Prévention de la diffusion de contenus terroristes en ligne : les nouvelles règles applicables

L’un des axes de la lutte anti-terroriste et contre la radicalisation porte sur la lutte contre la diffusion sur internet de contenus à caractère terroriste. L’Union européenne a renforcé sa réglementation en la matière avec l’adoption du règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO”, le 29 avril 2021. (1)

En France, après l’adoption de la loi du 24 août 2021, la réglementation relative à la lutte contre la diffusion de contenus terroristes en ligne vient d’être complétée par la loi du 16 août 2022. (2)

Cette loi poursuit et complète l’adaptation du droit français à la lutte contre la diffusion de contenus terroristes suite à l’entrée en application du règlement européen le 7 juin 2022. la nouvelle réglementation précise les conditions relatives à la notification et au retrait des contenus à caractère terroriste, les sanctions applicables pour non-respect de l’obligation de retrait, et enfin, les recours ouverts aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait de contenus.


1. Les règles relatives au retrait des contenus à caractère terroriste

La notion de “contenu à caractère terroriste” est précisément définie et les différents cas de figure listés dans le règlement comme “un ou plusieurs des types de matériel suivants, à savoir le matériel qui:
    a) incite à la commission de l’une des infractions visées à l’article 3, paragraphe 1, points a) à i), de la directive (UE) 2017/541, lorsque ce matériel prône la commission d’infractions terroristes, directement ou indirectement, par exemple en glorifiant les actes terroristes, entraînant ainsi le risque qu’une ou plusieurs de ces infractions soient commises ;
    b) sollicite une personne ou un groupe de personnes pour commettre l’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541, ou pour contribuer à la commission de l’une de ces infractions;
    c) sollicite une personne ou un groupe de personnes pour participer aux activités d’un groupe terroriste au sens de l’article 4, point b), de la directive (UE) 2017/541;
    d) fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ou concernant d’autres méthodes ou techniques spécifiques aux fins de commettre l’une des infractions terroristes visées à l’article 3 (…) de la directive (UE) 2017/541 ou de contribuer à la commission de l’une de ces infractions;
    e) constitue une menace quant à la commission d’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541.”

L’article 6-1 de la LCEN, modifié par la loi du 24 août 2021 et entré en vigueur le 7 juin 2022,  impose un délai très court - 24 heures - aux hébergeurs techniques et aux fournisseurs de contenus pour retirer ou bloquer les contenus à caractère terroriste. Ce délai court à compter de la réception d’une injonction de retrait de la part des autorités. En France, l’autorité compétente pour émettre les injonctions de retrait ou de blocage de contenus à caractère terroriste est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication - OCLCTIC.

Les injonctions de retrait doivent notamment être motivées et inclure l’URL exacte pour permettre aux destinataires d’accéder directement au contenu litigieux et prendre les mesures de suspension ou de blocage qui s’imposent.
 
Les fournisseurs de services d’hébergement destinataires d’une injonction de retrait informent l’autorité compétente du retrait ou du blocage du contenu en cause et des date et heure de cette action.  

Un modèle d’injonction de retrait et un modèle de réponse aux autorités figurent en annexe au règlement TCO.

L’OCLCTIC peut par ailleurs communiquer les adresses électroniques dont les contenus auraient un caractère terroriste, aux moteurs de recherche ou aux annuaires pour que ces derniers désindexent lesdits contenus, notamment lorsque le retrait n’a pas été effectué dans les délais impartis.

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est identifiée comme l’organisme compétent, par l’intermédiaire d’une personnalité qualifiée désignée en son sein, pour s’assurer notamment de la régularité des demandes de suppression et de déréférencement de contenus.

L’Arcom est également en charge de recueillir auprès des hébergeurs les informations nécessaires au suivi de l’application de leur obligation de retrait ou de blocage et de les mettre en demeure de se conformer à leurs obligations de retrait ou de rétablissement éventuel de contenus litigieux


2. Les sanctions applicables pour non-respect de l’obligation de retrait

Ces dispositions sont complétées par les nouveaux articles 6-1-1 à 6-1-5 de la LCEN qui précisent les modalités pratiques de la mise en oeuvre des injonctions de retrait et notamment les sanctions pénales applicables pour non-respect de l’obligation de retrait ou de blocage de contenus à caractère terroriste.

