Jurisprudence : Diffamation
Cour d’appel de Paris 2ème chambre Arrêt du 09 septembre 2009
Damien B. / Forever Living Products France
accès non autorisé - bonne foi - diffamation - sécurité - site - traitement automatisé de données
FAITS
La société Forever Living Products France (FTP) a pour activité la fabrication et la distribution de produits à base d’Aloe Vera et se place au premier rang mondial de producteur, manufacturier et distributeur d’Aloe Vera.
Le 2 octobre 2008, Damien B., fondateur et rédacteur en chef du site internet « zataz.com » a contacté, par téléphone, la société FLP pour l’informer d’intrusions sur un de ses serveurs, en signalant une faille de sécurité informatique, qui aurait permis ces intrusions.
A partir du 7 octobre 2008, la société FLP a constaté la publication par Damien B. sur son site internet, d’un article intitulé « Données bancaires en accès libre chez Forever Living Products France » avec comme accroche : « Exclusif : Le premier producteur mondial d’Aloe Vera avait un disque dur connecté sur internet bourré de données bancaires et informations sensibles ». L’article comportait en annexe une « vidéo », indiquée comme ayant été mise en ligne le 6 octobre 2008 sur le site YouTube par le site Zatazdotcom », et portait le titre « Données sensibles sur protection sur internet ».
Se fondant sur deux procès verbaux de constat d’huissier des 22 et 23 octobre 2008, qu’elle avait fait établir puis remettre à un expert en informatique, et dont il résultait que Damien B., identifié par son adresse IP 86.198…. », s’était introduit sur un de ses serveurs, la société FLP a saisi le juge des référés.
Par ordonnance contradictoire du 26 janvier 2009, le juge des référés du tribunal de grande instance de Paris a :
– constaté que l’article assorti d’un vidéogramme avait été retiré du site accessible à l’adresse www.zataz.com,
– ordonné en tant que de besoin à Damien B. de procéder à la suppression de toutes données ou tous fichiers en sa possession auxquels il avait pu accéder sur le serveur de la société FLP, et lui a fait interdiction de procéder à la publication ou la diffusion de tous contenus s’y rapportant,
et ce sous astreinte provisoire de 400 € par jour et par infraction constatée, pour une durée de 30 jours,
– dit se réserver la liquidation éventuelle de l’astreinte provisoire,
– dit n’y avoir lieu pour le surplus à référé et a rejeté la demande reconventionnelle de Damien B. pour abus du droit d’agir en justice,
– condamné Damien B. au paiement des dépens, et à payer à la société FLP la somme de 1200 € en application des disposition de l’article 700 du ncpc.
Damien B. a interjeté appel de cette décision le 11 février 2009.
L’ordonnance de clôture a été rendue le 10 juin 2009.
PRETENTIONS ET MOYENS
Pour Damien B. :
Par dernières conclusions du 20 mai 2009, auxquelles il convient de se reporter, Damien B. fait valoir :
– qu’il est journaliste et, depuis 13 ans, le fondateur et rédacteur en chef de www.zataz.com, site internet spécialisé consacré aux problèmes de réseaux informatiques et qui dénonce, notamment, les insuffisances des protections des données contenues par les systèmes de traitement automatisé des informations reliées à l’internet, qu’il a, à ce titre, déjà aidé de nombreuses grandes entreprises (France Télécom, Air France, le CNRS…),
– que fin septembre 2008, un lecteur du site l’a informé de ce qu’il serait possible d’accéder à des données sensibles appartenant à la société FLP, par le biais du moteur de recherche www.gegereka.com, et que le 29 septembre 2008, constatant l’absence de toute interdiction pour accéder à ces données, il a visité cet espace, en accès libre, que, dès la découverte, sur cet espace, de données bancaires et comptables sensibles, il a contacté FLP par téléphone puis par courriels, et a été remercié pour l’alerte émise concernant l’anomalie du système, qu’ensuite de la correction faite par FLP, il a écrit un article pour informer les clients de cette entreprise afin qu’ils vérifient que leurs données bancaires n’avaient pas été exploitées par des pirates informatiques,
