Jurisprudence : Diffamation
Tribunal de grande instance 17ème chambre correctionnel Jugement du 7 juillet 2009
Forever Living Products France / Damien B.
accès non autorisé - diffamation - référé - retrait - site - traitement automatisé de données
[…]
DISCUSSION
Sur la fin de non-recevoir tirée de la règle una vi electa
Damien B. soutient que la société Forever Living Products France serait irrecevable à agir devant la juridiction pénale au motif qu’elle l’aurait précédemment assigné en référé aux mêmes fins. Il résulte cependant des termes des articles 5 et 5-1 du code de procédure pénale que l’interdiction faite à celui qui a exercé son action devant la juridiction civile compétente de la porter devant la juridiction répressive ne concerne pas les actions engagées en référé, étant en tout état de cause observé que, faute que soit produit l’acte introductif de cette instance, l’identité entre les deux actions n’est nullement démontrée.
La société Forever Living Products France sera, en conséquence, reçue en sa constitution de partie civile.
Sur les propos poursuivis
Le site internet accessible à l’adresse www.zataz.com, fourni par Damien B. est consacré, ainsi que le précise sa page d’accueil, à l' »actualité multimédia », a mis en ligne, le 7 octobre 2008, un article signé du même Damien B. et intitulé « Données bancaires en libre accès chez société Forever Living Products France », ce titre étant lui-même incriminé.
Ce texte commençait ainsi, étant précisé que les extraits poursuivis en sont ci-après reproduits soulignés :
« Exclusif : le premier producteur mondial d’Aloe Vera avait un disque dur connecté sur internet bourré de données bancaires et information sensibles. »
Le moins que l’on puisse dire est que de l’Huile aurait pu couler encore longtemps sous les ponts de la société Forever Living Products France (FLP) si la rédaction de Zataz.com n’était pas intervenue ? Qui est FLP ? Rien d’autre que le premier producteur d’Aloe Vera, une huile très à la mode. Une société qui affiche en 2005 un chiffre d’affaire de 27 millions d’euros, et de 32 millions en 2006.
« Sésame, ouvre-toi… sésame, quel sésame ?
Un internaute, nous l’appellerons HB, a découvert sur la toile un serveur non protégé appartenant à cette société. Un espace qui, d’après nos constatations, devait servir aux stockages des données sensibles de FLP France.
Nous avons pu découvrir que des milliers de données bancaires, datant de 2007 et 2008 étaient disponibles d’un simple clic de souris, via un navigateur internet, sans aucune restriction, ni mot de passe. Un serveur d’autant plus étonnant, il contenait aussi l’ensemble des données comptables de cette entreprise internationale, les exportations, le marketing et les statistiques annuelles.
Bref un manne providentielle pour la concurrence. Contactée par la rédaction de Zataz.com, notre appel téléphonique aura permis de faire fermer ce serveur.
Nous ne pouvons dire depuis combien de temps cet espace était ouvert de la sorte. Chose est certaine, cela durait depuis plus de 7 jours. Il aura fallu plus d’une semaine à cette société pour réagir. Nos deux premiers courriels étant restés lettres mortes. Notre appel téléphonique, directement dans les alcôves de la direction aura permis une action efficace.
Les données bancaires ont très bien pu tomber entre de très mauvaises mains. Des comptes bancaires, par milliers, de clients de la Société Générale, LCL, Crédit Agricole, BNP Parisbas, La Banque Postale, AXA, CIC,…
Données clients, ce qu’en dit la Cnil.
La Commission nationale de l’informatique et des libertés (Cnil), rappelle sur son site quelques éléments bons à retenir comme celui d’éviter la « dilution », des données archivées dans le système informatique de l’entreprise. En application de l’article 34 de la loi du 6 janvier 1978 modifiée, les responsables de traitements doivent mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données archivées notamment contre la diffusion ou l’accès non autorisés ainsi que toute autre forme de traitement illicite. « Le responsable du traitement est tenu de prendre toutes précautions, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
L’article se concluait par quelques développements supplémentaires sur les recommandations de la Cnil.