Le montant des sanctions est à la hauteur de l’enjeu de sécurité publique. En effet, l’absence de retrait ou de blocage d’un tel contenu par un hébergeur ou un éditeur de contenu dans le délai d’une heure à compter de la réception d’une injonction est punie d’un an d’emprisonnement et de 250.000 euros d’amende, ou 1.250.000 euros d’amende pour les personnes morales, qui peuvent par ailleurs être déclarées pénalement responsables. Lorsque cette infraction est commise “de manière habituelle” par une personne morale, l’amende peut atteindre 4% de son chiffre d’affaires mondial pour l’exercice N-1.

En cas de non-respect de leurs obligations de diligence vis-à-vis de ces contenus, l’Arcom peut en outre prononcer une amende administrative à l’encontre des hébergeurs fautifs, pouvant atteindre 4% de leur chiffre d’affaires mondial pour l’exercice N-1. Le montant de la sanction prend en considération plusieurs critères d’appréciation, tels que la nature, la gravité et la durée du manquement, le caractère intentionnel ou négligent du manquement, son caractère répétitif ou non, la coopération de l’hébergeur avec les autorités compétentes, etc.


3. Quels recours pour les hébergeurs et fournisseurs de contenus contre les injonctions de retrait de contenus ?

La loi prévoit différentes voies de recours aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait.

Les fournisseurs services d’hébergement et de contenus, ainsi que la personnalité qualifiée désignée par l’Arcom, peuvent demander l’annulation d’une injonction de retrait ou de blocage au président du tribunal administratif dans un délai de 48 heures à compter de sa réception par l’hébergeur, ou pour le fournisseur de contenu, à compter du moment où il a été informé du retrait du contenu par l’hébergeur.

De même, les fournisseurs de service d’hébergement et de contenu peuvent demander à la juridiction administrative d’annuler la décision motivée de la personnalité qualifiée désignée par l’Arcom, dans un délai de 48 heures à compter de la notification de cette décision.

Le président du tribunal administratif statue sur la légalité de l’injonction de retrait ou de la décision motivée dans les 72 heures de sa saisine.

    La plateforme Pharos permet à toute personne de signaler les contenus illicites, et notamment les contenus à caractère terroriste. (3) Ces signalements sont ensuite traités par l’OCLCTIC qui peut demander aux hébergeurs et aux fournisseurs de contenus le retrait desdits contenus dans le délai de 24 heures, ou leur blocage par les fournisseurs d’accès et les moteurs de recherche.

Selon les autorités, en 2021 l’OCLCTIC a prononcé près de 15.000 demandes de retrait auprès des hébergeurs et des fournisseurs de contenus.


                                                        * * * * * * * * * * *


(1) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO” (terrorist content online)

(2) Loi n°2021-1109 du 24 août 2021 confortant le respect des principes de la République ;
Loi n°2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, codifiée aux articles 6-1-1 à 6-1-5 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)

(3) Plateforme Pharos accessible à : https://www.internet-signalement.gouv.fr/PharosS1/

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2022

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde

La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 

Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

Sécurité des réseaux : la directive NIS a été transposée en droit français

La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

En résumé, la loi de transposition prévoit des obligations accrues en matière de sécurité informatique.

Deux nouvelles catégories d’entreprises sont identifiées :
   - les opérateurs de services essentiels (OSE) (correspondant globalement aux OIV – opérateurs d’importance vitale) qui regroupent les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques, et
   - les fournisseurs de services numériques (FSN) qui regroupent notamment les entreprises fournissant des services de cloud computing, les places de marché, et les moteurs de recherche.