– que le premier juge a statué en dehors de ses compétences, que s’il a écarté l’urgence et le dommage imminent dans la mesure où il avait été procédé au retrait de l’article litigieux, il ne pouvait constater de trouble manifestement illicite, que l’article diffusé l’a été en vertu des dispositions relatives à la liberté de communication et d’expression, que le trouble n’existait pas puisque l’article avait été retiré volontairement et n’était plus du tout diffusé, au moment où le juge statuait,
– que l’illicéité n’était pas plus caractérisée, puisqu’il n’avait fait paraître qu’un article concernant les défectuosités ayant existé sur le système de la société FLP, qu’aucune information précise n’était donnée, s’agissant d’un compte-rendu sommaire,
– que si le premier juge pouvait statuer sur l’interdiction de publication ou de diffusion, il ne pouvait ordonner la suppression de quoi que ce soit, puisque le juge des référés ne peut ordonner que des mesures conservatoires, seul le juge du fond pouvant ordonner une telle mesure,
– qu’à tout le moins, les informations sur « FTP anonyme » sont d’un accès libre et sont largement utilisées comme le démontre le rapport d’expertise de M. Roussel, que si toutes les précautions ne sont pas prises, il est très aisé de s’introduire dans les fichiers ainsi en accès libre, que les données, soit disant illicites, sont parfaitement visibles sur différents moteurs de recherche standards (Google, Yahoo…)
Il demande à la cour :
– de déclarer son appel recevable et bien fondé,
– d’infirmer la décision entreprise,
– de le décharger de toute condamnation ou interdiction, dès lors qu’il a retiré volontairement l’article incriminé de son site,
– de débouter la société FLP de toutes ses demandes, fins et conclusions,
– de la condamner à lui payer une somme de 2000 € sur le fondement de l’article 700 du cpc ainsi qu’aux dépens,
– de lui accorder le bénéfice des dispositions de l’article 699 du cpc.
La société FLP :
Par dernières conclusions du 14 mai 2009, auxquelles il convient de se reporter, la société FLP fait valoir :
– que le juge des référés est compétent, que c’est à bon droit que le premier juge, qui a constaté, notamment, que Damien B. s’était introduit dans son serveur, ne pouvait qu’interdire la diffusion de l’article litigieux, le simple fait que celle-ci ait cessé étant indifférent, dès lors, qu’avec les facilités qu’offre l’internet, il aurait été aisé pour Damien B. de rétablir la diffusion de l’article, qu’une décision du tribunal de grande instance de Paris du 5 mai 1997 fait autorité sur ce point, qu’en outre, le premier juge a ordonné, à juste titre, la destruction des données dont Damien B. était nécessairement en possession, appartenant à l’intimée et obtenue de manière illicite,
– que Damien B. se présente comme un « bienfaiteur » pour les sociétés qu’il aiderait mais qu’il en parle en termes peu flatteurs, de sorte qu’elle l’a fait citer pour diffamation, sachant par ailleurs, que Damien B. est familier de ce type d’intrusions, et ne reçoit pas que des lettres de remerciement de ses « victimes »,
– que l’expert, auquel elle a fait remettre les constats d’huissier confirme le caractère erroné des déclarations de Damien B. en indiquant, notamment, que le moteur de recherche gegereka.com n’est pas un moteur de recherche grand public, qu’il n’est utilisé que par des initiés, que les fichiers logs décrivant l’historique des accès au serveur FTP témoignent de l’utilisation d’un compte utilisateur « anonymous » qui n’a pas permis l’accès à son serveur, qu’il résulte des analyses des fichiers logs de FLP par l’expert que l’accès frauduleux n’a pas été réalisé par la simple utilisation du moteur de recherche gegereka.com et laisse supposer d’autres manipulations effectuées par Damien B. pour accéder de manière non autorisée à des fichiers sécurisés sur plusieurs plans, est limpide quant à l’intrusion frauduleuse réalisée, que c’est en vain que « la porte était ouverte », et qu’en tout état de cause, le seul fait d’accéder et de se maintenir dans le système a manifesté son intention d’en restreindre l’accès aux seules personnes autorisées, rend l’accès et le maintien frauduleux, que Damien B. ne saurait se prévaloir des « remerciements » d’une employée de FLP, qui n’a pas les qualifications d’un informaticien, que les développements de l’appelant sur la liberté d’expression ne font que souligner sa mauvaise foi, d’autant qu’il ne lui a pas notifié d’offre de preuve.
