En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

mardi 07 novembre 2017
Facebook Viadeo Linkedin

Cour d’appel de Paris, Pôle 4 – Ch. 11, arrêt du 15 septembre 2017

M. X. / Weezevent

base de données - collecte déloyale de données - données à caractère personnel - extraction frauduleuse de données - fichier clients - fraude informatique

M. X. a été poursuivi devant le tribunal suite à défèrement devant le procureur de la République le 2 décembre 2015 pour avoir :

– à PARIS, du 3 juillet 2014 au 12 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, accédé et de s’être maintenu frauduleusement dans le système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce le serveur hébergeant le site internet www.weezevent.com ;
Faits prévus par ART. 323-1 AL.1 C.PENAL et réprimés par ART. 323-1 AL.1, ART. 323-5 C.PENAL.

– à PARIS, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, s’être maintenu frauduleusement dans le système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce le serveur hébergeant le site internet www.weezevent.com ;
Faits prévus par ART.323-1 AL.1 C.PENAL. et réprimés par ART323-1 AL.1, ART. 323-5 C.PENAL

– à PARIS, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, en tout cas sur le territoire national et depuis temps non prescrit, collecté des données à caractère personnel par un moyen frauduleux, déloyal ou illicite au préjudice de Weezevent, en l’espèce la base de Weezevent composée de données à caractère personnel de ses clients,
Faits prévus par ART 226-18 C.PENAL ART.61°, ART 2 LOI 78-17 DU 06/01/1978 et réprimés par ART. 226-18, ART 226-22-2, ART 226-31 C.PENAL.

– à PARIS, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, extrait frauduleusement les données d’un système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce l’ensemble de la base de données composée de 44380 fiches clients.
Faits prévus par ART323-3 AL.1 C.PENAL. et réprimés par ART.323-3 AL.1, ART. 323-5 C.PENAL

Le jugement

Le tribunal de grande instance de Paris- chambre 12/1 – par jugement contradictoire, en date du 20 juin 2016, a :

Sur l’action publique :

– relaxé M. X. des fins de la poursuite ;

– ordonné la restitution du scellé n°6 (l’ordinateur fixe appartenant à Monsieur M. X.) et du scellé n°9 (l’ordinateur Apple modèle MacBook.Pro et son chargeur) ;

– ordonné la confiscation des autres biens saisis.

– rejeté la demande formulée par M. X. au titre de l’article 472 du code de procédure pénale.

Sur l’action civile :

– déclaré recevable la constitution de partie civile de la SAS Weezevent,

– l’a débouté de ses demandes du fait de la relaxe.

Les appels

Appel a été interjeté par :

M. le procureur de la République, le 27 juin 2016 contre M. X.,

SAS Weezevent, le 28 juin 2016, son appel étant limité aux dispositions civiles.

DÉROULEMENT DES DÉBATS :

À l’audience publique du 9 mars 2017, l’affaire a été renvoyée à l’audience publique du 16 juin 2017.

À l’audience publique du 16 juin 2017, le président a constaté l’identité du prévenu.

Le président a informé le prévenu de son droit, au cours des débats, de faire des déclarations, de répondre aux questions qui lui sont posées ou de se taire.

L’appelant a sommairement indiqué les motifs de son appel,

Cécile Garnier a été entendue en son rapport.

Le prévenu M. X. a été interrogé et entendu en ses moyens de défense,

Ont été entendus :

Maître Lordier Damien, avocat de la SAS Weezevent, partie civile, en sa plaidoirie,

Le ministère public, en sa plaidoirie,

Maître Hardy Marine, avocat de M. X., prévenu, en sa plaidoirie,

Le prévenu M. X. qui a eu la parole en dernier.

Puis la cour a mis l’affaire en délibéré et le président a déclaré que l’arrêt serait rendu à l’audience publique du 15 septembre 2017.

Et ce jour, le 15 septembre 2017, en application des articles 485, 486 et 512 du code de procédure pénale, et en présence du ministère public et du greffier, Cécile Garnier, président ayant assisté aux débats et au délibéré, a donné lecture de l’arrêt.

DÉCISION :

Rendue après en avoir délibéré conformément à la loi,

Sur la forme

Les appels du procureur de la République et de la partie civile, interjetés dans les forme et délai de la loi, sont recevables.

Sur le fond

– Sur l’action publique

Les faits et circonstances de la cause ayant été exactement et complètement rapportés par les premiers juges, la Cour s’y réfère expressément.

* Sur l’accès et le maintien frauduleux dans un système de traitement automatisé de données :

C’est à bon escient que les premiers juges ont relaxé l’appelant de l’infraction d’accès frauduleux de données dans un système de traitement automatisé de données, en raison d’une part de l’accès ouvert au public du site Weezevent et d’autre part, de l’absence de mise en place d’une protection du site ou de la manifestation de la volonté du dirigeant du site de restreindre l’accès au système informatisé de données. Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données de Weezevent.