Ces entreprises devront mettre en œuvre les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ces opérateurs devront informer l’ANSSI en cas d’incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. Tout manquement à ces obligations de sécurisation des réseaux, d’absence de déclaration d’incident ou de blocage aux opérations de contrôle sera passible d’amendes de 75.000€ à 125.000€ pour les OSE selon le type d’infraction, et de 50.000€ à 100.000€ pour les FSE.
 Un décret d’application précisant la liste des OSE et des FSN opérant sur le territoire français devrait venir compléter la loi avant le 9 novembre 2018.

                                                                      * * * * * * * * * * *

(1) Loi  n°2018-133 du 26 février 2018 portant diversesd ispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Bénédicte DELEPORTE

Avocat

Deleporte Wentz Avocat

Mars 2018

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes

La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The world’s most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.

 

Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)

1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :

            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),

            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.

Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),

            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.

L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),

            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d’amende.”) (3),

            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :

a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

b) elles ont une valeur commerciale parce qu'elles sont secrètes,

c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.”

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

            a) la pseudonymisation et le chiffrement des données à caractère personnel ;

            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;

            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).”

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.

2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :

            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,

            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :

            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou

            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :

            - la gestion des identifiants et des mots de passe,

            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,

            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :

            - une obligation de confidentialité renforcée,

            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,

            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,

            - les conditions d’accès (physique et technique) aux serveurs, etc.

Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017
 

Cybersécurité et OIV : les nouvelles exigences réglementaires européennes et françaises

Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité, et adopté ou sont en voie d’adoption de plusieurs textes législatifs et règlementaires.

Au niveau européen, la Commission a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. La proposition a été modifiée et adoptée en première lecture par le Parlement européen, le 13 février 2014. Ce texte est depuis en cours d’examen devant le Conseil. (1)

Les exigences issues du texte européen sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013 (LPM), dont les premiers décrets d’application viennent d’être publiés. (2)

Nous proposons ci-dessous une synthèse des principales dispositions européennes, en cours de discussion,et françaises, en vigueur.


1. Les opérateurs concernés

- Le projet de directive européenne, dans sa version initiale proposée par la Commission, imposait de nouvelles obligations aux administrations publiques et aux acteurs du marché.

Les acteurs du marché sont définis et divisés en deux catégories :

• les “prestataires de services de la société de l’information qui permettent la fourniture d’autres services de la société d’information”, à savoir les : plateformes de e-commerce, réseaux sociaux, moteurs de recherches, services Cloud, etc. ;

• les “opérateurs d’infrastructure essentielle au maintien de fonctions économiques et sociétales vitales”, dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions. Ces opérateurs exercent leurs activités dans les domaines de l’énergie, des transports, des services bancaires, des infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé.

Toutefois, ces dispositions ont été amendées par le Parlement, qui ne retiendra que les acteurs du marché qualifiés d’opérateurs d’infrastructure essentielle, dont l’effectif excède 10 personnes et dont le chiffre d’affaires annuel est supérieur à 2 millions d’euros. Les micro et petites entreprises sont donc exclues, sauf exception.

Aujourd’hui, de nombreuses questions concernant le champ d’application de la directive sont soulevées devant le Conseil. Les ministres ont émis le souhait d’ajouter une liste des secteurs d’infrastructures critiques communs et de définir des critères afin de déterminer les opérateurs qui en font partie, et décider si et dans quelle mesure les “services de la société d’information” et les “facilitateurs de services internet” devraient également être inclus dans le champ d’application de la directive.

- La réglementation française impose des obligations en matière de cybersécurité uniquement aux opérateurs d’importance vitale.

La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique

Pour rappel, les OIV sont définis, dans le Code de la défense, comme des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, ou de mettre gravement en cause la santé ou la vie de la population.


2. Le respect des mesures de sécurité et les audits

La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.

La réglementation française prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur système d’information (SI) à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.

A ce titre,  l’un des décrets du 27 mars 2015 précise que l’ANSSI élabore et propose au Premier ministre ces règles de sécurité, qui sont ensuite établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Des arrêtés pourront prévoir des règles et délais de mise en conformité différents selon le secteur ou le type d'activité de l'opérateur. En outre, chaque OIV doit établir, tenir à jour et communiquer à l’ANSSI la liste de ses SI, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent également les règles de sécurité.