Sur le caractère diffamatoire des propos poursuivis
Il convient de rappeler que le 1er alinéa de l’article 29 de la loi du 29 juillet 1881 définit la diffamation comme « toute allégation de la personne ou du corps auquel le fait est imputé », le dit fait devant être suffisamment précis pour pouvoir faire l’objet du débat sur la preuve de sa vérité organisé par les articles 35, 55 et 56 de la loi, quand bien même les prévenus ne seraient pas autorisés par la loi à rapporter cette preuve ; ce délit, qui est caractérisé même si l’imputation est formulée sous forme déguisée ou dubitative ou par voie d’insinuation, se distingue ainsi aussi bien de l’injure, que l’alinéa 2 du même article 29 définit comme « toute expression outrageante, termes de mépris ou invective qui ne renferme l’imputation d’aucun fait », que de l’expression subjective d’une opinion, dont la pertinence peut être librement discutée dans le cadre d’un débat d’idées, mais dont la vérité ne saurait être prouvée.
Ainsi que le soutient à juste titre la partie civile, les passages de cet article qu’elle incrimine lui imputent une négligence caractérisée dans la protection de données personnelles, spécialement les coordonnées bancaires de ses clients, traitées par ses systèmes informatiques, lesquelles se sont trouvées accessibles à tous les utilisateurs du réseau internet, et y sont demeurées au moins une semaine après que le responsable du traitement eut été avisé de cette situation. Un tel fait est précis et peut être l’objet d’un débat probatoire utile. Il est contraire à la considération dès lors que, comme le rappelle exactement un des propos poursuivis, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés exige des responsables de traitements de données à caractère personnel qu’ils prennent toutes précautions utiles notamment pour éviter l’accès de tiers non autorisés à de telles données, étant ajouté que le non-respect de cette obligation est sanctionné pénalement par les dispositions de l’article 226-17 du code pénal.
Sur l’offre de preuve
C’est à juste titre que la partie civile soutient que l’offre de preuve de la vérité signifiée par Damien B. le 13 janvier 2009 n’est pas conforme aux exigences de l’article 55 de la loi du 29 juillet 1881 sur la liberté de la presse. Contrairement, en effet, à la règle instituée par ce texte, ce document a été signifié non pas « au plaignant au domicile élu par lui » dans sa citation, à savoir celui de son avocat tel que spécifié dans l’acte de poursuite, mais au siège social de la société.
Dans ces conditions, et sans qu’il soit besoin d’examiner si, dans les quinze pages d’argumentation juridique et factuelle que compte la dite offre, peuvent être distingués les « faits articulés et qualifiés dans la citation » dont le prévenu entendait apporter la preuve, ainsi que l’exigent également les dispositions susvisées, le prévenu est déchu du droit de faire la preuve de la vérité des faits diffamatoires.
Sur la bonne foi
Si les imputations diffamatoires sont réputées faites dans l’intention de nuire, le prévenu peut encore, cependant, justifier de sa bonne foi et doit, à cette fin, établir qu’il poursuivait, en écrivant et diffusant les propos litigieux, un but légitime exclusif de toute animosité personnelle, qu’il a conservé dans l’expression une suffisante prudence et qu’il s’est appuyé sur une enquête sérieuse.
Le site internet « Zataz.com » est consacré aux questions intéressant les réseaux informatiques, au premier rang desquelles vient celle de la protection des données qui sont l’objet de traitements automatisés dans le cadrer de systèmes reliés au réseau internet.
En qualité de directeur de la publication de ce site et de journaliste, Damien B., auteur d’ouvrages et d’articles sur ce sujet, pouvait légitimement, comme il l’avait déjà fait précédemment, révéler publiquement sur ce site spécialisé les failles qu’il avait décelées dans des systèmes de traitement automatisé de données personnelles, dans un double but d’information et de sensibilisation du public, ainsi qu’en attestent les pièces versées aux débats, émanant notamment de responsables de traitements ayant bénéficié de ses avertissements et s’en félicitant.
Rien dans les propos poursuivis ni dans aucun autre élément produit aux débats ne permet de retenir qu’au delà de la poursuite de cet objectif, le prévenu aurait en fait été mu par une animosité de nature personnelle à l’encontre de la partie civile.
