Intrusion numérique, vols de données et coresponsabilité
A l’ère de la dématérialisation, toute donnée est une source d’information plus ou moins qualifiée. Selon son utilisateur, elle contient nombre de renseignements, commerciaux, économiques, fiscaux, …
C’est pourquoi, les tribunaux ont infléchi au fil du temps, notamment à l’appui des faisceaux de décisions dont nous avons été artisan (et des formations dispensées à l’ENM), leur position auparavant très académique pour admettre le vol de données, tandis que le législateur a récemment intégré sous l’article 323-3 du Code pénal (loi Godfrain), leur extraction pénalement répréhensible.
Sur la base de ce texte, un anonymous a été condamné pour :
- avoir accédé frauduleusement au serveur des systèmes d’information d’EDF,
- avoir procédé à une attaque par déni de service,
- et avoir appelé des internautes à agir de la sorte.
TGI Paris, 13e ch. Corr., 28 septembre 2016
La loge maçonnique du Grand Orient de France (GODF) en a également fait les frais, mettant en évidence les failles du fichier des frères http://blogs.lexpress.fr/lumiere-franc-macon/2016/11/21/godf-le-mystere-des-fichiers-voles-salourdit/
Compte tenu de cette prise de conscience et limiter les sanctions pour des motifs d’intérêt général, les exceptions au principe sont apparues. C’est dans cet esprit que la Loi pour la République Numérique a intégré une reconnaissance des lanceurs d’alerte qui voient leur action d’intrusion numérique être partiellement légitimée par la loi. Cette disposition a été adoptée en regard de l’arrêt du 20 mai 2015 aux termes duquel un blogueur avait été condamné pour pénétration illicite dans le système d’information de l’ANSES https://www.demaisonrouge-avocat.com/2015/06/15/le-vol-de-donnees-immaterielles-reconsacre-par-la-cour-de-cassation/
Cette dérogation a été intégrée, avec certaines restrictions cependant, sous l’article L 2321-4 du Code de la défense :
A noter que la mise à disposition publique d’un réseau WI FI non sécurisé (absence de mot de passe d’accès), par un opérateur économique, ayant servi à réaliser une infraction (en l’occurrence une violation de droits d’auteur), peut engager la responsabilité du commerçant.
CJUE, 15 septembre 2016, Aff. C 484/14
Un tel « rappel à la loi » n’est pas sans générer quelques inquiétudes pour les hébergeurs de données, notamment, eu égard à l’application du nouveau règlement général sur les données personnelles, qui sera applicable le 25 mai 2018 http://www.lemonde.fr/economie/article/2016/09/27/en-europe-les-hebergeurs-de-donnees-a-l-offensive_5003970_3234.html