De même, le décret précise qu’en cas de contrôle, le Premier ministre informe l'opérateur des objectifs de l'audit, du périmètre et du délai dans lequel l'audit sera réalisé. Ce type de contrôle ne pourra en principe être réalisé qu’une fois par an, par opérateur. En cas de contrôle, l’OIV devra fournir au prestataire en charge de l’audit les informations nécessaires pour évaluer la sécurité du SI ainsi que les moyens nécessaires pour y accéder. En fin de mission, le prestataire remettra à l’ANSSI un rapport comportant ses observations et, le cas échéant, les commentaires de l’opérateur concerné. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou par les agents de l’ANSSI.


3. La détection et la gestion des risques

La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et de réduire au minimum leur impact sur les services qu’ils fournissent.

Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la règlementation française. En effet, dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Les règles de sécurité fixeront les conditions et les délais dans lesquels les OIV mettront en oeuvre ces systèmes de détection, ainsi que le type de système utilisé. En outre, l’OIV doit conclure une convention avec le prestataire de service exploitant le système de détection comportant certaines mentions obligatoires (SI faisant l’objet du service de détection, type de système de détection utilisé et ses fonctionnalités, nature des informations échangées, etc.).


4. La notification des incidents de sécurité

Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.

Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident. Ces critères sont susceptibles d’être modifiés par le Conseil.

Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.

La règlementation met également à la charge des OIV, une obligation de déclarer sans délai (“dès que l’opérateur en a connaissance”) au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Des arrêtés viendront préciser les informations, leurs modalités de transmission et les types d’incidents concernés, en les distinguant, le cas échéant, selon le secteur ou le type d’activité de l’opérateur. Enfin, contrairement au texte européen, il n’est pas prévu la possibilité pour l’ANSSI ou les services de l’Etat d’informer le public en cas d’incident.


5. La qualification des produits et prestataires

Le projet de texte européen fait expressément référence à la qualification, sans donner plus de détail aux Etats membres.

En France, la procédure de qualification des produits de sécurité (sondes, etc.) et des prestataires de service vient d’être précisée par décret. Ce texte prévoit que la demande de qualification de produit ou en tant que prestataire de confiance est adressée à l’ANSSI. Après un premier examen du dossier par l’ANSSI, l’évaluation du produit ou des services concernés est réalisée par un centre d’évaluation agréé. Au terme de l’évaluation le centre remet un rapport sur la base duquel l’ANSSI va décider ou non de proposer la qualification du produit ou du prestataire au Premier ministre. La qualification est délivrée pour une durée maximale de 3 ans, renouvelable dans les mêmes conditions.


   L’ANSSI mène actuellement les travaux de préparation des arrêtés en collaboration avec les acteurs concernés. Pour ce faire, l’agence a mis en place, pour chaque domaine d’activité, un groupe de travail dans le but de définir des règles de sécurité adaptées aux spécificités des différents métiers. Ces arrêtés sectoriels devraient être publiés courant 2015.

Quant à la directive, le Conseil a tenu deux réunions de trilogue à son sujet avec le Parlement européen fin 2014. (3) En mars 2015, le Conseil a accepté de reprendre les négociations, la prochaine réunion de trilogue devant se tenir dans les jours prochains.

Une fois adoptée, les Etats membres devront transposer la directive dans leur législation interne dans un délai de 18 mois. Si les dispositions de la règlementation française sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.

                                                            * * * * * * * * * * *

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013 ; Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(3) Le trilogue est une réunion tripartite informelle entre représentants des trois institutions européennes, la Commission, le Parlement et le Conseil des ministres, visant à accélérer le processus législatif.

