Libre accès, même involontaire, n’est pas intrusion ni vol

Nous avons déjà eu l’occasion à plusieurs reprises d’affirmer que les artifices juridiques de répression étaient lacunaires en matière de violation des secrets d’affaires et qu’en l’occurrence le droit pénal spécial était pour partie inadapté en cas d’atteinte au patrimoine informationnel http://avocats.fr/space/gilles.huvelin/content/_09312e06-8d1c-46e0-9827-54a859d67ab4

 

Cela s’est encore confirmé en matière de délit informatique, notamment en application de l’article 323-1 du Code pénal, issu de la loi Godfrain de 1998, sanctionnant les intrusions informatiques http://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000025585008&cidTexte=LEGITEXT000006070719&dateTexte=20130703&fastPos=1&fastReqId=791815281&oldAction=rechCodeArticle .

 

En l’espèce, un internaute avait pu pénétrer en libre accès sur l’extranet d’une institution (Agence nationale de sécurité sanitaire de l’alimentation – ANSES) lui permettant de consulter des informations essentielles qu’il a pu librement enregistrer.

 

Il était donc renvoyé devant le Tribunal correctionnel de Créteil pour intrusion frauduleuse et vol de documents sur plainte de la victime et après enquête confiée à la DCRI.

 

Il a néanmoins été relaxé de ce chef de poursuite dans la mesure où il a été démontré techniquement que pour des raisons indépendantes de sa volonté (défaillance pour cause de d’erreur matérielle de paramétrage du serveur hébergeant l’extranet l’ANSES), qu’il avait pu se rendre sur ce site, sans contourner ou « casser » un quelconque filtre informatique (code d’accès utilisateur et mot de passe inopérants au moment des faits).

 

Dès lors, le tribunal a ainsi estimé qu’il n’y avait ni vol, ni accès frauduleux.

 

Le tribunal a jugé que l’auteur des faits a « légitiment pu penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en libre accès et qu’il pouvait parfaitement se maintenir dans le système ».

 

Le tribunal excuse, l’erreur ne pardonne pas.

 

PS : on sera davantage encore ennuyé par la relaxe au titre du vol, le tribunal ayant estimé que le simple téléchargement de fichiers informatiques n’était pas constitutif de soustraction en l’absence de support matériel ; « puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ».

Les juges issus de la vieille école auraient été mieux inspirés de venir entendre ce qui se dit sur le sujet à la Cour de cassation lorsque le thème du colloque est « de l’intelligence économique à l’intelligence juridique »…

 

TGI Créteil, 11ème ch. Corr, 23 avril 2013

Une société détentrice de biens appartenant à un tiers, responsable de la légèreté blâmable de ses salariés

Même si le litige en question portait sur des biens corporels, et qu’il serait désormais intéressant – pour ne retenir que la défense et la protection du patrimoine informationnel des entreprises – de voir comment l’affaire aurait été jugée pour des données immatérielles, il n’en demeure pas moins que la Cour de cassation a jugé le prestataire externe responsable à cause de la faute de son salarié qui a donné des informations essentielles à des tiers concernant la marchandise du donneur d’ordre qui ont été volées sur la base de ces renseignements.

 

Nous ne cessons de rappeler la nécessité pour les employeurs de sensibiliser en interne les salariés eu égard aux règles de sécurité de l’entreprise.

 

De même, les clauses de discrétion et de confidentialité dans les contrats ne doivent pas être considérées comme étant purement de style.

 

Cass. com., 4 juin 2013, n°11-28082

Droit d’auteur, ou celui de l’investisseur ?

Il est patent que les droits industriels sont en général dévolus à l’employeur (brevets, logiciels, bases de données …), reconnu comme titulaire pour en être l’investisseur financier, rejoignant en cela la théorie anglo-saxonne, tandis qu’en matière de droits littéraire et artistiques, le droit d’auteur reste la propriété du géniteur originaire.

L’évolution du business actuel tend à estomper de plus en plus cette différence d’appréciation.

Ainsi en est-il des doits d’auteur en matière de design.

