes d'escroqueries :
(i) les spams proposant la vente de produits ou médicaments contrefaits, des services de jeux d’argent illicites, etc. ;
(ii) le "phishing" visant à tromper le destinataire en lui faisant croire qu’il s’agit d’un e-mail envoyé par une société de services (ex: une banque), ou via les fraudes “à la nigériane” par l’envoi d’emails de la part de pseudo victimes d’un régime totalitaire proposant au destinataire de l’email de réceptionner de très grosses sommes d’argent contre une commission substantielle, l’objectif du spammeur étant à chaque fois de récupérer les données confidentielles des destinataires (mots de passe, numéro de carte bancaire), ou encore
(iii) le "pump-and-dump" par le biais duquel les spammeurs tentent de tirer profit de l'agitation des marchés financiers. Les fraudeurs adressent de nombreux spams présentant des actions comme étant une “bonne affaire” dans laquelle il faut investir ; ces fausses affirmations ayant pour but de faire grimper artificiellement les cours de ces actions jusqu'au moment où les spammeurs décident de revendre leurs actions. (2)
1.2 L'impact économique du spamming
Le spamming est un phénomène qui touche tous les pays, tous les internautes et toutes les entreprises, quels que soient leurs secteurs d'activité.
Plusieurs études et rapports sur le spamming sont publiés chaque année par des entreprises ou organismes impliqués dans la sécurité des réseaux. Il ressort de ces rapports que (3) :
- Le volume de spams diffusé sur internet au niveau mondial serait passé de 97% des e-mails circulant sur les réseaux en 2008 à 80% en 2011. Selon le rapport Symantec Intelligence de septembre 2011, en août 2011 sur 100% des e-mails échangés en France, près de 78% étaient des spams. Le volume de spam semble donc diminuer. Toutefois, cela qui implique que moins de 20% des e-mails échangés dans le monde seraient désirables/légitimes.
- Le coût financier du spamming pour les entreprises était estimé dans le monde à 20,5 milliards de dollars en 2003, ce coût étant passé à 198,3 milliards de dollars en 2007. En 2011, les menaces informatiques (dont le spamming) représentaient 1,8 milliards d'euros de perte financière pour la France.
1.3 Les actions judiciaires engagées par les entreprises
A ce jour en France, seules quelques sociétés ont engagé des poursuites contre des spammeurs. Plusieurs raisons expliquent ce nombre très limité d’actions judiciaires :
- la difficulté et le coût d'identification du spammeur, la plupart des spams étant difficilement localisables (adresse d'expédition non valide ou expéditeur non identifiable) ;
- le caractère éminemment international du spamming. Si les spams proviennent de l’étranger, et sous réserve de l’identification et de la localisation effective du fraudeur, les procédures judiciaires seront longues, coûteuses et plus complexes, compte tenu des difficultés pour faire exécuter les décisions de justice françaises par certaines juridictions étrangères ;
- enfin, l'absence, jusqu'à récemment, d'un cadre légal spécifique visant à réprimer le spamming en tant que tel. Ceci explique que la plupart de décisions rendues ont condamné les spammeurs sur des fondements juridiques divers (4) :
Le droit des contrats - En 2002 et 2004, des fournisseurs d'accès (FAI) et services de messagerie ont fait condamner leurs abonnés-spammeurs pour avoir procédé à des envois d’emails en masse, en violation des conditions prévues aux contrats de fourniture de services. Outre la résiliation des contrats des abonnés-spammeurs, ces derniers ont été condamnés au paiement de sommes paraissant dérisoires compte tenu des dommages et frais encourus (quelques centaines d’euros et 5.000€ de dommages et intérêts pour atteinte à l'image des services fournis par les FAI).
La contrefaçon de marque - En 2004, un spammeur a été condamné pour contrefaçon de marque, à hauteur de 30.000€. Le tribunal a considéré que l'utilisation, à des fins de prospection commerciale, d'une adresse e-mail reprenant l'une des marques de la société Microsoft dans son extension constituait un usage contrefaisant de ladite marque. En l'espèce, le spammeur avait utilisé la marque Hotmail, appartenant à Microsoft, dans l'adresse électronique dont il se servait pour envoyer en masse des e-mails publicitaires. Or, l'adresse litigieuse n'avait pas été délivrée par Microsoft.
Le délit d'entrave au traitement automatisé de données - En 2002 et 2003, des spammeurs ont été condamnés à, respectivement, 4 et 10 mois d'emprisonnement avec sursis et à 20.000€ et 34.000€ de dommages et intérêts pour délit d’entrave au traitement automatisé de données (réprimé par la loi Godfrain de 1988). Ces spammeurs avaient envoyé un très grand nombre d'e-mails à des salariés de plusieurs entreprises, conduisant à paralyser l'ensemble des boîtes mails des destinataires et saturant ainsi les services de messagerie des sociétés concernées.
Afin d'enrayer ce phénomène, le législateur français a fait évoluer la réglementation en adoptant un cadre légal spécifique qui, complété par des initiatives publiques et privées, a permis la mise en place d'un arsenal répressif.
2. Le renforcement de l'arsenal répressif contre le spamming
En France, pouvoirs publics et acteurs de l'internet mènent depuis quelques années une politique active de lutte contre le spamming.
2.1 Le dispositif légal mis en place
Le spamming est désormais une pratique spécifiquement interdite par la loi et sanctionnée. Plusieurs textes de loi sont applicables suivant le type de fraude incriminée (5) :
La LCEN - Le spamming peut être réprimé sur le fondement des dispositions relatives à la prospection commerciale par e-mail, prévue par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et codifiée dans le Code des postes et communications électroniques (CPCE) et le Code de la consommation. Ces textes interdisent de procéder à la prospection commerciale sans l'accord préalable du destinataire, sous peine d'une amende de 750€ par e-mail litigieux envoyé.
En outre, l’ordonnance du 24 août 2011 relative aux communications électroniques, a modifié ces dispositions légales afin de renforcer la lutte contre les messages commerciaux non sollicités. L'ordonnance élargit le champ des techniques de communication pouvant être concernées par le spamming et exige des expéditeurs de messages publicitaires qu'ils permettent au destinataire de s'y opposer (par exemple par le biais d'une adresse électronique).
La loi Informatique et Libertés - Le spamming peut être réprimé sur le fondement la loi Informatique et Libertés du 6 janvier 1978, dont les manquements sont sanctionnés civilement et pénalement. Concernant les sanctions pénales, est puni de 5 ans d'emprisonnement et de 300.000€ d'amende le fait de (i) collecter des données personnelles par un moyen frauduleux, déloyal ou illicite ou (ii) procéder à un traitement de données personnelles concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.