 

Betty SFEZ
Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Mai 2015

Délit d’usurpation d’identité numérique, un nouveau fondement juridique pour lutter contre la cybercriminalité

L’usurpation d’identité numérique n’est pas un phénomène nouveau. Ce type d’escroquerie sur internet, visant à se faire passer pour un autre (entreprise, administration) pour accéder à des données ou des comptes bancaires et détourner des fonds, ou porter atteinte à la réputation d’une entreprise ou d’une personne physique s’est développé parallèlement à l’essor de l’internet. En ces périodes troublées, le détournement de comptes bancaires pour en soutirer les fonds, ou de comptes personnels sur les réseaux sociaux à des fins de propagande par exemple, est plus que jamais un phénomène d’actualité.

Avant l’entrée en vigueur de la loi LOPPSI II, adoptée le 14 mars 2011, la victime d’une usurpation d’identité sur internet ne pouvait poursuivre l’auteur de l’infraction que sur des fondements généraux du droit pénal, tels l’escroquerie, la prise du nom d’un tiers aux fins de commission d’une infraction pénale (ex. diffamation, escroquerie), l’atteinte à un traitement automatisé de données, l’atteinte à la vie privée et l’atteinte au droit à l’image.

La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. (1)

La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web. (2)

Toutefois, la collecte des preuves, et surtout, l’identification de l’auteur du délit reste un obstacle difficile à surmonter pour la victime souhaitant engager des poursuites.

Nous analysons ci-dessous les aspects spécifiques de la notion d’usurpation d’identité numérique puis les moyens de défense dont disposent les victimes.


1. La notion d’usurpation d’identité numérique

    1.1 La définition légale

L’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tous autres éléments permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion et son périmètre.

L’usurpation d’identité “numérique”, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). (3)

Le préjudice effectif ou éventuel s’analyse en un trouble de la tranquillité de la personne dont l’identité est usurpée ou celle d’un tiers, ou en une atteinte à son honneur ou à sa réputation.

L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000€ d’amende. La condamnation peut atteindre 75.000€ lorsque l’auteur de l’infraction est une personne morale.

    1.2 Usurpation d’identité numérique : phishing, faux sites web et faux profils

L’usurpation d’identité numérique peut porter préjudice à deux catégories de victimes :

    - la personne dont l’identité a été usurpée : l’auteur de l’infraction nuit à son image, à sa réputation, à sa marque ou trouble sa tranquillité ;
    - le tiers trompé : l’auteur de l’infraction induit l’internaute en erreur et lui soutire des informations et/ou de l’argent.

L’usurpation d’identité numérique est généralement commise de deux manières : par la technique du phishing (ou hameçonnage), ou par la création d’un faux site web ou d’un faux profil sur un service de réseau social.

Le phishing ou hameçonnage
Le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques de la marque, en vue d’obtenir de la part d’internautes trompés, des informations personnelles (identifiants, mots de passe ou coordonnées bancaires). Ces informations sont ensuite utilisées pour accéder à leurs comptes et effectuer des opérations sous l’identité de l’internaute (virement, souscription d’un crédit, abonnement). (4)

Par exemple, dans un jugement rendu le 21 septembre 2005, le Tribunal de grande instance de Paris a condamné un internaute pour contrefaçon de marque et contrefaçon d’un site web. Ce dernier avait imité la page d’enregistrement du service Microsoft MSN Messenger, et sa marque figurative (le papillon MSN), pour obtenir des données personnelles des personnes au moment de leur enregistrement sur le service. (5)

La création d’un faux site web ou d’un faux profil sous l’identité d’une tierce personne
L’usurpation d’identité numérique est également réalisée via la création d’un faux site web, reprenant à l’identique les composants d’un site “légitime” (charte graphique, reproduction de tout ou partie du contenu, etc.). Cette technique est souvent liée à une “campagne” de phishing.

La création d’un faux site web ou d’un faux profil a pour objet ou pour effet de porter atteinte à l’honneur ou à la réputation du titulaire du site ou du profil, personne physique ou morale.

    1.3 Le jugement du 18 décembre 2014

Le Tribunal de grande instance de Paris a rendu un premier jugement le 18 décembre 2014 condamnant l’auteur d’une usurpation d’identité numérique sur le fondement de l’article 226-4-1 du Code pénal.