M. X. s’est maintenu sur le site qui n’avait aucune protection particulière. Les données étaient accessibles au public. Il n’est pas davantage établi qu’il se soit maintenu frauduleusement sur le site de Weezevent.

* Sur la collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite :

Sur le site Weezevent, M. X. a, non seulement utilisé des scripts qu’il avait créés spécifiquement lui permettant de parcourir le site et de récupérer des informations mais aussi, copié des coordonnées de la clientèle « organisateur » du site Weezevent. Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques auxquelles M. X. a ensuite adressé des messages électroniques. Il résulte du dossier (pages 96, 113, 116 et 121) que certaines adresses concernent des personnes physiques ne sont pas à usage exclusivement professionnel. A cet effet, il convient de relever que l’un des particuliers (M. Y.) l’interroge sur la manière dont il s’est procuré son adresse, interrogation à laquelle M. X. ne répond pas.

L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site Weezevent constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques.

Il n’est pas établi comme le soutient M. X. que le site Weezevent s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu.

L’intention frauduleuse résulte de l’utilisation de scripts spécialement conçus par M. X. pour effectuer automatiquement une collecte sélective de données qui a en outre été réalisée dans un but concurrentiel, tel que cela ressort clairement des mails échangés par le prévenu avec des proches.

L’infraction est caractérisée.

* Sur l’extraction frauduleuse de données contenues dans un système de traitement automatisé :

La loi avant le 13 novembre 2014 visait et réprimait l’accès et le maintien frauduleux dans un système de traitement automatisé, l’entrave ou le fait de fausser le fonctionnement du système de traitement automatisé ainsi que l’introduction frauduleuse de données ou la suppression ou la modification de données qu’il contient.

L’extraction frauduleuse de données résulte de la loi du 13 novembre 2014.

Les conditions d’utilisation du site internet Weezevent mentionnent que « le contenu de Weezevent ne saurait être utilisé et exploité que par Wezevent et/ou ses licenciés et toute exploitation de celui-ci est constitutive, sauf accord exprès de Weezevent d’un acte de contrefaçon prohibé. Le contenu de Weezevent ne doit en aucun cas être téléchargé, copié, altéré, modifié supprimé, distribué, transmis, diffusé, loué, vendu, concédé, exploité, en toute ou partie et de quelque manière que ce soit, sans l’accord exprès et écrit de Weezevent ».

M. X. ne pouvait l’ignorer puisqu’il indique avoir lu les conditions d’utilisation. Il fait valoir qu’il n’était pas animé d’une intention de nuire mais il résulte du dossier qu’il voulait se constituer un fichier à moindre coût dans le but d’alimenter un site concurrentiel qu’il exploitait. En effet, les enquêteurs ont établi que l’adresse IP utilisée pour effectuer les 60.000 requêtes sur Weezevent.com lui était attribuée, qu’il avait fait enregistré le nom du domaine billetweb.fr auprès d’OHV et qu’il était président de la société SASU Trustweb liée au site billetweb.fr.

Les données copiées et tirées du site Weezevent étaient certes accessibles au public mais par la façon automatisée et sélective de procéder, cela a entraîné l’extraction importante de 44 380 fichiers dont 7 779 étaient retrouvés sur le site de M. X. soit environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse de Weezevent. Or, M. X. a agi à l’insu du directeur du site Weezevent par des moyens techniques conçus à cet effet par l’appelant. L’infraction est établie et applicable pour les faits reprochés à M. X. à compter de la loi soit du 13 novembre 2014 jusqu’au 15 mars 2015. M. X. doit être relaxé pour les faits visés dans la prévention du 3 juillet 2014 au 12 novembre 2014.

M. X. a une formation d’ingénieur informaticien. Lors de son audition par les enquêteurs le 9 juillet 2015, il déclarait travailler comme informaticien pour un salaire de 2850 euros par mois et posséder plusieurs comptes bancaires dont des comptes épargne et des titres. A l’audience devant la Cour, il indiquait être à la recherche d’un emploi après avoir exercé une action de bénévolat de plusieurs mois à l’étranger. Il vit chez ses parents.

Son casier judiciaire ne mentionne aucune condamnation. Il convient de relever que M. X. a cessé toute activité délictuelle et a avisé les clients qu’il arrêtait ses agissements.

Il y a lieu de condamner M. X. à une amende de 1000 euros avec sursis.

Afin de ne pas obérer son avenir professionnel, il convient d’ordonner la dispense de mention de la présente condamnation sur le bulletin numéro 2 de son casier judiciaire.

Les scellés qui n’ont pas fait l’objet de restitution et qui ont servi à la réalisation des infractions sont confisqués.

– Sur l’action civile

La constitution de partie civile de la SAS Weezevent représentée par son président M. Z. est régulière et recevable. M. X. est déclaré entièrement responsable du préjudice subi par la partie civile.

La partie civile réclame :
– un montant de 80.000 euros au titre de son préjudice économique, subsidiairement une expertise tendant à déterminer son préjudice économique notamment par consultation de la base de fichier clients de la société Trustweb,
– un montant de 15.000 euros au titre de son préjudice moral,
– un montant de 10.000 euros au titre des dispositions de l’article 475-1 du code de procédure pénale.