Concernant les sanctions civiles, la CNIL peut, à la suite de plaintes, (i) prononcer des sanctions contre les personnes procédant à un traitement de données personnelles ne respectant pas la loi (avertissement ou sanction pécuniaire jusqu'à 300.000€) et (ii) dénoncer les infractions au Procureur de la République. Ainsi, en 2008, la CNIL a sanctionné d'une amende de 30.000€, la société CDiscount pour ne pas avoir tenu compte des demandes de désinscription formulées par des internautes ne souhaitant plus recevoir d’e-mails publicitaires de cette société. (6)
La loi Godfrain - Le spamming peut être sanctionné sur le fondement de la loi Godfrain sur la fraude informatique du 5 janvier 1988, punissant le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (envoi massif de messages provoquant l'impossibilité d'utiliser le système) ou le fait d'introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou modifier frauduleusement les données qu'il contient. Ces agissements sont punis de 5 ans d'emprisonnement et de 75.000€ d'amende.
La LOPPSI 2 - Avec l’entrée en vigueur de la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2), le délit d'usurpation d'identité numérique est désormais identifié comme tel et passible d'un an d'emprisonnement et de 15.000€ d’amende. Ce nouveau délit permet de sanctionner les spammeurs qui ont recours à l'usurpation d'identité pour tromper leurs victimes, ou pour leur extorquer des fonds via la pratique du phishing par exemple. (7)
Le projet de loi sur les droits des consommateurs - Enfin, le projet de loi renforçant les droits, la protection et l'information des consommateurs, actuellement en cours de discussion au Parlement, prévoit d'assortir de sanctions administratives dissuasives les manquements aux dispositions du CPCE. La DGCCRF pourra ainsi prononcer des amendes d'un montant maximum de 15.000€ contre les spammeurs identifiés. (8)
Ce dispositif légal est renforcé par des initiatives publiques et privées visant à identifier et à faire sanctionner les spammeurs.
2.2 Les actions publiques et privées contre le spamming
La lutte contre le spam mobilise de nombreux acteurs publics et privés ; leurs actions se matérialisent notamment par la mise en place de plates-formes web de dénonciation du spam. (9)
La liste eRobinson et la boîte à spams - Au début des années 2000, la FEVAD et la CNIL ont mis en place des dispositifs de lutte contre le spamming dénommés respectivement, liste eRobinson et boîte à spams. Ces dispositifs permettaient aux internautes de faire savoir qu'ils ne souhaitaient plus être destinataires de messages non sollicités et de transférer les messages litigieux qu'ils recevaient. Ces actions, ayant abouti à de nombreuses dénonciations, ont depuis été relayées par Signal Spam.
La plate-forme Signal Spam - Cette plate-forme de signalisation nationale a été lancée avec l'aide du Gouvernement en mai 2007. Elle vise à recueillir et traiter les plaintes des internautes puis les redirige, une fois le spammeur identifié, vers les autorités publiques et la CNIL. Sur la base des informations transmises, la CNIL peut ouvrir un dossier de plainte, effectuer des contrôles sur place et sanctionner les spammeurs établis en France. C'est dans ce cadre que la CNIL a procédé, en septembre 2008, à une large campagne de contrôle au sein des entreprises dont les opérations de spamming avaient été identifiées. Depuis la mise en ligne de cette plateforme, plus de 23 millions de spams ont été signalés.
La plate-forme PHAROS - Cette plateforme nationale de signalisation des contenus illicites de l'internet a été créée en 2009 par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). En 2010, la plate-forme a traité près de 78 000 signalements. L'OCLCTIC a signé, le 4 mai 2011, une convention de partenariat avec Signal Spam. Les signalements sur cette plate-forme sont, après vérification, orientés vers un service d'enquête. Si le contenu signalé est illicite mais provient de l'étranger, il est transmis à Interpol qui l'oriente vers les autorités judiciaires du pays concerné.
3. Quelles sont les perspectives d'enrayement du phénomène?
Il existe une véritable mobilisation pour lutter contre cette pratique de prospection illicite. Cependant, ces actions seront-elles suffisantes pour endiguer le fléau du spamming ?
L'adoption d'un cadre juridique claire, l'existence de sanctions pénales dissuasives, la multiplication des moyens de lutte et enfin la mobilisation de nombreux acteurs publics et privés en relation avec les forces de l’ordre sont des signes positifs pour la lutte contre le spamming. Toutefois, en dépit de ces actions, le spam représente encore, en France, près de 80% des e-mails circulant sur les réseaux en 2011.
En effet, la lutte contre le spamming nécessite la mise en commun des efforts et des moyens ; elle doit être menée simultanément à plusieurs niveaux : politique, législatif, pédagogique, technologique, national, et international. La mobilisation de tous les acteurs concernés est indispensable car elle nécessite une extrême réactivité pour compenser la volatilité des données et des traces dans l'espace numérique.
Les entreprises ont un rôle à jouer dans l’enrayement du spam en adoptant notamment des solutions techniques adéquates permettant de sécuriser leur système d'information (pare-feu, antivirus, filtre anti-spam, dispositif d'alerte, utilisation de codage pour les données sensibles, etc. y compris une mise à jour régulière de ces dispositifs de sécurité). Ces solutions techniques doivent être accompagnées d’une politique pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre des précautions telles que l’adoption de mots de passe complexes, ou ne pas ouvrir les pièces jointes d'e-mails dont l'expéditeur est inconnu.
* * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (loi Informatique et Libertés) et Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La prospection commerciale, dont l’objet vise à promouvoir des biens ou des services, est une pratique licite dès lors qu'elle est réalisée à partir d’un fichier d’adresses collectées et traitées dans le respect de la loi Informatique et Libertés et de la loi LCEN. Dans le cadre d’une prospection par emailing publicitaire, chaque message électronique doit obligatoirement préciser l'identité de l'annonceur, et proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations.
(2) Voir article publié sur Solutions-Logiciels.com le 30 août 2011 sur le Rapport Symantec Intelligence d'août 2011.
(3) Voir par exemple les rapports Microsoft 2008 et 2011 sur les données de sécurité ; Rapport sur l'état de la lutte contre le spam en Europe 2009 de l'ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) ; Etat des lieux du spam dans le monde selon Kaspersky (article publié le 2 mars 2011 sur Blogdumoderateur.com) ; Rapport Symantec Intelligence d'août et septembre 2011 ; Etude " Monde : Le spam", publiée au Journal du Net le 24 août 2009 ; Article " Retour sur 2010 : l'Internet en chiffres" publié le 13 janv. 2011 sur Clubic.com et article " La France est un des pays les moins ciblés par les cyber-attaques", publié sur Challenges.fr le 13 oct. 2011.
(4) Sur le droit des contrats : TGI Paris, ord. Réf., 15 janvier 2002, P.V c/ Sté Liberty Surf et Sté Free et Trib. com. Paris, 5 mai 2004, Sté Microsoft Corp., SNC AOL France c/ M. K.., RG n° 03/094500 ; Sur la contrefaçon de marque : TGI Paris, ord. réf., 6 avr. 2004, Microsoft Corporation c/ E nov developpement confirmé par TGI Paris, 3e ch., 18 oct. 2006, Sté Microsoft Corp. c/ Sté E-nov Développement, RG n° 04/01810 ; Sur le délit d'entrave : Loi n°88-19 du 5 janvier 1988 sur la fraude informatique (Loi Godfrain) et TGI Paris 24 mai 2002, Monsieur P. c/ Société Lyonnaise Communications ; TGI du Mans, corr., 7 nov. 2003, Proc. De la République, Sté Smith et Nephew c/ L.
