Publié le 23-02-2004 à 00:00:00 dans le thème Lois - Justice

Pays : Europe - Auteur : Damien Bancal

Pub : Participez à des batailles navales sanglantes et gagnez 10000 € sur Bigpoint.fr

Intrusion dans un système de traitement automatisé de données et aspiration d'un site web : quels enjeux pour le droit ?

Par Maître Murielle Cahen

Si le phénomène du piratage informatique a, d'ores et déjà, fait l'objet d'une intervention législative, conduisant à l'insertion, par le biais de la loi Godfrain du 5 janvier 1988, dans le code pénal des dispositions spécifiques à l'accès et maintien frauduleux dans un système de traitement automatisé de données (art. 323-1 et s. Code pénal), des nouveaux problèmes liés à la technologie de l'information ne cessent d'apparaître. C'est le cas, par exemple de la technique dite d'aspiration d'un site web, qui permet à l'internaute de récupérer partiellement ou entièrement le contenu d'une surface interactive et de l'archiver dans le disque dur de son ordinateur, afin de pouvoir y accéder hors connexion.
Les deux techniques -l'intrusion dans un système informatique et l'aspiration de site- présentent des similarités, en ce qui concerne, notamment leur mode d'exécution : des programmes spécifiques, voire des logiciels très élaborés, sont utilisés tant pour accéder dans un système de traitement automatisé de données que pour " aspirer " un site web. Ce fait, pourtant, ne suffit pas pour les assimiler.

En effet, dans le cas de l'accès et maintien frauduleux dans un système informatique, il s'agit bien d'une infraction pénale, qui consiste essentiellement à pénétrer sans droit dans un système en en forçant l'accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d'un programme ou d'un fichier sans autorisation etc), le maintien frauduleux, l'entrave d'un système ou l'altération de son fonctionnement (virus, mail bombing etc), ainsi que l'altération, la suppression ou l'introduction de données pirates.
En revanche, dans le cas de l'aspiration de site, il s'agit d'une technique non appréhendée par une disposition spécifique de droit. Ceci dit, il pourrait s'agir d'une méthode tout à fait licite. Or, le fait de copier tout ou une partie du contenu d'un site web, afin de pouvoir le visualiser sans être connecté, est susceptible de porter atteinte aux droits d'auteur du créateur dudit site.

A. L'intrusion dans un système informatique.

Il existe différents types de pirates informatiques : du hacker classique, qui s'introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu'il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d'entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique.

L'intrusion peut s'effectuer par le biais d'un programme qui se cache lui-même dans un programme " net " (par exemple reçu dans la boite aux lettres ou téléchargé). L'un des plus connus est le Back Office qui permet d'administrer l'ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. Dans ce cas là, le pirate utilise souvent des programmes de déchiffrage qui fonctionnent avec des dictionnaires proposant de nombreux mots de passe à des fréquences très élevées (jusqu'à plusieurs milliers de mots de passe par seconde).
Après la prise de contrôle, souvent indécelable, le pirate peut introduire des programmes de corruption (virus, bombe etc), modifier des données (par exemple défigurer une page web), installer des programmes espions (Sniffer). Quelle protection pour les entreprises victimes d'un piratage via réseaux ?

I. Les actions sur le plan juridique
a) La responsabilité pénale

La loi Godfrain du 8 janvier 1988, bien qu'élaborée à une époque où on ne parlait pas encore d'Internet et dont les dispositions ont été reprises par le Code pénal dans un chapitre intitulé " Des atteintes au système de traitement automatisé de données ", permet de sanctionner toutes les intrusions non autorisées dans un système informatique. Les sanctions prévues varient selon que l'intrusion a eu ou non une incidence sur le système en cause.

i. Les intrusions simples
L'article L.323-1 du Nouveau code pénal prévoit que " le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni d'un an d'emprisonnement et de 15 000 euros d'amende ". Ces systèmes comprennent, entre autre, les sites web.

Accès frauduleux
La Cour d'appel de Paris a considéré dans un arrêt du 5 avril 1994 que " l'accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de communication ".
Quid, pourtant, si le système n'est pas protégé ? La Cour d'appel de Paris, dans un arrêt en date du 30 octobre 2002 , a jugé que la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'est pas répréhensible. Elle a, ainsi, reformé le jugement du Tribunal de grande instance de Paris, qui avait estimait que l'existence des failles de sécurité ne constituait " en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d'une infraction pénale " . En effet, l'article 226-17 du Code Pénal réprime le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment d'empêcher qu'elles ne soient communiquées à des tiers non-autorisés.