Dans cette affaire, la Cour d’appel de Paris a refusé d’attribuer tous les droits moraux au salarié créateur d’ustensiles de cuisine, estimant qu’il avait agi sous les orientations et directives de son employeur (« instructions esthétiques »). Dès lors, les œuvres sont déclarées collectives.

 

CA Paris, 22 mars 2013, RG n°11-19630

Liberté de la presse : l’évocation de condamnations amnistiée ou prescrite autorisée

Saisi au moyen d’une question prioritaire de constitutionnalité (QPC), le Conseil constitutionnel a, par une décision en date du 7 juin 2013, estimé qu’une amnistie ou une prescription ne doit pas empêcher la presse de pouvoir évoquer des faits incriminés relatifs à une personne physique précédemment mise en cause.

 

Ce faisant, le Conseil constitutionnel a invalidé l’article 35 c) de la loi du 29 juillet 1881.

 

CC, 7 juin 2013, n°2013-319 QPC

Mickey se fait tirer l’oreille

 

Alors que le distributeur de meubles suédois est toujours dans l’œil du cyclone, l’exploitant du parc européen Disney (Marne la Vallée) a récemment été condamné pour avoir « espionné » ses salariés à l’embauche par le Tribunal correctionnel de Meaux en date du 27 juin 2013, pour des faits connus et établis entre 1999 et 2004.

 

L’employeur se renseignait sur les candidats auprès d’officines composées d’anciens gendarmes et policiers qui avaient leurs sources en activité au sein de la Police ou de la Gendarmerie.

 

Mickey les grandes oreilles s’en remettaient aux barbouzes.

Saisies informatiques de messagerie « en bloc » : les nouvelles limites à l’insécabilité

Dans le BSA #2 (page 5) http://www.institut-ie.fr/bsa/BSA_02_12_2012.pdf nous avions évoqué cette affaire de saisie de messagerie électronique par l’Autorité de la Concurrence, dans le cadre d’une enquête sur des ententes commerciales et qui fut notamment abordée dans le cadre du colloque qui s’est tenue à la Cour de cassation le 13 juin 2013, sur le thème de « l’intelligence économique à l’intelligence juridique » http://demaisonrouge-avocat.com/2013/05/15/nos-prochaines-interventions-sur-le-droit-de-lintelligence-economique-et-le-secret-des-affaires/

 

Alors que la messagerie contenait des échanges entre le client et son avocat, la Cour de cassation avait néanmoins validé la procédure.

 

La Chambre criminelle est revenue sur cette position antérieure – réparant à notre grande satisfaction l’outrage fait à la profession d’avocat – estimant récemment qu’en matière de perquisition, le principe de la liberté de la défense « commande de respecter la confidentialité des correspondances échangées entre un avocat et son client » et dès lors la saisie contenant une telle correspondance doit être annulée. Cela même lorsque l’avocat est sollicité pour une activité de conseil, indépendamment de toute stratégie de défense devant un tribunal.

 

En cela, la Chambre criminelle s’aligne sur la position précédemment développée par la Chambre commerciale.

 

Cass. crim., 24 avril 2013, pourvoi n°12-80.336

Violation des données personnelles sur Internet : l’UE s’empare du sujet

Tandis que l’affaire PRISM / Snowden apporte chaque jour son lot de révélations sur l’espionnage interétatique via les échanges sur Internet – hasard du calendrier sans nul doute – l’Union Européenne légiférait sur le sujet.

 

Ainsi, en application de la directive 2002/58/CE du 12 juillet 2002 sur la vie privée et les communications électroniques, le règlement UE °611/2013 du 24 juin 2013 est venu encadrer « les mesures relatives à la notification des violations de données à caractère personnel ».

 

Le règlement introduit une procédure innovante d’alerte pesant sur les opérateurs Internet, lui faisant obligation d’informer les pouvoirs publics sur les intrusions et violations des données à caractère personnel des utilisateurs.

 

Cette obligation s’impose aux fournisseurs de services de communications électroniques.

 

Le délai de notification en cas de constatation d’intrusion est de 24h00.