(5) Articles L34-5 et R.10-1 CPCE, L.121-20-5 C. conso. et articles 226-18 et 226-18-1, 323-2 et 323-3 et 226-4-1 du Code pénal.
(6) Articles 11, 17, 45 à 47 et 52 loi Informatique et Libertés et Délibération CNIL n°2008-422 du 6 novembre 2008 à l'égard de la société CDiscount.
(7) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 C. pénal : "Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne".
(8) Projet de loi renforçant les droits, la protection et l'information des consommateurs - article 8 (http://www.assemblee-nationale.fr/13/projets/pl4141.asp).
(9) Question Ass. Nat., 13 septembre 2011, p. 9873 - Industrie, Energie et économie numérique - Internet. Escroquerie. Lutte et prévention - n°105283 du 12 avril 2011. Informations sur les plateformes Signal Spam et Pharos accessibles via https://www.signal-spam.fr/ et https://www.internet-signalement.gouv.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2012
Pour faire face à cette fraude d’envergure internationale, la France a mis en place un arsenal répressif contre le spamming (mesures législatives, actions gouvernementales, initiatives privées, etc.). Mais la mise en oeuvre de ces mesures sera-t-elle suffisante pour réduire l’ampleur de cette pratique ? Nous procédons ci-après à l’analyse du spamming et aux moyens mis en oeuvre pour sa répression.
1. Le spamming : un phénomène mondial difficile à combattre techniquement et judiciairement
Depuis de nombreuses années, le volume du spamming et les menaces qu'il véhicule (escroqueries, virus, etc.) portent préjudice à tous les acteurs et utilisateurs de l'internet.
1.1 La pratique du spamming
Définition - Le spamming ne doit pas être confondu avec la prospection commerciale par e-mail. Le spamming est illégal ; la prospection commerciale est licite. (1)
Le spamming consiste en l'envoi massif, et parfois répété, de courriers électroniques non sollicités, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contact et dont il a capté les adresses électroniques de façon irrégulière. Ces trois conditions cumulatives doivent être présentes afin que l’emailing soit considéré comme du “spamming”.
Typologie du/des spams - Le spam contient généralement de la publicité. Il peut s’agir d'e-mails adressés par des entreprises ignorant la législation et voyant cette pratique comme un moyen peu coûteux d’assurer la promotion de leurs produits ou services.
Le plus souvent, le spam est frauduleux. Le message est trompeur, ou est porteur de virus informatique, ou encore ne dispose pas d'une adresse valide d'expédition ou de désinscription. De même, il est fréquent que l'expéditeur masque son identité ou usurpe l’adresse e-mail d’un tiers, afin de ne pas être identifié.
Le spamming peut recouvrir plusieurs formes d'escroqueries :
(i) les spams proposant la vente de produits ou médicaments contrefaits, des services de jeux d’argent illicites, etc. ;
(ii) le "phishing" visant à tromper le destinataire en lui faisant croire qu’il s’agit d’un e-mail envoyé par une société de services (ex: une banque), ou via les fraudes “à la nigériane” par l’envoi d’emails de la part de pseudo victimes d’un régime totalitaire proposant au destinataire de l’email de réceptionner de très grosses sommes d’argent contre une commission substantielle, l’objectif du spammeur étant à chaque fois de récupérer les données confidentielles des destinataires (mots de passe, numéro de carte bancaire), ou encore
(iii) le "pump-and-dump" par le biais duquel les spammeurs tentent de tirer profit de l'agitation des marchés financiers. Les fraudeurs adressent de nombreux spams présentant des actions comme étant une “bonne affaire” dans laquelle il faut investir ; ces fausses affirmations ayant pour but de faire grimper artificiellement les cours de ces actions jusqu'au moment où les spammeurs décident de revendre leurs actions. (2)
1.2 L'impact économique du spamming
Le spamming est un phénomène qui touche tous les pays, tous les internautes et toutes les entreprises, quels que soient leurs secteurs d'activité.
Plusieurs études et rapports sur le spamming sont publiés chaque année par des entreprises ou organismes impliqués dans la sécurité des réseaux. Il ressort de ces rapports que (3) :
- Le volume de spams diffusé sur internet au niveau mondial serait passé de 97% des e-mails circulant sur les réseaux en 2008 à 80% en 2011. Selon le rapport Symantec Intelligence de septembre 2011, en août 2011 sur 100% des e-mails échangés en France, près de 78% étaient des spams. Le volume de spam semble donc diminuer. Toutefois, cela qui implique que moins de 20% des e-mails échangés dans le monde seraient désirables/légitimes.
- Le coût financier du spamming pour les entreprises était estimé dans le monde à 20,5 milliards de dollars en 2003, ce coût étant passé à 198,3 milliards de dollars en 2007. En 2011, les menaces informatiques (dont le spamming) représentaient 1,8 milliards d'euros de perte financière pour la France.
1.3 Les actions judiciaires engagées par les entreprises
A ce jour en France, seules quelques sociétés ont engagé des poursuites contre des spammeurs. Plusieurs raisons expliquent ce nombre très limité d’actions judiciaires :
- la difficulté et le coût d'identification du spammeur, la plupart des spams étant difficilement localisables (adresse d'expédition non valide ou expéditeur non identifiable) ;
- le caractère éminemment international du spamming. Si les spams proviennent de l’étranger, et sous réserve de l’identification et de la localisation effective du fraudeur, les procédures judiciaires seront longues, coûteuses et plus complexes, compte tenu des difficultés pour faire exécuter les décisions de justice françaises par certaines juridictions étrangères ;
- enfin, l'absence, jusqu'à récemment, d'un cadre légal spécifique visant à réprimer le spamming en tant que tel. Ceci explique que la plupart de décisions rendues ont condamné les spammeurs sur des fondements juridiques divers (4) :
Le droit des contrats - En 2002 et 2004, des fournisseurs d'accès (FAI) et services de messagerie ont fait condamner leurs abonnés-spammeurs pour avoir procédé à des envois d’emails en masse, en violation des conditions prévues aux contrats de fourniture de services. Outre la résiliation des contrats des abonnés-spammeurs, ces derniers ont été condamnés au paiement de sommes paraissant dérisoires compte tenu des dommages et frais encourus (quelques centaines d’euros et 5.000€ de dommages et intérêts pour atteinte à l'image des services fournis par les FAI).