Elle demande à la cour :
– de dire Damien B. mal fondé en son appel,
– de l’en débouter,
– de confirmer l’ordonnance entreprise,
– de condamner Damien B. à lui payer la somme de 5000 € en application de l’article 700 du cpc,
– de condamner Damien B. aux dépens,
– de lui accorder le bénéfice des dispositions de l’article 699 du cpc.
DISCUSSION
Considérant que la question n’est pas de savoir si les mesures sollicitées relevaient de la « compétence » du juge des référés, mais si elles entraient dans le champ de ses pouvoirs ;
Considérant qu’en vertu de l’article 809, alinéa 1er, du cpc, le juge des référés peut toujours, même en présence d’une contestation sérieuse, prescrire les mesures conservatoires ou de remise en état qui s’imposent pour faire cesser un trouble manifestement illicite ;
Considérant que le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données ou de modifier des données contenues dans un tel système sans autorisation des ayants-droits, constitue un trouble manifestement illicite ;
Considérant que Damien B. soutient avoir fait cesser la diffusion de l’article mis en cause, illustré par vidéogramme, du site accessible à l’adresse www.zataz.com, ce qui n’est pas contesté ;
Considérant que si le juge des référés doit, pour se prononcer, se placer au jour où il statue, il n’en demeure pas moins qu’il est tenu d’apprécier si les mesures sollicitées étaient justifiées, au moment où elles sont été demandées, que l’appelant ne démontre pas que la diffusion litigieuse avait cessé au jour de l’assignation introductive d’instance ; qu’en outre, la demanderesse, à l’instance a sollicité la destruction des données ou fichiers en possession de Damien B., et dont il n’est pas démontré que celui-ci, après les avoir obtenus, ne les ait pas conservés ;
Considérant, surtout, que, comme l’a fort justement énoncé le premier juge, il s’agit pour le juge des référés d’apprécier les demandes tendant à interdire à Damien B. la publication ou la diffusion de tous contenus se rapportant à la société FLP, et à lui ordonner de procéder à la destruction de toutes données ou fichiers auxquels il a pu accéder sur le serveur de la société FLP ;
Que le trouble persistant peut résulter du type de processus mis en œuvre par Damien B. pour accéder aux données de la société FLP, le simple arrêt d’une diffusion, qui peut être instantanément remise en œuvre, étant insuffisant à déposséder le juge des référé de ses pouvoirs ; qu’il lui appartient d’apprécier la licéité dudit processus pour en interdire toute nouvelle mise en œuvre ;
Considérant que Damien B., qui ne conteste pas avoir accédé à des données « sensibles » de la société FLP ne saurait sérieusement alléguer, alors qu’il se revendique lui-même comme journaliste spécialisé dans les problèmes de réseaux informatiques et de détection des insuffisances de protection des données contenues dans les systèmes de traitement automatisé d’informations reliés au réseau de l’internet, que le moteur de recherche lui ayant permis d’accéder aux données litigieuses de FLP, Gegereka, était un moteur « grand public » ; qu’il s’agit, selon les constatations de l’expert, M. Bitan, mandaté par la société FLP, d’un site dédié aux professionnels, dont le nom de domaine appartient à un résident russe ;
Considérant que l’intrusion, par Damien B., dans le système automatisé de données de FTP, et dont seul le caractère illicite est contesté, résulte clairement du rapport de l’expert commis par cette dernière, M. Bitan, qui en décrit le processus -repris dans l’ordonnance- et, en conclusion de son rapport complémentaire du 13 janvier 2009, indique : « ayant constaté que le serveur FTP de la Forever Living Products France était sécurisé sur plusieurs plans, ceci nous a conduit à en déduire que l’intrusion des 29/9/2008 et 02/10/2008 a notamment pu être réalisée en exploitant une faille de sécurité (telles celles affectant les systèmes d’exploitations). Ajoutons que ce n’est pas l’existence d’une faille de sécurité qui exclut la qualification d’accès frauduleux, c’est la recherche de ces failles (qui existent dans tous systèmes) pour pénétrer les systèmes qui conduisent à la qualification d’accès frauduleux » ;