Damien B., qui se prévaut aussi au titre de l’enquête sérieuse des pièces annexées à son offre de preuve, démontre qu’il a lui-même accédé -par le biais d’un moteur de recherche (www.gegereka.com) interrogé à partir des mots « virements historiques » et d’une adresse de serveur ftp qui, indique-t-il, lui aurait été donnée par un internaute qui l’avait averti de la difficulté- à des données personnelles faisant l’objet d’un traitement automatisé par la société partie civile, et contenant notamment des informations bancaires sur les clients de cette société. Il justifie qu’après une communication téléphonique, dont la réalité n’est pas contestée, il a averti par courrier électronique le 2 octobre 2008 la dite société, en joignant une capture d’écran des éléments auxquels il avait accédé, et que celle-ci, sous la plume de son « responsable du support distributeurs » lui a répondu, le 7 octobre suivant « Merci de nous avoir signalé cette sérieuse anomalie, cela a permis à notre informaticien de corriger immédiatement. Merci encore pour votre alerte ».
Les explications techniques détaillées fournies par le prévenu, et documentées de copies d’écran, ne sont pas invalidées par le rapport d’expertise produit par la partie civile (signé le 2 décembre 2008 par Hubert Bittan, expert inscrit sur la liste de la cour d’appel de Paris), qui conclut que le serveur ftp intéressé était protégé et sécurisé, mais qu’il a fait l’objet, les 29 septembre et 2 octobre 2008, d’intrusions frauduleuses qui ont « pu être réalisées en exploitant une faille de sécurité (telles celles affectant les systèmes d’exploitation) », un rapport complémentaire (du même expert, daté du 13 janvier 2009) ajoutant que le moteur de recherche utilisé par Damien B. est dédié aux professionnels et précisant que « ce n’est pas l’existence d’une faille de sécurité qui exclut la qualification d’accès frauduleux ».
Dans un contre rapport dressé, à la demande du prévenu, Patrick Roussel, expert inscrit sur la liste de la cour d’appel de Montpellier, estime que les connexions « ftp anonyme », qui n’étaient plus autorisées lors des constatations effectuées par un huissier le 23 octobre 2008, sur la base desquelles avait travaillé le premier expert, l’étaient en revanche au moment des accès litigieux, ce qui constituait « une prise de risque inutile », et « la démonstration de la légèreté d[u…] comportement [de la société] relatif à la sécurité informatique de son serveur ».
En tout état de cause, il convient de relever :
– qu’à la seule lecture des termes des rapports soumis à la partie civile, il apparaît que des accès frauduleux, c’est-à-dire non autorisés, avaient pu être réalisés sur un serveur contenant des données personnelles, et que ces accès résultaient d’une faille de sécurité, ce qui est précisément ce que dénonçait Damien B.,
– que l’analyse du contre-rapport produit par ce dernier est corroborée par la teneur de la réponse apportée par la société à l’avertissement qu’il lui avait adressé, qui reconnaissait une « sérieuse anomalie » et remerciait celui qui avait permis qu’elle soit immédiatement corrigée.
Damien B. avait donc en sa possession, au moment où il a mis en ligne le texte litigieux, les informations qui le corroboraient, informations que les investigations techniques réalisées postérieurement sont venues confirmer.
Il en a rendu compte sur un site spécialisé en assortissant son propos du rappel utile des règles légales en la matière et sans outrepasser les limites de la prudence dans l’expression.
Dans ces conditions, il sera admis au bénéfice de la bonne foi et renvoyé des fins de la poursuite.
Sur l’action civile
La partie civile, recevable en sa constitution, sera cependant déboutée de toutes ses demandes, compte tenu de la relaxe ainsi intervenue.
Le droit d’agir en justice ne dégénérant en faute qu’en cas d’abus caractérisé ou d’intention de nuire, lesquels ne sont pas caractérisés au cas présent, la partie civile ayant pu se méprendre sur l’étendue de ses droits, la demande en dommages-intérêts pour procédure abusive sera rejetée.
L’article 475-1 du code de procédure pénale n’autorisant que la condamnation du prévenu au bénéfice de la partie civile, la demande formée à ce titre en défense sera déclarée irrecevable.
DECISION
Par jugement contradictoire,
. Dit la société Forever Living Products France recevable en sa constitution de partie civile ;
. Déclare Damien B. déchu du droit d’apporter la preuve de la vérité des faits diffamatoires ;
. Renvoie Damien B. des fins de la poursuite ;
. Déboute la société Forever Living Products France de toutes ses demandes ;
. Rejette la demande formée par Damien B. en dommages-intérêts pour procédure abusive ;
. Dit Damien B. irrecevable ne sa demande formée sur le fondement des dispositions de l’article 475-1 du code de procédure pénale.
Le tribunal :
Avocats :
Voir décision de la Cour d’appel de Paris
Notre présentation de la décision
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.