La contrefaçon de marque - En 2004, un spammeur a été condamné pour contrefaçon de marque, à hauteur de 30.000€. Le tribunal a considéré que l'utilisation, à des fins de prospection commerciale, d'une adresse e-mail reprenant l'une des marques de la société Microsoft dans son extension constituait un usage contrefaisant de ladite marque. En l'espèce, le spammeur avait utilisé la marque Hotmail, appartenant à Microsoft, dans l'adresse électronique dont il se servait pour envoyer en masse des e-mails publicitaires. Or, l'adresse litigieuse n'avait pas été délivrée par Microsoft.
Le délit d'entrave au traitement automatisé de données - En 2002 et 2003, des spammeurs ont été condamnés à, respectivement, 4 et 10 mois d'emprisonnement avec sursis et à 20.000€ et 34.000€ de dommages et intérêts pour délit d’entrave au traitement automatisé de données (réprimé par la loi Godfrain de 1988). Ces spammeurs avaient envoyé un très grand nombre d'e-mails à des salariés de plusieurs entreprises, conduisant à paralyser l'ensemble des boîtes mails des destinataires et saturant ainsi les services de messagerie des sociétés concernées.
Afin d'enrayer ce phénomène, le législateur français a fait évoluer la réglementation en adoptant un cadre légal spécifique qui, complété par des initiatives publiques et privées, a permis la mise en place d'un arsenal répressif.
2. Le renforcement de l'arsenal répressif contre le spamming
En France, pouvoirs publics et acteurs de l'internet mènent depuis quelques années une politique active de lutte contre le spamming.
2.1 Le dispositif légal mis en place
Le spamming est désormais une pratique spécifiquement interdite par la loi et sanctionnée. Plusieurs textes de loi sont applicables suivant le type de fraude incriminée (5) :
La LCEN - Le spamming peut être réprimé sur le fondement des dispositions relatives à la prospection commerciale par e-mail, prévue par la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et codifiée dans le Code des postes et communications électroniques (CPCE) et le Code de la consommation. Ces textes interdisent de procéder à la prospection commerciale sans l'accord préalable du destinataire, sous peine d'une amende de 750€ par e-mail litigieux envoyé.
En outre, l’ordonnance du 24 août 2011 relative aux communications électroniques, a modifié ces dispositions légales afin de renforcer la lutte contre les messages commerciaux non sollicités. L'ordonnance élargit le champ des techniques de communication pouvant être concernées par le spamming et exige des expéditeurs de messages publicitaires qu'ils permettent au destinataire de s'y opposer (par exemple par le biais d'une adresse électronique).
La loi Informatique et Libertés - Le spamming peut être réprimé sur le fondement la loi Informatique et Libertés du 6 janvier 1978, dont les manquements sont sanctionnés civilement et pénalement. Concernant les sanctions pénales, est puni de 5 ans d'emprisonnement et de 300.000€ d'amende le fait de (i) collecter des données personnelles par un moyen frauduleux, déloyal ou illicite ou (ii) procéder à un traitement de données personnelles concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospection commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes.
Concernant les sanctions civiles, la CNIL peut, à la suite de plaintes, (i) prononcer des sanctions contre les personnes procédant à un traitement de données personnelles ne respectant pas la loi (avertissement ou sanction pécuniaire jusqu'à 300.000€) et (ii) dénoncer les infractions au Procureur de la République. Ainsi, en 2008, la CNIL a sanctionné d'une amende de 30.000€, la société CDiscount pour ne pas avoir tenu compte des demandes de désinscription formulées par des internautes ne souhaitant plus recevoir d’e-mails publicitaires de cette société. (6)
La loi Godfrain - Le spamming peut être sanctionné sur le fondement de la loi Godfrain sur la fraude informatique du 5 janvier 1988, punissant le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données (envoi massif de messages provoquant l'impossibilité d'utiliser le système) ou le fait d'introduire frauduleusement des données dans un système de traitement automatisé, ou de supprimer ou modifier frauduleusement les données qu'il contient. Ces agissements sont punis de 5 ans d'emprisonnement et de 75.000€ d'amende.
La LOPPSI 2 - Avec l’entrée en vigueur de la loi d'orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2), le délit d'usurpation d'identité numérique est désormais identifié comme tel et passible d'un an d'emprisonnement et de 15.000€ d’amende. Ce nouveau délit permet de sanctionner les spammeurs qui ont recours à l'usurpation d'identité pour tromper leurs victimes, ou pour leur extorquer des fonds via la pratique du phishing par exemple. (7)
Le projet de loi sur les droits des consommateurs - Enfin, le projet de loi renforçant les droits, la protection et l'information des consommateurs, actuellement en cours de discussion au Parlement, prévoit d'assortir de sanctions administratives dissuasives les manquements aux dispositions du CPCE. La DGCCRF pourra ainsi prononcer des amendes d'un montant maximum de 15.000€ contre les spammeurs identifiés. (8)
Ce dispositif légal est renforcé par des initiatives publiques et privées visant à identifier et à faire sanctionner les spammeurs.
2.2 Les actions publiques et privées contre le spamming
La lutte contre le spam mobilise de nombreux acteurs publics et privés ; leurs actions se matérialisent notamment par la mise en place de plates-formes web de dénonciation du spam. (9)
La liste eRobinson et la boîte à spams - Au début des années 2000, la FEVAD et la CNIL ont mis en place des dispositifs de lutte contre le spamming dénommés respectivement, liste eRobinson et boîte à spams. Ces dispositifs permettaient aux internautes de faire savoir qu'ils ne souhaitaient plus être destinataires de messages non sollicités et de transférer les messages litigieux qu'ils recevaient. Ces actions, ayant abouti à de nombreuses dénonciations, ont depuis été relayées par Signal Spam.
La plate-forme Signal Spam - Cette plate-forme de signalisation nationale a été lancée avec l'aide du Gouvernement en mai 2007. Elle vise à recueillir et traiter les plaintes des internautes puis les redirige, une fois le spammeur identifié, vers les autorités publiques et la CNIL. Sur la base des informations transmises, la CNIL peut ouvrir un dossier de plainte, effectuer des contrôles sur place et sanctionner les spammeurs établis en France. C'est dans ce cadre que la CNIL a procédé, en septembre 2008, à une large campagne de contrôle au sein des entreprises dont les opérations de spamming avaient été identifiées. Depuis la mise en ligne de cette plateforme, plus de 23 millions de spams ont été signalés.
La plate-forme PHAROS - Cette plateforme nationale de signalisation des contenus illicites de l'internet a été créée en 2009 par l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). En 2010, la plate-forme a traité près de 78 000 signalements. L'OCLCTIC a signé, le 4 mai 2011, une convention de partenariat avec Signal Spam. Les signalements sur cette plate-forme sont, après vérification, orientés vers un service d'enquête. Si le contenu signalé est illicite mais provient de l'étranger, il est transmis à Interpol qui l'oriente vers les autorités judiciaires du pays concerné.