La partie civile précise et justifie par la production d’attestations qu’elle a exposé des dépenses pour l’acquisition, la constitution et la conservation de la base de données se retrouvent pour l’achat d’espaces publicitaires, l’affiliation, les outils, le référencement naturel, le référencement payant, la relation publique, les salons, les supports de communication, les visites de clients et la rémunération de l’équipe marketing soit en moyenne à un montant de 72 euros par fichier client, que le détournement de clientèle (soit 66 comptes clients) a entraîné un préjudice ainsi qu’une désorganisation de la société pour faire face aux demandes d’explications de leurs clients et de recherches sur la fraude.

L’expertise visant à déterminer le préjudice économique n’est pas justifiée. S’il est indéniable que les manoeuvres de collecte et d’extraction de données ont évité des frais importants pour la société Trustweb qui a vu son chiffre d’affaire, selon les enquêteurs, augmenter de façon très importante en 2015, il convient de fixer le montant du préjudice résultant des infractions de collecte de données personnelles (dont le nombre est limité par rapport au nombre d’adresses professionnelles) et l’extraction de données à partir du 13 novembre 2014, donc sur un temps plus court). Il y a lieu de tenir compte également des charges qui ont pesé sur la partie civile pour rechercher l’origine des manoeuvres, et répondre aux clients. Il convient d’allouer à la SAS Weezevent un montant de 40.000 euros.

L’image de la SAS Weezevent auprès de ses clients justifie de lui accorder au titre de son préjudice moral, un montant de 6.000 euros.

Compte tenu des frais exposés par la partie civile en première instance et en appel, il convient de lui allouer en application de l’article 475-1 du code de procédure pénale, un montant de 3.000 euros.

DÉCISION

La Cour, statuant publiquement, contradictoirement à l’encontre de M. X. et de la partie civile,

Déclare les appels du ministère public et de la partie civile réguliers et recevables,

  • Sur l’action publique :

Confirme le jugement entrepris quant à la relaxe pour les infractions d’accès et de maintien frauduleux dans un système de traitement automatisé de données et l’infraction de l’extraction frauduleuse de données contenues dans un système de traitement automatisé pour la période du 3 juillet au 12 novembre 2014,

Infirme le jugement entrepris pour le surplus,

Déclare M. X. coupable des infractions d’extraction frauduleuse de données contenues dans un système de traitement automatisé du 13 novembre 2014 au 20 mars 2015 à Paris au préjudice de la SAS Weezevent, et de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite du 3 juillet 2014 au 20 mars 2015 à Paris au préjudice de la SAS Weezevent,

Condamne M. X. à une amende de 1000 euros avec sursis,

Ordonne la dispense de mention de la présente condamnation sur le bulletin numéro 2 du casier judiciaire de M. X.

Ordonne la confiscation des scellés qui n’ont pas fait l’objet de restitution,

  • Sur l’action civile :

Déclare la constitution de partie civile de la SAS Weezevent régulière et recevable et M. X. entièrement responsable de son préjudice,

Condamne M. X. à payer à la partie civile la somme de quarante mille euros (40.000 euros) au titre de son préjudice économique, la somme de six mille euros (6.000 euros) au titre de son préjudice moral,

Condamne M. X. à lui payer un montant de trois mille euros (3.000 euros) en application de l’article 475-1 du code de procédure pénale,

Le président informe le condamné de la possibilité pour la partie civile, non éligible à la Commission d’Indemnisation des Victimes d’Infractions (CJVI), de saisir le Service d’Aide au Recouvrement des Victimes d’Infractions (SARVI), s’il ne procède pas au paiement des dommages intérêts auxquels il a été condamné dans le délai de deux mois courant à compter du jour où la décision est devenue définitive et du fait que, en cas de saisine du SARVI par la victime, les dommages intérêts sont augmentés d’une pénalité de 30% en sus des frais de recouvrement.

Et aussitôt, le Président de la juridiction, après le prononcé de la peine assortie du sursis simple, a donné l ‘avertissement prévu à l’article 132-29 du Code pénal, qui dispose qu’en cas de condamnation pour une nouvelle infraction qui serait commise dans les délais prévus par les articles 132-35 et 132-37 du code pénal, le sursis pourra être révoqué par la juridiction.
La Cour : Cécile Garnier (président), Thierry Montfort, Chantal Guichard (conseillers), Delphine Durand, Cédric Medina (greffiers)

Avocats : Me Olivier Iteanu, Me Marine Hardy, Me Damien Lordier

Lire notre présentation de la décision

 
 

En complément

Maître Damien Lordier est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître Marine Hardy est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître Olivier Iteanu est également intervenu(e) dans les 121 affaires suivante  :

 

En complément

Le magistrat Cécile Garnier est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Cédric Medina est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Le magistrat Chantal Guichard est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Delphine Durand est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Le magistrat Thierry Montfort est également intervenu(e) dans l'affaire suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.