Dans cette affaire, un informaticien avait créé un faux "site officiel" de la députée-maire Rachida Dati. Le faux site reprenait la photo de Rachida Dati ainsi que la charte graphique du site officiel et permettait aux internautes de publier des commentaires sous la forme de communiqués de presse, soi-disant rédigés par Rachida Dati, mais au contenu trompeur. L’internaute se trouvait en réalité sur le site officiel, très similaire au faux site. L’auteur de cette usurpation avait utilisé une faille de sécurité du site de la députée-maire, permettant d'y injecter du code indirect (opération dite "XSS" ou cross-site scripting).

Le directeur du Cabinet de Madame Dati a déposé plainte contre X pour usurpation d’identité sur support numérique et atteinte aux systèmes de traitement automatisé de données. L’enquête, menée par la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), a permis d’identifier l’auteur des agissements.

Dans un jugement du 18 décembre 2014, le TGI de Paris a retenu les deux chefs d’accusation à l’encontre du prévenu. Le Tribunal considère en effet, que l’identité de Madame Rachida Dati avait été numériquement usurpée, dans la mesure où “ces mentions [“je vous offre un communiqué…" ou “merci pour ce geste citoyen “], aux côtés du nom de Madame Rachida Dati et sur un site reprenant la photographie officielle de la député-maire, sa mise en page et sa charte graphique, ne peut que conduire l’internaute à opérer une confusion avec le site officiel de celle-ci“.

Par ailleurs, le Tribunal a retenu que l’auteur du faux site avait mis en place un dispositif permettant la mise en ligne par les internautes de faux communiqués au contenu sexiste et dégradant. Or, en sa qualité de modérateur du site, il avait la possibilité de fermer son site ou de désapprouver les termes des commentaires mis en ligne par les internautes.

Le prévenu a également été considéré coupable d’introduction frauduleuse de données dans un système de traitement de données, du fait d'avoir exploité la faille de sécurité du site officiel pour y introduire des instructions dans le but d’en modifier son comportement. L’ensemble de ces éléments entraînant la confusion avec le site officiel de la femme politique, l’internaute a été reconnu coupable d’usurpation d’identité numérique. Condamné à une amende de 3.000€, l’auteur du faux site a fait appel de la décision.

Le fournisseur d’hébergement a quant à lui été reconnu complice de cette infraction.


2. Les moyens de défense à la disposition des victimes

    2.1 Pour la personne usurpée

Face à ce type d’agissement, il est possible de prendre des mesures proactives, ou en cas de constatation d’une infraction, de prendre des mesures en réaction.

Les institutions fournissent des recommandations, proactives - concernant la sécurité des comptes personnels, et réactives - concernant les mesures de retrait de contenu ou de dépôt de plainte.

L’Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet) fournit une série de recommandations aux fins d’éviter l’usurpation d’identité numérique. Ces recommandations, qui relèvent souvent du bon sens, consistent notamment, à utiliser des mots de passe complexes et de ne pas les communiquer à des tiers, activer les protections anti-phishing existant dans certains navigateurs web, éviter de se connecter sur des sites sensibles (sites de banques ou de vente en ligne) dans les lieux publics ou chez des tiers, ne pas répondre à des emails provenant de prétendus organismes de confiance et demandant de communiquer mots de passe ou autres coordonnées personnelles confidentielles, ne jamais cliquer sur les liens ni ouvrir les documents contenus dans ces messages, etc. (6)

Si des informations d’identification ont été publiées sans autorisation et/ou détournées, le responsable du site sur lequel ces informations ou données sont publiées doit être contacté pour en demander leur suppression. A cet effet, la CNIL (Commission nationale de l’informatique et des libertés) propose sur son site des modèles de courriers pour formuler cette demande. (7) A défaut de réponse, il conviendra alors de porter plainte en ligne via le site de la CNIL. La Commission aide ainsi à la suppression des informations détournées et à la récupération de l’accès à sa messagerie électronique. (8)

    2.2 Les moyens de preuve à l’appui d’une action en usurpation d’identité numérique

La difficulté à identifier l’auteur de l’infraction
Il existe encore peu de décisions judiciaires condamnant ces pratiques. La victime se heurte en effet à deux difficultés majeures : l’identification des auteurs de l’escroquerie, rendue difficile notamment à cause des procédés d’anonymisation ; et la localisation de l’auteur. Lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci est souvent situé à l’étranger, rendant les poursuites difficiles et la procédure coûteuse.