Que Damien B., qui en est techniquement capable, ne répond pas, dans ses conclusions, aux constatations et conclusions de M. Bitan ; que le rapport d’expertise qu’il produit, établi à sa demande par M. Roussel, et qui conclut à la « légèreté de la société FLP », qui , par le biais du protocole d’échanges de fichiers « FTP anonyme » aurait « volontairement ouvert une porte aux accès extérieurs et ainsi ruiné l’effet de toute mesure de sécurité quelle qu’elle soit », ne remet pas en cause le fait que le site FLP était protégé et que seules de nombreuses manipulations techniques d’un utilisateur averti -dont certaines ont été mises en échec- ont pu permettre l’accès au serveur de FLP ; que cet accès n’était donc pas libre ;
Considérant, en toute hypothèse, que le trouble manifestement illicite est constitué, alors même que l’accès aux données n’est pas limité par un dispositif de protection ; qu’il suffit que le « maître du système » ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées ;
Qu’il résulte des constatations de M. Bitan, expert, non contestées, que l’accès n’a été possible que par des manipulations par un utilisateur averti et que la mention d’un compte utilisateur « anonymous » ne permet pas d’en déduire que le serveur FTP de la FLP était en libre accès, alors que deux tentatives d’accès ont échoué ; que , contrairement à la présentation qui est faite, par l’appelant, du rapport de M. Roussel, la prétendue « légèreté » de la société FLP ne peut, en aucun cas, être confondue avec une volonté claire d’ouvrir l’accès au serveur en cause à toute personne ;
Que l’intention de FLP de ne permettre l’accès aux données litigieuses qu’à certaines personnes autorisées n’est pas sérieusement discutable, pas plus que l’accès illicite de Damien B., personnes non autorisée, à ces données ;
Que non seulement Damien B. a accédé de manière illicite, au système de traitement des données de la société FLP, mais encore il s’y est maintenu, puisque, pour les mettre en ligne, comme il a fait, à travers un article, illustré par un vidéogramme YouTube, il a nécessairement téléchargé ces données, qu’il les a donc captées et conservées, sans droit ; qu’il n’est pas contesté, par ailleurs, que Damien B. ait « flouté » les informations diffusées par la « vidéo », ce qui, quels que soient les motifs avancés par ce dernier, de « protection des personnes et des données », n’en constitue pas moins un ensemble de modifications non autorisées ;
Que le premier juge en a, à juste titre, déduit que ces agissements constituaient un trouble manifestement illicite et, le chargement des données laissant craindre que Damien B. ait conservé les données ou fichiers en sa possession, a décidé, à bon droit, d’ordonner leur destruction, seule mesure de remise en état de nature à faire cesser le trouble, et d’interdire à Damien B. de procéder à la publication ou la diffusion de tous contenus s’y rapportant ;
Que l’ordonnance entreprise sera, par conséquent, confirmée en toutes ses dispositions ;
Considérant qu’il serait inéquitable de laisser à la charge de la société FLP les frais irrépétibles qu’elle a exposés pour la présente instance ;
Considérant que Damien B. qui succombe, devra supporter les dépens d’appel.
DECISION
Par ces motifs,
. Confirme l’ordonnance entreprise,
Y ajoutant,
. Condamne Damien B. à payer à la société Forever Living Products France la somme de 2000 € au titre de l’article 700 du cpc,
. Condamne Damien B. aux dépens d’appel.
La cour : M. Marcel Poulon (président), M. Renaud Blanquart et Mme Michèle Graff-Daudret (conseillers)
Avocats : Me Isabelle Cahen, Me Anne Dumas-L’Hoir, Me Denise Lebeau-Marianna
Notre présentation de la décision
En complément
Maître Anne Dumas-L Hoir est également intervenu(e) dans les 2 affaires suivante :
En complément
Maître Denise Lebeau-Marianna est également intervenu(e) dans l'affaire suivante :
En complément
Maître Isabelle Cahen est également intervenu(e) dans l'affaire suivante :
En complément
Le magistrat Marcel Poulon est également intervenu(e) dans l'affaire suivante :
En complément
Le magistrat Michèle Graff-Daudret est également intervenu(e) dans les 14 affaires suivante :
En complément
Le magistrat Renaud Blanquart est également intervenu(e) dans les 17 affaires suivante :
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.