3. Quelles sont les perspectives d'enrayement du phénomène?
Il existe une véritable mobilisation pour lutter contre cette pratique de prospection illicite. Cependant, ces actions seront-elles suffisantes pour endiguer le fléau du spamming ?
L'adoption d'un cadre juridique claire, l'existence de sanctions pénales dissuasives, la multiplication des moyens de lutte et enfin la mobilisation de nombreux acteurs publics et privés en relation avec les forces de l’ordre sont des signes positifs pour la lutte contre le spamming. Toutefois, en dépit de ces actions, le spam représente encore, en France, près de 80% des e-mails circulant sur les réseaux en 2011.
En effet, la lutte contre le spamming nécessite la mise en commun des efforts et des moyens ; elle doit être menée simultanément à plusieurs niveaux : politique, législatif, pédagogique, technologique, national, et international. La mobilisation de tous les acteurs concernés est indispensable car elle nécessite une extrême réactivité pour compenser la volatilité des données et des traces dans l'espace numérique.
Les entreprises ont un rôle à jouer dans l’enrayement du spam en adoptant notamment des solutions techniques adéquates permettant de sécuriser leur système d'information (pare-feu, antivirus, filtre anti-spam, dispositif d'alerte, utilisation de codage pour les données sensibles, etc. y compris une mise à jour régulière de ces dispositifs de sécurité). Ces solutions techniques doivent être accompagnées d’une politique pédagogique envers les salariés axée sur les risques technologiques, la nécessité de signaler les incidents de sécurité et de prendre des précautions telles que l’adoption de mots de passe complexes, ou ne pas ouvrir les pièces jointes d'e-mails dont l'expéditeur est inconnu.
* * * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (loi Informatique et Libertés) et Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). La prospection commerciale, dont l’objet vise à promouvoir des biens ou des services, est une pratique licite dès lors qu'elle est réalisée à partir d’un fichier d’adresses collectées et traitées dans le respect de la loi Informatique et Libertés et de la loi LCEN. Dans le cadre d’une prospection par emailing publicitaire, chaque message électronique doit obligatoirement préciser l'identité de l'annonceur, et proposer un moyen simple de s'opposer à la réception de nouvelles sollicitations.
(2) Voir article publié sur Solutions-Logiciels.com le 30 août 2011 sur le Rapport Symantec Intelligence d'août 2011.
(3) Voir par exemple les rapports Microsoft 2008 et 2011 sur les données de sécurité ; Rapport sur l'état de la lutte contre le spam en Europe 2009 de l'ENISA (l'agence européenne chargée de la sécurité des réseaux et de l'information) ; Etat des lieux du spam dans le monde selon Kaspersky (article publié le 2 mars 2011 sur Blogdumoderateur.com) ; Rapport Symantec Intelligence d'août et septembre 2011 ; Etude " Monde : Le spam", publiée au Journal du Net le 24 août 2009 ; Article " Retour sur 2010 : l'Internet en chiffres" publié le 13 janv. 2011 sur Clubic.com et article " La France est un des pays les moins ciblés par les cyber-attaques", publié sur Challenges.fr le 13 oct. 2011.
(4) Sur le droit des contrats : TGI Paris, ord. Réf., 15 janvier 2002, P.V c/ Sté Liberty Surf et Sté Free et Trib. com. Paris, 5 mai 2004, Sté Microsoft Corp., SNC AOL France c/ M. K.., RG n° 03/094500 ; Sur la contrefaçon de marque : TGI Paris, ord. réf., 6 avr. 2004, Microsoft Corporation c/ E nov developpement confirmé par TGI Paris, 3e ch., 18 oct. 2006, Sté Microsoft Corp. c/ Sté E-nov Développement, RG n° 04/01810 ; Sur le délit d'entrave : Loi n°88-19 du 5 janvier 1988 sur la fraude informatique (Loi Godfrain) et TGI Paris 24 mai 2002, Monsieur P. c/ Société Lyonnaise Communications ; TGI du Mans, corr., 7 nov. 2003, Proc. De la République, Sté Smith et Nephew c/ L.
(5) Articles L34-5 et R.10-1 CPCE, L.121-20-5 C. conso. et articles 226-18 et 226-18-1, 323-2 et 323-3 et 226-4-1 du Code pénal.
(6) Articles 11, 17, 45 à 47 et 52 loi Informatique et Libertés et Délibération CNIL n°2008-422 du 6 novembre 2008 à l'égard de la société CDiscount.
(7) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, dite LOPPSI 2 (art. 2) et article 226-4-1 C. pénal : "Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne".
(8) Projet de loi renforçant les droits, la protection et l'information des consommateurs - article 8 (http://www.assemblee-nationale.fr/13/projets/pl4141.asp).
(9) Question Ass. Nat., 13 septembre 2011, p. 9873 - Industrie, Energie et économie numérique - Internet. Escroquerie. Lutte et prévention - n°105283 du 12 avril 2011. Informations sur les plateformes Signal Spam et Pharos accessibles via https://www.signal-spam.fr/ et https://www.internet-signalement.gouv.fr/.
Betty SFEZ - Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Février 2012
vendredi 19 août 2011
La vidéoprotection dans les commerces et les entreprises : le point sur la réglementation
L’actualité législative et réglementaire de cette année 2011 est incontestablement marquée par le développement de la vidéosurveillance, ou vidéoprotection. En attestent l’adoption, en mars dernier, de la loi dite LOPSSI 2 venant modifier le régime juridique de la vidéosurveillance, le programme annuel des contrôles effectués par la CNIL, renforçant son action sur les dispositifs de vidéoprotection, et la récente publication d’un décret relatif à la Commission Nationale de la Vidéoprotection.(1)
Les entreprises qui souhaitent mettre en oeuvre de tels dispositifs au sein de leur établissement sont concernées par ces évolutions. La complexité du cadre légal en matière de vidéoprotection nécessite de faire un point sur la réglementation en vigueur.
1. La coexistence de deux régimes juridiques
Les conditions dans lesquelles peut-être installé un système de vidéoprotection, à savoir un système qui enregistre ou transmet des images, sont encadrées par deux régimes juridiques distincts.(2) Il convient de distinguer selon que ce système concerne un lieu privé ou un lieu public.
Un lieu est considéré comme “privé” dès lors que le public ne peut pas y accéder librement, tels que bureaux ou entrepôts d’une entreprise fermés au public. La mise en oeuvre d’un dispositif de vidéosurveillance sur le lieu de travail est réglementée par le Code du travail et la loi Informatique et Liberté ; elle nécessite en principe une déclaration préalable auprès de la CNIL.(3)
Un lieu est considéré comme “public” dès lors qu’il est librement accessible à tous, tels que boutique, hypermarché, ou voie publique. La mise en oeuvre d’un système de vidéoprotection sur la voie publique ou dans des lieux et établissements ouverts au public est régie par la loi de 1995 relative à la sécurité, récemment modifiée par la LOPPSI 2 ; elle nécessite en principe une autorisation préfectorale.(4)
Ces deux régimes juridiques peuvent dans certains cas se cumuler. Il en va ainsi lorsque le dispositif de vidéoprotection se trouve dans un lieu mixte (lieu ouvert au public comportant des zones privées réservées à l’usage du personnel) ou lorsque les caméras vidéos mises en place filment une partie de la voie publique (entrée d’un bâtiment par exemple). Une déclaration à la CNIL et une demande d’autorisation en préfecture sont alors nécessaires.