Comme mentionné ci-dessus, la victime d’une usurpation d’identité numérique peut adresser une plainte à la CNIL. Elle peut également porter plainte soit auprès des forces de l’ordre (police ou gendarmerie), soit directement auprès du procureur de la République.

Afin que l’affaire ne soit pas classée sans suite, il est fortement recommandé de fournir des éléments de preuve remontant jusqu’à l’auteur de l’infraction. A cette fin, la victime peut contacter le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction.

Les moyens de preuve
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires” (article 6 II). (9)

Ainsi, à la demande de l’autorité judiciaire, FAI et hébergeurs doivent transmettre toute information en leur possession, nécessaire à la constitution du dossier, dans le respect des délais de prescription. Il est à noter cependant que, suivant les catégories de données concernées, différents délais de prescription s’appliquent. Ainsi, les données de connexion ne seront conservées que pendant un an.

Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites.

Une infraction “autonome”
Depuis la LOPPSI II, le délit d’usurpation d’identité numérique est une infraction autonome. Ainsi, le seul fait de commettre un acte de phishing, même sans accès effectif aux comptes dont les données ont été récupérées, est suffisant pour être qualifié d’acte d’usurpation d’identité numérique. Il n’est donc pas obligatoire de rapporter la preuve selon laquelle l’usurpation a été commise en vue de la réalisation d’une infraction (telle que le détournement de fonds ou l’apologie du terrorisme par exemple).

Le législateur exige cependant un dol spécial : l’accusation doit rapporter la preuve que l’usurpateur a agi en vue de troubler la tranquillité de la personne dont l’identité est usurpée ou de celle d’un tiers, ou afin de porter atteinte à son honneur ou à sa considération.

Toutefois, le législateur n’impose pas de prouver une répétition des agissements fautifs, alors que la rédaction initiale de l’article 226-4-1 al. 2 dans le projet de loi LOPPSI II avait prévu une condition de réitération.

Une infraction “instantanée”
L’usurpation d’identité numérique étant un délit, la victime dispose d’un délai de prescription de trois ans pour agir. Le délit d’usurpation d’identité numérique est une infraction instantanée : le point de départ du délai de prescription se situe au jour où l’identité a été usurpée.

Cependant, comme mentionné plus haut, il convient d’agir sans attendre. En effet, selon les catégories de données concernées, différents délais de prescription peuvent avoir pour conséquence que certaines d’entre elles ne seront plus disponibles au moment de la constitution du dossier.

                                                        * * * * * * * * * * *

(1) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, et

(2) TGI Paris, 13e ch. corr., 18 décembre 2014, MP c/ X.

(3) art. 226-4-1 du code pénal : “Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”

(4) Les auteurs de l’escroquerie utilisent régulièrement la technique du ”social engineering”, ou ingénierie sociale, méthode de manipulation abusant de la crédulité de personnes, afin qu’elles divulguent des données confidentielles.

(5) TGI Paris, 31e ch. corr., 21 septembre 2005, Microsoft Corporation c/ Robin B

(6) Fiche Hadopi relative aux moyens de sécurisation : Identité numérique//Usurpation d’identité publiée en décembre 2011, accessible à : http://www.hadopi.fr/sites/default/files/page/pdf/UsurpationIdentite.pdf

(7) Accessibles sur le site de la CNIL à : http://www.cnil.fr/vos-droits/les-courriers-pour-agir/

(8) Voir http://www.cnil.fr/vos-droits/plainte-en-ligne/ et http://www.cnil.fr/vos-droits/la-cnil-a-vos-cotes/

(9) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2015