01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#RGPD : quelles sanctions en cas de vol de données sur un site ?

sanctions vol de donnees site web rgpd

Dans un arrêt du 15 septembre 2017, la Cour d’Appel de Paris a condamné l’éditeur d’un site internet pour extraction frauduleuse et collecte déloyale de données aspirées sur un site concurrent spécialisé dans la billetterie en ligne. Le prévenu écope de 1000 euros d’amende avec sursis et doit verser à la partie civile 40.000 euros de dommages-intérêts.

En l’espèce, il était reproché au prévenu, identifié à partir de son adresse IP, de s’être rendu sur le site Weezevent (billetterie en ligne à destination des organisateurs d’évènements) et d’avoir procédé à des collectes massives de données. L’expertise de l’ordinateur du prévenu, qui n’était autre que Président d’une société concurrente, avait ainsi permis aux enquêteurs d’identifier des scripts spécifiques générant des requêtes ayant produit l’aspiration de plus de 7000 fiches clients.

Cette condamnation en appel devant le juge pénal a donné lieu à l’analyse des infractions suivantes :

 

1/ L’infraction d’accès et le maintien frauduleux écarté

L’accès et le maintien frauduleux dans un système de traitement automatisé de données est prévu et réprimé par les articles 323-1 et 323-5 du Code pénal. A l’instar de la décision de première instance, les seconds juges écartent cette infraction en constatant que le prévenu n’a pas accédé frauduleusement au site de la partie civile. En effet, ledit site était :

  • ouvert au public
  • ne faisait pas l’objet de système de protection
  • ni de mesures de restrictions d’accès

 

2/ Une collecte déloyale et illicite de données sanctionnée

Les scripts utilisés par le prévenu lui ont permis de collecter des adresses mails et autres données nominatives en vue d’effectuer de la prospection. Il s’avère que parmi ces coordonnées figuraient des adresses concernant des personnes physiques qui n’étaient pas à usage exclusivement professionnel.

En ayant mis en œuvre un tel traitement à l’insu des personnes concernées, le prévenu est jugé coupable du délit de collecte déloyale, délit prévu et réprimé par les articles 323-1 et 323-5 du code pénal.

Pour la Cour d’appel, l’inscription sur le site Weezevent ne saurait être analysée comme consentement express pour l’utilisation des adresses mails à des fins de prospection par toute personne tiers audit site.

Une telle motivation va, du reste, dans le sens du durcissement de la réglementation en matière de protection des données. En effet, le Règlement Général Européen pour la Protection des données, qui entrera en vigueur le 25 mai prochain[1], prévoit notamment un renforcement de l’information donnée aux personnes ainsi que la nécessité d’obtenir un consentement express de la personne pour chaque finalité du traitement. Dans le présent cas d’espèce, les personnes qui s’étaient inscrites sur le site Weezevent avaient donné leur consentement pour interagir avec Weezevent en lien avec la solution de billetterie mise en place par cette société. Le consentement n’a jamais été donné au prévenu dont l’intention frauduleuse est révélée par ses objectifs concurrentiels.

 

3/ Une extraction frauduleuse également sanctionnée

L’extraction frauduleuse de données résulte de la loi du 13 novembre 2014.

Pour retenir cette infraction, la Cour s’appuie sur les dispositions protectrices des Conditions Générales d’Utilisation du site Weezevent. Ces dernières interdisaient en effet la copie de tout ou partie du site sans l’accord express préalable de Weezevent.

Or, l’enquête aurait révélé que le prévenu :

  • Avait clairement pour intention de se constituer un fichier prospect à moindre coût dans le but d’alimenter un site concurrent
  • Avait extrait sans autorisation de Weezevent près de 45 000 fiches et copié sur son propre site environ 8000 d’entre elles.

L’infraction est également constituée.

 

Sur les intérêts civils

Pour fonder sa condamnation à réparer le préjudice subi à hauteur de 40.000 euros, la Cour d’Appel de Paris retient les éléments suivants :

  • La partie civile justifie de dépenses engagées pour l’acquisition, la constitution et la conservation de la base de données (achat d’espaces publicitaires, affiliation, SEO-SEM, RP, rémunération de l’équipe marketing, salons etc.) qui renvoient à une dépense moyenne de 72 euros par fichier client[2].
  • La partie civile justifie également d’une désorganisation née des pratiques dénoncées, notamment afin d’expliquer la situation aux clients contactés mécontents et aux recherches de l’origine de l’infraction.

 

Spécialisé sur les questions de cyberdélinquance et de cyber risques, le Cabinet HAAS accompagne depuis plus de vingt ans ses clients tant sur le volet contentieux que sur les aspects conseil, formations, élaboration de supports de sensibilisation etc.

 

Pour plus d’informations, cliquez ici.

[1] Voir https://www.haas-avocats.com/actualite-juridique/rgpd-vos-obligations-avantapres/

[2] Voir pour une étude complète https://www.haas-avocats.com/ecommerce/internet-proteger-son-site-contre-les-extractions-systematiques/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.