2. Les règles applicables aux systèmes de vidéoprotection dans les lieux privés
2.1 Les obligations du chef d’entreprise
Le chef d’entreprise est responsable de la conformité de la mise en oeuvre du système de vidéoprotection.
Justification du dispositif - L'installation de caméras vidéos sur le lieu de travail répond généralement à un objectif sécuritaire, tel que contrôle des accès aux locaux, ou risque particulier de vol. Le chef d’entreprise qui envisage de mettre en oeuvre un système de vidéosurveillance doit respecter le principe de proportionnalité, c'est-à-dire être en mesure de justifier le contrôle qu'il exerce sur ses employés par un intérêt légitime. L’installation d’un tel dispositif doit donc s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi. Tel n’est pas le cas par exemple, si le dispositif a pour seul objectif la mise sous surveillance spécifique d’un employé déterminé.
Visualisation et durée de conservation des images - Les images enregistrées ne peuvent être visionnées que par les seules personnes habilitées à cet effet, dans le cadre de leurs fonctions (direction, responsable sécurité). Elles doivent être conservées pendant une durée limitée à quelques jours et en tout état de cause, conformément aux préconisations de la CNIL, à une durée qui ne saurait excéder un mois.
Information des représentants du personnel et des personnes filmées - Les instances représentatives du personnel doivent être consultées avant le déploiement d’un système de vidéosurveillance et précisément informées des fonctionnalités envisagées. Les employés ou visiteurs doivent être informés, au moyen d’un panneau affiché de façon visible dans les locaux sous vidéoprotection (i) de l’existence du dispositif, (ii) des destinataires des images captées et enregistrées et (iii) des modalités d’exercice de leur droit d’accès aux enregistrements les concernant.
Déclaration préalable à la CNIL - Si le système de vidéosurveillance procède à un traitement informatique de données à caractère personnel (stockage des images sur support numérique), une déclaration auprès de la CNIL sera nécessaire avant la mise en oeuvre effective du dispositif.(5) Cette déclaration n’est pas nécessaire en cas de désignation d’un Correspondant Informatique et Libertés (CIL).
2.2 Les modalités de contrôles et les sanctions
La CNIL peut contrôler la mise en place de dispositifs de vidéoprotection et le cas échéant faire prononcer des sanctions en cas de non-respect de la réglementation par le chef d’entreprise.
Contrôles CNIL - La loi Informatique et Libertés permet aux agents de la CNIL de réaliser des contrôles au sein des locaux professionnels équipés de systèmes de vidéosurveillance associés à des traitements de données personnelles.
Sanctions administratives - La mise en place d'un dispositif de vidéosurveillance, en violation des règles précitées, peut conduire la CNIL à prononcer à l’égard du chef d’entreprise qui méconnaît ses obligations : un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. A titre d’exemple, la CNIL a récemment sanctionné deux sociétés mettant en oeuvre des dispositifs de vidéosurveillance qui filmaient les salariés dans des espaces de repos et de détente, non ouverts au public et de façon permanente, y compris dans les lieux où aucune marchandise n’était stockée et sans les en avoir informés.(6)
Sanctions pénales - Le manquement à l’obligation de déclarer le traitement ou de faire une demande d’autorisation à la CNIL peut faire l’objet de peines d’emprisonnement (5 ans) et d’amende (300.000€ et 1.500.000€ pour les personnes morales). De plus, l’installation d'un dispositif de vidéosurveillance en violation des règles précitées, peut constituer une atteinte volontaire à l'intimité de la vie privée d'autrui (ex: installation d’un dispositif à l’insu des salariés afin d'entendre leurs conversations) qui expose l'employeur à des peines d’emprisonnement (1 an) et d'amende (45.000€).(7)
Récusation des moyens de preuve - La mise en place d'un dispositif de vidéosurveillance dans des circonstances contraires à la loi peut conduire le juge à écarter l’enregistrement vidéo produit à titre de preuve, notamment pour justifier le licenciement d'un employé (par exemple, licenciement fondé sur un enregistrement vidéo obtenu par le moyen d’une caméra dissimulée dont ni les salariés ni le comité d’entreprise avaient connaissance).
3. Les règles applicables aux systèmes de vidéoprotection dans les lieux publics
Les règles sont différentes lorsque la vidéoprotection est installée sur la voie publique ou dans des lieux et établissements ouverts au public. La loi LOPPSI 2 a modifié le régime juridique applicable et notamment renforcé les contrôles des systèmes de vidéoprotection.
3.1 Les obligations du responsable du dispositif de vidéoprotection
Justifications du dispositif - L’installation de systèmes de vidéoprotection sur la voie publique ou dans des lieux ouverts au public doit répondre à des motifs de préservation de la sécurité et de l’ordre public. A ce titre, la loi fixe une liste des motifs autorisés et les distingue en fonction du type de lieux. Ainsi, les entreprises ont la possibilité de recourir à un dispositif filmant (i) la voie publique uniquement pour assurer la protection des abords immédiats de leurs bâtiments et installations, si ceux-ci sont susceptibles d’être exposés à des actes de terrorisme et (ii) des lieux ouverts au public uniquement pour assurer la sécurité des personnes et des biens, lorsque ces lieux sont exposés à des risques d’agression, de vol ou de terrorisme.
Autorisation préfectorale et conséquences - L’obtention d’une autorisation préfectorale est un préalable nécessaire à l’installation du dispositif ; la demande d’autorisation doit être déposée à la préfecture et être accompagnée d’un dossier administratif et technique. L’autorisation est délivrée pour une durée de cinq ans, renouvelable.
La délivrance de l’autorisation préfectorale impose au responsable du dispositif de respecter un ensemble de prescriptions portant sur des modalités techniques de mise en oeuvre. Les images enregistrées ne peuvent être conservées que pendant un délai maximum d’un mois.
Tout responsable d’un dispositif de vidéoprotection est tenu d’informer de manière claire et permanente le public surveillé de l’existence de ce système et de la personne qui en est responsable. Cette information doit être apportée au moyen de panonceaux et d’affiches. De plus, le responsable du système doit permettre à toute personne intéressée d’obtenir accès aux enregistrements la concernant.
