Celui qui avait récupéré une partie importante du fichier client du site Weezevent au profit de son propre site a été condamné pour collecte et extraction frauduleuse de données, par un arrêt du 15 septembre 2017 de la cour d’appel de Paris. Les juges ont ainsi fait application de l’infraction de collecte déloyale de données à caractère personnel mais aussi de l’article 323-3 modifié par la loi du 13 novembre 2014. Elle avait ajouté l’extraction frauduleuse au délit d’introduction frauduleux dans un système de traitement automatisé. Le prévenu a été condamné à 1 000 € d’amende avec sursis et il doit en outre verser à Weezevent 40 000 € de dommages-intérêts.
Weezevent qui propose une solution de billetterie en ligne pour les organisateurs d’événements avait constaté des collectes massives des données personnelles de ses clients à partir de sa base de données en ligne. L’auteur de cette action avait été identifié par son adresse IP. Après une perquisition à son domicile, l’analyse de son ordinateur a permis de découvrir des scripts permettant des requêtes automatisées ainsi qu’une base de données de 7 779 fiches clients de Weezevent. Le propriétaire de l’ordinateur a reconnu qu’il était président d’une société éditrice du site billetweb spécialisé dans la billetterie en ligne. Il avait été poursuivi pour accès, maintien et extraction frauduleuse de données (loi Godfrain) et collecte déloyale de données (loi Informatique et libertés). Et il avait été condamné pour accès, maintien et extraction frauduleuse des données, par un jugement du 20 juin 2016 du tribunal correctionnel de Paris.
La cour d’appel a confirmé la relaxe du prévenu concernant les infractions d’accès et de maintien frauduleux en raison de l’accès ouvert au public du site et de l’absence de protection particulière ou de volonté du site d’en restreindre l’accès. La cour a également considéré que l’infraction d’extraction frauduleuse de données était caractérisée. Elle rappelle que le prévenu avait lu les conditions générales du site qui interdit d’utiliser et d’exploiter son contenu sans autorisation. Par ailleurs, la cour a relevé que le prévenu avait procédé à l’extraction d’une partie du site dans le but d’alimenter son site, concurrent de Weezevent. « Les données copiées et tirées du site Weezevent étaient certes accessibles au public par la façon automatisée et sélective de procéder, cela a entraîné l’extraction importante de 44 380 fichiers dont 7 779 étaient retrouvés sur le site de M. X. soit environ 16 % des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation. Or, M. X. a agi à l’insu du directeur du site Weezevent par des moyens techniques conçus à cet effet par l’appelant ».
Le tribunal avait rejeté le fondement tiré de la collecte déloyale de données, en raison de l’accès à la partie publique du site. Les juges avait, en outre, relevé qu’aucune plainte n’avait été déposée à la Cnil et que le prévenu avait mis au courant toutes les personnes concernées pour dire qu’il cessait toute relation commerciale avec eux, dès l’information de la procédure pénale. La cour d’appel a infirmé le jugement sur ce point considérant que l’utilisation de scripts ou de robots destinés à aspirer les données afin de savoir si le client est actif ou non constitue un moyen déloyal de recueillir à l’insu des personnes physiques des adresses électroniques. Par ailleurs, la cour a estimé que le caractère accessible des adresses et l’absence de plainte n’établissaient pas l’acceptation expresse d’utilisation. « L’intention frauduleuse résulte de l’utilisation de scripts spécialement conçus par M. X. pour effectuer automatiquement une collecte sélective de données qui a en outre été réalisée dans un but concurrentiel ».

Lire la décision