Le maintien frauduleux
La loi incrimine également le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement ( Cour d'appel de Paris, jugement du 5 avril 1994 précité).

Quant à l'élément intentionnel de cette infraction, la doctrine et la jurisprudence s'accordent à admettre que l'adverbe " frauduleusement " n'est pas le dol général de l'attitude volontaire, ni le dol très spécial de l'intention de nuire, mais la conscience chez le délinquant que l'accès ou le maintien ne lui était pas autorisé.

ii. Les intrusions avec dommages
L'alinéa 2 de l'article 323-1 du nouveau Code pénal prévoit un renforcement des sanctions, lorsque l'intrusion et le maintien frauduleux ont certaines conséquences :
" Lorsqu'il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30 000 euros d'amende "
Ne sont concernées par cet article que les altérations involontaires. L'entrave volontaire au système ou l'entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

iii. Les entraves volontaires au système ou aux données s'y trouvant.
L'article 323-2 du Nouveau Code pénal définit l'entrave volontaire au système comme " Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données ". Le peine encourue est de trois ans d'emprisonnement et de 45.000 euros d'amende. Cette infraction vise, notamment, l'introduction des programmes susceptibles d'entraîner une perturbation au système, tels que les virus, les bombes logiques etc.
L'article 323-3 du Nouveau Code pénal sanctionne, par ailleurs, l'introduction, la suppression ou la modification frauduleuses de données dans un système informatique. Les applications illicites visées par cet article sont nombreuses. Elles peuvent aller de la réduction du prix des marchandises sur un site de commerce électronique, la modification ou la suppression du contenu des bases de données à la modification du statut fiscal de l'entreprise.
En tout cas, ces agissements sont susceptibles d'entraîner une perte financière considérable au sein de l'entreprise.

b. La responsabilité civile délictuelle.
Le droit commun de la responsabilité civile délictuelle est fondée sur la nation de la faute au sens de l'article 1382 du Code civil. Elle nécessite une faute, un dommage et un lien de causalité entre les deux. La faute consiste ici en une intrusion dans un système informatique à l'insu de son utilisateur. Quant au dommage, il faut savoir s'il y a eu une perte et/ou une altération des informations contenues dans le site ou si le pirate a communiqué les données personnelles s'y trouvant à des tiers. Enfin, le lien de causalité entre la faute et le dommage doit être clairement établi.

Quid, pourtant, si le pirate n'est pas de nationalité française ou s'il opère de l'étranger ? La question qui se pose, dans ce cas, est celle de la compétence judiciaire internationale et de la loi applicable.
En droit français, le tribunal compétent pour juger un litige international est, en principe, celui du domicile du défendeur, à moins que le demandeur, s'il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement " concernant la compétence judiciaire, la reconnaissance et l'exécution des décisions en matière civile et commerciale ".
S'agissant d'un délit ou d'un quasi-délit, les articles 5§3 de la Convention de Bruxelles et du règlement 44/2001 précité, posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable s'est produit ou risque de se produire. Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l'événement causal qui est à l'origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d'Alsace : Rec. CJCE, p. 1735).
Dans le cas où le dommage, causé par l'intrusion, serait survenu au sein du système informatique d'une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.
Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c'est à dire la loi où le fait dommageable s'est produit. La Cour de Cassation a jugé que le lieu où le fait dommageable s'est produit s'entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier (Cass. 1re civ., 14 janvier 1997, D. 1997, p.177).

c. La responsabilité civile contractuelle.
Il est possible, en effet, d'engager la responsabilité civile contractuelle de l'héberger du site. Pour cela, il faudrait examiner les clauses contenues dans le contrat d'hébergement concernant notamment la sécurité du site et la mise en place de systèmes informatiques de protection contre toute forme d'intrusion. Il faudrait aussi qualifier cette obligation de l'héberger : s'agit-il d'une obligation de résultat ou de moyens ? Dans la plus part de cas, il ne pourra s'agir que d'une obligation de moyens qui aura pour effet de contraindre le prestataire d'apporter la preuve qu'il n'a pas manqué aux obligations normales qui lui incombaient, en cas d'intrusion informatique non autorisée.