Déclaration CNIL : exception - Si le système de vidéoprotection est associé à des traitements ou fichiers automatisés de données personnelles permettant l’identification, directe ou indirecte, des personnes physiques, la loi Informatique et Libertés a vocation à s’appliquer. En pratique, cela signifie qu’un tel dispositif doit uniquement faire l’objet des formalités préalables auprès de la CNIL, à l’exclusion de.s démarches auprès de la préfecture.(8)
3.2 L’extension des pouvoirs de contrôle et les sanctions
Les Commissions Départementales de Vidéoprotection - Ces commissions disposent d’un pouvoir de contrôle des conditions de fonctionnement des dispositifs autorisés au sein de tous locaux ou établissements professionnels. Elles peuvent émettre des recommandations et proposer au préfet la suspension ou la suppression des dispositifs non autorisés, non conformes ou dont il est fait un usage anormal.
La CNIL - La Commission nationale informatique et libertés est désormais compétente pour contrôler les dispositifs de vidéoprotection, qu'ils soient installés sur la voie publique ou dans des lieux ouverts au public, alors que jusqu’à présent elle ne contrôlait que ceux installés dans les lieux privés. La CNIL peut, à la suite de ces contrôles, prononcer des mises en demeure à l’encontre des responsables des dispositifs si elle constate des manquements aux obligations qui s’imposent à eux et proposer au préfet d’ordonner des mesures de suspension ou de suppression du système contrôlé.
Les sanctions - Le non-respect de la loi et des textes d’application peut faire l’objet, d’une part, de sanctions administratives et d’autre part de sanctions pénales.(9) Le préfet a ainsi la possibilité de retirer une autorisation d’installation en cas de manquement du titulaire à ses obligations. Le non-respect de la loi peut également être sanctionné par des peines d’emprisonnement (3 ans) et d’amende (45.000€). Peuvent constituer des infractions: le fait d’installer ou de maintenir un système sans autorisation, de procéder à la destruction des images hors délais ou de permettre à des personnes non autorisées d’accéder aux images.
En conséquence, il est recommandé aux commerçants et aux entreprises de s’assurer de la conformité de leurs dispositifs de vidéosurveillance à la loi et, à défaut, de prendre toutes mesures nécessaires de mise en conformité.
Les entreprises qui souhaitent mettre en oeuvre de tels dispositifs au sein de leur établissement sont concernées par ces évolutions. La complexité du cadre légal en matière de vidéoprotection nécessite de faire un point sur la réglementation en vigueur.
1. La coexistence de deux régimes juridiques
Les conditions dans lesquelles peut-être installé un système de vidéoprotection, à savoir un système qui enregistre ou transmet des images, sont encadrées par deux régimes juridiques distincts.(2) Il convient de distinguer selon que ce système concerne un lieu privé ou un lieu public.
Un lieu est considéré comme “privé” dès lors que le public ne peut pas y accéder librement, tels que bureaux ou entrepôts d’une entreprise fermés au public. La mise en oeuvre d’un dispositif de vidéosurveillance sur le lieu de travail est réglementée par le Code du travail et la loi Informatique et Liberté ; elle nécessite en principe une déclaration préalable auprès de la CNIL.(3)
Un lieu est considéré comme “public” dès lors qu’il est librement accessible à tous, tels que boutique, hypermarché, ou voie publique. La mise en oeuvre d’un système de vidéoprotection sur la voie publique ou dans des lieux et établissements ouverts au public est régie par la loi de 1995 relative à la sécurité, récemment modifiée par la LOPPSI 2 ; elle nécessite en principe une autorisation préfectorale.(4)
Ces deux régimes juridiques peuvent dans certains cas se cumuler. Il en va ainsi lorsque le dispositif de vidéoprotection se trouve dans un lieu mixte (lieu ouvert au public comportant des zones privées réservées à l’usage du personnel) ou lorsque les caméras vidéos mises en place filment une partie de la voie publique (entrée d’un bâtiment par exemple). Une déclaration à la CNIL et une demande d’autorisation en préfecture sont alors nécessaires.
2. Les règles applicables aux systèmes de vidéoprotection dans les lieux privés
2.1 Les obligations du chef d’entreprise
Le chef d’entreprise est responsable de la conformité de la mise en oeuvre du système de vidéoprotection.
Justification du dispositif - L'installation de caméras vidéos sur le lieu de travail répond généralement à un objectif sécuritaire, tel que contrôle des accès aux locaux, ou risque particulier de vol. Le chef d’entreprise qui envisage de mettre en oeuvre un système de vidéosurveillance doit respecter le principe de proportionnalité, c'est-à-dire être en mesure de justifier le contrôle qu'il exerce sur ses employés par un intérêt légitime. L’installation d’un tel dispositif doit donc s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi. Tel n’est pas le cas par exemple, si le dispositif a pour seul objectif la mise sous surveillance spécifique d’un employé déterminé.
Visualisation et durée de conservation des images - Les images enregistrées ne peuvent être visionnées que par les seules personnes habilitées à cet effet, dans le cadre de leurs fonctions (direction, responsable sécurité). Elles doivent être conservées pendant une durée limitée à quelques jours et en tout état de cause, conformément aux préconisations de la CNIL, à une durée qui ne saurait excéder un mois.
Information des représentants du personnel et des personnes filmées - Les instances représentatives du personnel doivent être consultées avant le déploiement d’un système de vidéosurveillance et précisément informées des fonctionnalités envisagées. Les employés ou visiteurs doivent être informés, au moyen d’un panneau affiché de façon visible dans les locaux sous vidéoprotection (i) de l’existence du dispositif, (ii) des destinataires des images captées et enregistrées et (iii) des modalités d’exercice de leur droit d’accès aux enregistrements les concernant.
Déclaration préalable à la CNIL - Si le système de vidéosurveillance procède à un traitement informatique de données à caractère personnel (stockage des images sur support numérique), une déclaration auprès de la CNIL sera nécessaire avant la mise en oeuvre effective du dispositif.(5) Cette déclaration n’est pas nécessaire en cas de désignation d’un Correspondant Informatique et Libertés (CIL).
2.2 Les modalités de contrôles et les sanctions
La CNIL peut contrôler la mise en place de dispositifs de vidéoprotection et le cas échéant faire prononcer des sanctions en cas de non-respect de la réglementation par le chef d’entreprise.
Contrôles CNIL - La loi Informatique et Libertés permet aux agents de la CNIL de réaliser des contrôles au sein des locaux professionnels équipés de systèmes de vidéosurveillance associés à des traitements de données personnelles.
