Le manquement à l'obligation de sécuriser
un traitement informatique comportant des données
personnelles est sanctionné pénalement par
une peine de 5 ans d'emprisonnement et 300 000 euros d'amende
(article 226-17 du Code pénal).
Parallèlement, l'accès
non autorisé à un système informatique
est un délit sanctionné par une peine
d'un an d'emprisonnement et 15 000 euros d'amende (article
323-1 du Code pénal). L'exigence de protection
du système ne fait pas partie des conditions
de l'incrimination du délit d'intrusion frauduleuse.
Régulièrement,
de nouvelles failles de sécurité affectant
tel ou tel logiciels sont divulguées, avec en
principe les moyens de corriger la faille. En pratique,
on constate que les entreprises ne prennent pas toujours
la peine de corriger les failles de sécurité
qui sont signalées.
La dénonciation
des faiblesses d'un système informatique mal
sécurisé : une pratique à risque
?
Le site Kitetoa.com
dénonce régulièrement les sites
commerciaux qui sécurisent mal les données
personnelles concernant leurs clients. Ainsi, en 1999,
l'animateur du site, Antoine C. a signalé à
l'hébergeur du site des magasins Tati une faille
de sécurité permettant d'accéder
au contenu des bases de données clients du serveur
grâce à un simple navigateur.
Constatant près d'un an après que les
failles détectées et signalées
existaient toujours, il publiait sur Kitetoa.com un
article relatant la faille du site de Tati. L'information
était reprise dans un magazine spécialisé,
ce qui amenait la société Tati à
porter plainte pour introduction non autorisée
dans un système informatique.
La 13e chambre du Tribunal
de Grande Instance de Paris a reconnu dans une décision
en date du 13 février 2002 que la société
Tati ne semblait pas avoir respecté l'obligation
de sécuriser un fichier de données nominatives,
mais a néanmoins condamné le webmestre
de Kitetoa à une amende de 1000 euros avec sursis,
pour accès et maintien frauduleux dans un système
de traitement automatisé de données. La
société Tati a été déboutée
de sa demande en dommages et intérêts.
Suite à un appel
du Parquet général en vue de solliciter
la relaxe du prévenu, démarche dont il
convient de souligner au passage le caractère
inhabituel, Antoine C. a été relaxé
par décision en date du 30 octobre 2002 de la
12ème Chambre de la Cour d'appel de Paris.
Le Tribunal avait reconnu
que Monsieur Antoine C. avait seulement utilisé
les fonctionnalités de son navigateur, sans effectuer
de manipulations frauduleuses. Il avait toutefois considéré
que l'accès de manière consciente et délibérée
à des données que l'on sait être
confidentielles, s'agissant de données nominatives
protégées par la loi, constituait le délit
pénal considéré.
Cependant, l'utilisation
d'un simple navigateur pour accéder dans un système
mal protégé méritait-il une sanction
?
Comme le soulignait le
Parquet dans ses réquisitions, " il semble
inenvisageable d'instaurer une jurisprudence répressive
dont il résulterait une véritable insécurité
permanente, juridique et judiciaire, pour les internautes,
certes avisés, mais de bonne foi, qui découvrent
les failles de systèmes informatiques manifestement
non sécurisés ".
Le Parquet considérait
que lorsqu'une base de données est, par la faute
de celui qui l'exploite, en accès libre par le
biais de l'utilisation d'un logiciel de navigation grand
public ne nécessitant pas de connaissances particulières
ou de manipulations à la limite du piratage,
le seul fait d'en prendre connaissance, et même
pour un journaliste, un testeur mandaté ou non,
d'en réaliser une copie (
), sans intention
malveillante (..) ne saurait constituer une infraction.
Le Parquet considérait donc que l'intention frauduleuse
n'était pas caractérisée en l'espèce.
Les sites sans protection
sont réputés non confidentiels à
défaut d'obstacle à l'accès
La Cour d'appel
dans sa décision du 30 octobre 2002 a relaxé
le webmestre de Kitetoa, mais sur un autre fondement
que ce lui suggéré par le Parquet.
Elle considère qu'on ne peut pas reprocher à
un internaute d'accéder ou de se maintenir dans
les parties d'un site accessible par la simple utilisation
d'un logiciel de navigation, et que " ces parties
de site, qui ne font par définition l'objet d'aucune
protection de la part de l'exploitant du site ou de
son prestataire de services, devant être réputées
non confidentielles à défaut de toute
indication contraire et de tout obstacle à l'accès
(
). La détermination du caractère
confidentiel et des mesures nécessaires à
l'indication et à la protection de cette confidentialité
relevant de l'initiative de l'exploitant du site ou
de son mandataire ".
Au regard de cette jurisprudence,
la possibilité d'accéder à des
données stockées sur un site avec un simple
navigateur, en présence de nombreuses failles
de sécurité, n'est pas répréhensible.
Vers un accroissement
du contentieux lié au manquement à l'obligation
de sécurité ?
Le manquement
à l'obligation de sécurité est
caractérisé par le fait de procéder
ou de faire procéder à un traitement automatisé
d'informations nominatives sans prendre toutes les précautions
utiles pour préserver la sécurité
de ces informations et notamment empêcher qu'elles
ne soient déformées, endommagées
ou communiquées à des tiers non autorisés.
L'article 226-17 n'a pas
donné lieu à un contentieux abondant à
ce jour.
Or, le simple fait que
les données nominatives soient accessibles sans
protection, qu'elle qu'en soit la raison (faille non
corrigée, mauvaise configuration) semble caractériser
un manquement à l'obligation de protéger
les données personnelles.
Au regard de la jurisprudence
de la Cour d'appel, il devient possible de faire constater
ce manquement, sans risquer de se voir reprocher un
accès non autorisé : si les données
nominatives sont accessibles sans protection, elle seraient
réputées non confidentielles c'est-à-dire
que l'accès aux données est présumé
non frauduleux.
Si la motivation de la Cour peut sembler manquer de
rigueur, cette jurisprudence ouvre de nouvelles possibilités
d'action aux victimes dont les données personnelles
ont été mal sécurisées.
L'entreprise est responsable
de la sécurité et de la confidentialité
des données traitées pour son compte en
exécution du contrat. Elle doit veiller à
ce que son prestataire prenne les mesures nécessaires
à cet effet, notamment par des clauses contractuelles
appropriées, sous peine d'engager sa responsabilité
pénale.
Soulignons enfin que la directive du 24 octobre 1995,
qui devrait être transposée en droit français
prochainement, traite de la sécurité des
traitements automatisés de manière extensive,
et définit de manière précise les
obligations incombant aux prestataires traitant des
données pour le compte de l'entreprise responsable
du traitement (articles 16 et 17).
Autant d'éléments
qui doivent inciter les entreprises à une vigilance
accrue en matière de sécurité du
système d'information.
|