II. Les mesures préventives
Certes, la possibilité d'intenter une action a posteriori contre le responsable de l'intrusion existe. Est-ce, pourtant, une solution efficace ?
Sur le plan juridique, la difficulté réside sur l'administration de la preuve, d'autant plus si l'intrusion a été effectuée à partir d'un réseau ouvert de type Internet. En effet, même si l'origine de cette intrusion peut être détectée, l'identification de la personne qui se cache derrière celle-ci peut s'avérer extrêmement difficile. Or, l'étendue les dommages susceptibles d'être causés tant aux systèmes d'information attaqués et, par voie de conséquence, à l'entreprise qui les gère qu'à la crédibilité de cette dernière sur le plan professionnel, impose que des mesures de précaution soient prises.
En premier lieu, il est important d'insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique. Dans le premier cas, il s'agira de déterminer les conditions d'accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l'espace où sera localisé le serveur, conditions d'intervention en cas de panne etc). Dans l'hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l'ordinateur connecté à l'Internet, afin d'empêcher les utilisateurs de s'en servir pour naviguer sur l'ensemble du système informatique. Les systèmes de signature électronique et de cryptologie permettent également d'assurer la sécurité des échanges.
Par ailleurs, on peut imaginer qu'une entreprise puisse souscrire une assurance contre le risque d'attaque informatique. Dans ce cas précis, le dédommagement dépendra du type d'assurance souscrite.

B. L'aspiration de site
La technique d'aspiration de site consiste, comme on l'a déjà précisé, à copier, partiellement ou entièrement le contenu d'un site, ainsi que des pages liées, sur le disque dur de l'ordinateur de l'utilisateur, afin de pouvoir y accéder hors connexion. Le site ainsi " aspiré " s'ouvre comme n'importe quel fichier sans attente ni risque de coupure de la connexion.
Il existe, en effet, des logiciels, tel que Mémoweb, qui permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).
Il est vrai que l'aspiration des sites a suscité des multiples interrogations quant à sa légitimité face au droit d'auteur. D'autant plus que, comme on va le voir par la suite, les réponses données par l'application du droit de la propriété intellectuelle peuvent varier selon la catégorie à la quelle l'œuvre en cause s'attache.

I. L'aspiration de site face aux droits de propriété intellectuelle
a. La protection des droits d'auteur du créateur du site

L'auteur d'un œuvre bénéficie d'une protection élevée en France et en Europe en application des droits qui lui sont conférés par le CPI, ainsi que par la directive CE 2001/29 du 22 mai 2001 sur l'harmonisation de certains aspects du droit d'auteur et des droits voisins dans la société de l'information.
La jurisprudence française considère, depuis un jugement du Tribunal de commerce de Paris du 9 février 1998, que le contenu des pages web est protégeable au titre des droits d'auteurs. Pour cela, il faut que les critères posés par le CPI - création originale, fixée sur un support- soient remplis. Ainsi, l'art. L.122-4 du CPI dispose que " Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l'auteur ou de ses ayants droits au ayants cause est illicite " et elle est donc punie à titre de contrefaçon.
Or, l'interdiction de la reproduction intégrale ou partielle de l'œuvre, faite sans le consentement de son auteur ne comprend pas, selon l'article 122-5 2° du CPI, " les copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective ".
Ceci dit, l'aspiration d'un site peut parfaitement être considérée comme l'exercice par l'utilisateur de son droit de copie privée d'une œuvre déjà divulguée. En d'autres termes, la légitimité de la technique d'aspiration d'un site, face au droit d'auteur qu'on présume applicable, dépend, comme c'est le cas pour tous les œuvres de l'esprit bénéficiant de la protection par ce dernier, de l'utilisation qu'en est faite. Ainsi, la projection d'un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l'œuvre et serait, donc, interdite, à moins que le titulaire des droits n'ait pas donné préalablement son accord.

b. La protection des bases de données

Selon l'article L.341-1 du CPI " Le producteur d'une base de données, entendu comme la personne qui prend l'initiative et assure le risque des investissements correspondants, bénéficie d'une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d'un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s'exerce sans préjudice de cesses résultant du droit d'auteur ou d'un autre droit sur la base de données ou un de ses éléments constitutifs ".
Le producteur d'une base de données a le droit d'interdire l'extraction, par transfert permanent ou temporaire, de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, ainsi que la réutilisation, par la mise à la disposition du public de ceci (art. L. 342-1 CPI).
L'article 122-4 du CPI exclue le droit de copie privée pour les " copies et reproductions d'une base de données électronique ".

Il reste à savoir ce qu'on l'en entend comme base de données. A cet égard, l'article L. 112-3 du CPI dispose qu' " on entend par base de données un recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout moyen ".
Or, si certains sites web peuvent être considérés comme des bases de données, la majorité d'entre eux ne le sont pas. La raison est qu'ils ne répondent pas à la définition de " recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique ".