Sanctions administratives - La mise en place d'un dispositif de vidéosurveillance, en violation des règles précitées, peut conduire la CNIL à prononcer à l’égard du chef d’entreprise qui méconnaît ses obligations : un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. A titre d’exemple, la CNIL a récemment sanctionné deux sociétés mettant en oeuvre des dispositifs de vidéosurveillance qui filmaient les salariés dans des espaces de repos et de détente, non ouverts au public et de façon permanente, y compris dans les lieux où aucune marchandise n’était stockée et sans les en avoir informés.(6)
Sanctions pénales - Le manquement à l’obligation de déclarer le traitement ou de faire une demande d’autorisation à la CNIL peut faire l’objet de peines d’emprisonnement (5 ans) et d’amende (300.000€ et 1.500.000€ pour les personnes morales). De plus, l’installation d'un dispositif de vidéosurveillance en violation des règles précitées, peut constituer une atteinte volontaire à l'intimité de la vie privée d'autrui (ex: installation d’un dispositif à l’insu des salariés afin d'entendre leurs conversations) qui expose l'employeur à des peines d’emprisonnement (1 an) et d'amende (45.000€).(7)
Récusation des moyens de preuve - La mise en place d'un dispositif de vidéosurveillance dans des circonstances contraires à la loi peut conduire le juge à écarter l’enregistrement vidéo produit à titre de preuve, notamment pour justifier le licenciement d'un employé (par exemple, licenciement fondé sur un enregistrement vidéo obtenu par le moyen d’une caméra dissimulée dont ni les salariés ni le comité d’entreprise avaient connaissance).
3. Les règles applicables aux systèmes de vidéoprotection dans les lieux publics
Les règles sont différentes lorsque la vidéoprotection est installée sur la voie publique ou dans des lieux et établissements ouverts au public. La loi LOPPSI 2 a modifié le régime juridique applicable et notamment renforcé les contrôles des systèmes de vidéoprotection.
3.1 Les obligations du responsable du dispositif de vidéoprotection
Justifications du dispositif - L’installation de systèmes de vidéoprotection sur la voie publique ou dans des lieux ouverts au public doit répondre à des motifs de préservation de la sécurité et de l’ordre public. A ce titre, la loi fixe une liste des motifs autorisés et les distingue en fonction du type de lieux. Ainsi, les entreprises ont la possibilité de recourir à un dispositif filmant (i) la voie publique uniquement pour assurer la protection des abords immédiats de leurs bâtiments et installations, si ceux-ci sont susceptibles d’être exposés à des actes de terrorisme et (ii) des lieux ouverts au public uniquement pour assurer la sécurité des personnes et des biens, lorsque ces lieux sont exposés à des risques d’agression, de vol ou de terrorisme.
Autorisation préfectorale et conséquences - L’obtention d’une autorisation préfectorale est un préalable nécessaire à l’installation du dispositif ; la demande d’autorisation doit être déposée à la préfecture et être accompagnée d’un dossier administratif et technique. L’autorisation est délivrée pour une durée de cinq ans, renouvelable.
La délivrance de l’autorisation préfectorale impose au responsable du dispositif de respecter un ensemble de prescriptions portant sur des modalités techniques de mise en oeuvre. Les images enregistrées ne peuvent être conservées que pendant un délai maximum d’un mois.
Tout responsable d’un dispositif de vidéoprotection est tenu d’informer de manière claire et permanente le public surveillé de l’existence de ce système et de la personne qui en est responsable. Cette information doit être apportée au moyen de panonceaux et d’affiches. De plus, le responsable du système doit permettre à toute personne intéressée d’obtenir accès aux enregistrements la concernant.
Déclaration CNIL : exception - Si le système de vidéoprotection est associé à des traitements ou fichiers automatisés de données personnelles permettant l’identification, directe ou indirecte, des personnes physiques, la loi Informatique et Libertés a vocation à s’appliquer. En pratique, cela signifie qu’un tel dispositif doit uniquement faire l’objet des formalités préalables auprès de la CNIL, à l’exclusion de.s démarches auprès de la préfecture.(8)
3.2 L’extension des pouvoirs de contrôle et les sanctions
Les Commissions Départementales de Vidéoprotection - Ces commissions disposent d’un pouvoir de contrôle des conditions de fonctionnement des dispositifs autorisés au sein de tous locaux ou établissements professionnels. Elles peuvent émettre des recommandations et proposer au préfet la suspension ou la suppression des dispositifs non autorisés, non conformes ou dont il est fait un usage anormal.
La CNIL - La Commission nationale informatique et libertés est désormais compétente pour contrôler les dispositifs de vidéoprotection, qu'ils soient installés sur la voie publique ou dans des lieux ouverts au public, alors que jusqu’à présent elle ne contrôlait que ceux installés dans les lieux privés. La CNIL peut, à la suite de ces contrôles, prononcer des mises en demeure à l’encontre des responsables des dispositifs si elle constate des manquements aux obligations qui s’imposent à eux et proposer au préfet d’ordonner des mesures de suspension ou de suppression du système contrôlé.
Les sanctions - Le non-respect de la loi et des textes d’application peut faire l’objet, d’une part, de sanctions administratives et d’autre part de sanctions pénales.(9) Le préfet a ainsi la possibilité de retirer une autorisation d’installation en cas de manquement du titulaire à ses obligations. Le non-respect de la loi peut également être sanctionné par des peines d’emprisonnement (3 ans) et d’amende (45.000€). Peuvent constituer des infractions: le fait d’installer ou de maintenir un système sans autorisation, de procéder à la destruction des images hors délais ou de permettre à des personnes non autorisées d’accéder aux images.
En conséquence, il est recommandé aux commerçants et aux entreprises de s’assurer de la conformité de leurs dispositifs de vidéosurveillance à la loi et, à défaut, de prendre toutes mesures nécessaires de mise en conformité.
******************************
(1) Loi n° 2011-267 du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure dite LOPPSI 2(voir notamment le Chapitre III, Section 4 «Vidéoprotection») ; Communiqué CNIL du 26 avril 2011 « Programme des contrôles 2011 : une ambition réaffirmée, des compétences élargies » ; et Décret n°2011-877 du 25 juillet 2011 relatif à la commission nationale de la vidéoprotection.
(2) Par exemple, les caméras vidéos installées dans une superette et qui ont pour seule finalité de permettre au responsable du magasin de surveiller, sans le moindre enregistrement, en temps réel le magasin n’a pas besoin de faire l’objet d’une autorisation.
(3) Voir notamment les articles L. 1121-1, L. 1221-9, L.1222-4 et L.2323-32 du Code du travail et les dispositions de la Loi n° 78-17 du 6 janvier 1978, modifiée relative à l’informatique, aux fichiers et aux libertés.
(4) Loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité (voir notamment articles 10 et 10-2) .
(5) Les systèmes comprenant un dispositif biométrique doivent faire l’objet d’une demande d’autorisation auprès de la CNIL.
(6) Formation contentieuse de la CNIL du 18 janvier 2011 et Délibération CNIL n° 2009-201 du 16 avril 2009 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Jean-Marc Philippe.
(7) Voir notamment articles 226-1, 226-16, 226-24 et 131-38 du Code pénal.
(8) Voir l’article 10-I et II de la Loi du 21 janvier 1995 relative à la sécurité, modifiée
(9) Ces peines sont prononcées sans préjudice de l’application de l’article 226-1 du Code pénal qui sanctionne également de peines d’emprisonnement (un an) et d’amende (45.000€) les atteintes volontaires à l’intimité de la vie privée d’autrui.
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2011
Inscription à :
Articles (Atom)