En effet, si un site de compilation de données (un annuaire en ligne par exemple ou un site portail) constitue certainement une base de données, un site classique (site commercial) ne semble pas pour autant pouvoir revêtir cette qualification ; dans le cas de ce dernier, l'assemblage d'images, de sons et de textes n'a rien ni d'une disposition systématique, ni d'un recueil de données.

Qu'en est-il, pourtant, des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ? Dans ces cas très fréquents, il faut considérer que l'objet de la protection c'est non pas le site entier, qui ne présente, par ailleurs, aucune structure systématique et méthodique, mais seulement la base elle-même. Cette dernière, d'ailleurs, n'est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L'accès à une telle base constituerait l'infraction, décrite ci-dessus, d'accès et maintien dans un système de traitement automatisé de données.

II. L'aspiration d'un site peut-elle être considérée comme une intrusion dans un système informatique ?

Pour que l'aspiration d'un site puisse être sanctionnée au titre de l'article 323-1 du Code pénal, il faut, avant tout, qu'il y ait eu intrusion dans un système informatique au sens de ce même article. Or, il n'y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée. Comme le montre la décision récente de la Cour d'appel de Paris précitée , il ne suffit pas que la personne acteur de l'intrusion n'avait pas le droit d'accès dans le système, mais encore faut-il qu'il en ait forcé l'accès, en utilisant une méthode particulière et non pas un simple navigateur.

L'aspiration d'un site s'effectue bien sur avec des logiciels spéciaux. En plus, dans la plus part de cas, l'utilisateur ne demande pas l'autorisation préalable du créateur du site. Or, l'accès à ce dernier n'est nullement forcé!

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l'aspiration et le dommage.

L'aspiration d'un site n'est rien d'autre qu'un téléchargement simultané de tous les éléments d'une page ou d'un site web. Mis à part l'hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l'accès à celui-ci est libre, rien a priori ne semble s'opposer à son aspiration pour des fins privés.

Autodesk fête le 10e anniversaire du logiciel Maya

La nouvelle version offre des capacités de production stéréoscopique, la simulation nParticles, ainsi que des puissants outils d’animation et de productivité.

Stitcher Unlimited 2009 et ImageModeler 2009

Ces logiciels proposent des capacités avancées de création de panoramas et de modélisation 3D à partir d’images 2D

Faux courriels Fedex

Des pirates diffusent un virus informatique en usurpant l'identité de la société de transport Fedex.

Boulette informatique pour la banque Barclay's

17.000 clients ont reçu les données bancaires appartenant à d'autres membres de la banque Barclay's.

Le site sur la fumette se fait fumer

Exclu : Le site Internet dédié à la légalisation du Cannabis en France se fait pirater le joint électronique.

Ministère de la Jeunesse et des Sports owned

Exclu : Un pirate se lance dans le site Internet du Ministère de la Jeunesse et des Sports Français. Plus loin, plus haut, plus fort ?

Le site Voila piraté ?

Exclu : Le site Internet Voila, filiale de France Télécom, considéré comme dangereux par la sécurité du navigateur Firefox.

Le Top 10 des menaces de juillet 2008

Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.

Trop de copieurs, la justice allemande baisse les bras

La justice Allemande va s'intéresser aux copieurs qui font du business et décide de laisser tranquille les milliers d'internautes consommateurs de copies.

WizzGo, un magnétoscope numérique en ligne Interdit de M6

Métropole Télévision, M6 et W9 viennent de faire interdire l'option enregistrement du magnétoscope numérique en ligne WizzGo.

Champions League: Des fans revendent des places sur eBay

Le club de football du Standard de Liège a fait stopper des ventes de billets sur le site d'enchéres eBay.

Un internaute arrêté après des menaces sur Youtube

Un internaute américain annonçait sur Youtube avoir empoisonné des petits pots pour bébé. Il risque de finir sans dents !

Un pourri informatique dans le monde des subprimes

Les subprimes, ces crédits immobiliers qui font le malheur de millions d'américains auront profité à un pirate informatique.

Fuite pirate, UbiSoft bouche un trou

L'éditeur de jeu vidéo s'attaque à un de ses anciens partenaires et lui réclame 10 millions de dollars après la diffusion d'une version pirate du jeu Assassin's Creed.

Deux pirates vendent leur botnet 25.000 euros

La police néerlandaise a arrêté deux frères soupçonnés d'avoir diriger un botnet contrôlant plus de 50.000 ordinateurs.

11 pirates inculpés pour le piratage de CB

Onze pirates informatiques ont été inculpés pour le vol et la revente de quelque 40 millions de numéros de cartes de crédit.

Réagissez à ce contenu