Jurisprudence / Thématique
 

Les avocats du net

 

Mots-clés Legalis

 


 

Jurisprudence : Responsabilité

Accueil >> Jurisprudences >> Responsabilité
lundi 18 juillet 2016
Facebook Viadeo Linkedin

Tribunal de grande instance de Paris, 12e ch. Corr. 1, jugement correctionnel du 20 juin 2016

Weezevent / M. X.

accès frauduleux à un système de traitement automatisé de données - collecte déloyale - données personnelles - élément intentionnel - maintien frauduleux à un système de traitement de données - relaxe - site public

Prévenu des chefs de :
ACCES FRAUDULEUX DANS UN SYSTEME DE TRAITEMENT AUTOMATISE DE DONNEES fait commis du 3 juillet 2014 au 12 mars 2015 à Paris ;
MAINTIEN FRAUDULEUX DANS UN SYSTEME DE TRAITEMENT AUTOMATISE DE DONNEES fait commis du 3 juillet 2014 au 20 mars 2015 à Paris ;
COLLECTE DE DONNEES A CARACTERE PERSONNEL PAR UN MOYEN FRAUDULEUX, DELOYAL OU ILLICITE fait commis du 3 juillet 2014 au 20 mars 2015 à Paris ;
EXTRACTION FRAUDULEUSE DE DONNEES CONTENUES DANS UN SYSTEME DE TRAITEMENT AUTOMATISE fait commis du 3 juillet 2014 au 20 mars 2015 à Paris ;

L’affaire a été appelée à l’audience du :
– 04/01/2016 et renvoyée à la demande des parties au 30 mai 2016.

DEBATS

A rappel de la cause, le juge rapporteur a constaté la présence et l’identité de M. X. et a donné connaissance de l’acte qui a saisi le tribunal.

Le juge rapporteur informe le prévenu de son droit, au cours des débats, de faire des déclarations, de répondre aux questions qui lui sont posées ou de se taire.

Le juge rapporteur a instruit l’affaire, interrogé le prévenu présent sur les faits et reçu ses déclarations.

Le conseil de la SAS Weezevent, partie civile a été entendu en ses demandes et plaidoirie.

Le ministère public a été entendu en ses réquisitions.

Le conseil de M. X. a été entendu en sa plaidoirie.

Le prévenu a eu la parole en dernier.

Le greffier a tenu note du déroulement des débats.

Puis à l’issue des débats tenus à l’audience TRENTE MAI DEUX MILLE SEIZE, le tribunal a informé les parties présentes ou régulièrement représentées que le jugement serait prononcé le 20 juin 2016 à 13:30.

A cette date, vidant son délibéré conformément à la loi, le Président a donné lecture de la décision, en vertu de l’article 485 du code de procédure pénale,

Le tribunal a délibéré et statué conformément à la loi en ces termes :

Attendu que M. X. a été déféré le 2 décembre 2015 devant le procureur de la République qui lui a notifié par procès-verbal avec émargement, en application des dispositions de l’article 394 alinéa 1 du code de procédure pénale, qu’il devait comparaître à l’audience du 4 janvier 2016.

Attendu qu’à l’audience du 4 janvier 2016, l’affaire a été renvoyé à la demande du conseil du prévenu.

Attendu qu’à l’audience du 30 mai 2016, l’affaire a été mise en délibéré au 20 juin 2016.

Attendu que M. X. a campant à l’audience assisté de son conseil ; il y a lieu de statuer contradictoirement à son égard.

Attendu qu’il est prévenu :

– d’avoir à Paris, du 3 juillet 2014 au 12 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, accédé et de s’être maintenu frauduleusement dans le système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce le serveur hébergeant le site internet www.weezevent.com
Faits prévus par ART.323-1 AL.1 C.PENAL et réprimés par ART.323-1 AL.1, ART.323-5 C.PENAL.

– d’avoir à Paris, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, s’être maintenu frauduleusement dans le système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce le serveur hébergeant le site internet www.weezevent.com
Faits prévus par ART323-1 AL.1 C.PENAL et réprimés par ART.323-1 AL.1, ART.323-5 C.PENAL.

– d’avoir à Paris, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, en tout cas sur le territoire national et depuis temps non prescrit, collecté des données à caractère personnel par un moyen frauduleux, déloyal ou illicite au préjudice de Weezevent, en l’espèce la base de Weezevent composée de données à caractère personnel de ses clients,
Faits prévus par ART226-18 C.PENAL. ART.6 1°, ART.2 LOI 78-17 DU 06/01/1978 et réprimés par ART.226-18. ART.226-22-2, ART.226-31 C.PENAL.

– d’avoir à Paris, du 3 juillet 2014 au 20 mars 2015, en tout cas sur le territoire national et depuis temps non couvert par la prescription, extrait frauduleusement les données d’un système de traitement automatisé de données au préjudice de la Société Weezevent, en l’espèce l’ensemble de la base de données composée de 44380 fiches clients.
Faits prévus par ART.323-3 AL.1 C.PENAL et réprimés par ART.323-3 AL.1, ART.323-5 C.PENAL.

DISCUSSION

SUR L’ACTION PUBLIQUE :

Le 22 mars 2015, Monsieur Z., président de la société Weezevent portait plainte à la brigade d’enquête sur les fraudes aux technologies de l’information pour dénoncer trois collectes frauduleuses, basées sur des requêtes afin d’appréhender une partie de sa base de données, ses clients se voyant ensuite démarchés par courriel pour les inciter à utiliser un site concurrent, nommé www.billetweb.com.

Monsieur Z. précisait que la société Weezevent était une SAS créée en avril 2008 et qui avait été la première a lancé en France une solution de billetterie en ligne qui permettait à tout à chacun souhaitant devenir organisateur d’événements de créer depuis le site de Weezevent son événement, de proposer des billets en ligne et de promouvoir des événements.

La société avait réussi à développer une base de données avec 44380 fiches de clients et prospects.

Il ajoutait par ailleurs que la société disposait de deux serveurs web virtualisés chez Claranet ainsi que deux bases de données SQL identiques et contenant les informations des clients.

La société ne disposait cependant pas de réserve Proxy avec l’option de « request limiter » limitant le nombre de requêtes possibles depuis une même adresse IP.

Pendant l’enquête, les policiers de la brigade d’enquête sur les fraudes aux technologies de l’information procédaient à une capture d’écran des deux sites de billetweb et de Weezevent et remarquaient des similitudes dans le texte choisi mais pas dans la structure générale de programmation.

Neuf adresses IP étaient identifiées, dont sept aux Etats-Unis et deux en France dont une avec des requêtes spécifiques.

Après réquisition judiciaire à l’opérateur Free relative à l’identification de l’utilisateur de l’adresse IP utilisée pour effectuer les 60 000 requêtes sur Weezevent.com, il apparaissait que cette adresse était attribuée à M. X. depuis le 28 décembre 2013.

Il était également établi que le nom de domaine billetweb.fr était enregistré auprès d’OVH depuis le 6 novembre 2013 par M. X.

Ce dernier était également président de la société SASU Trustweb liée au site billetweb.fr.

La perquisition opérée au domicile de M. X. permettait la saisie de matériels informatiques.

Sur l’ordinateur fixe, il était découvert des scripts permettant des requêtes automatisées ainsi qu’une base de données avec 7779 fiches clients de la société Weezevent.

En audition devant les services de police, M. X., informaticien de la société Factset depuis 2011 reconnaissait être président de la société Trustweb depuis le 24 février 2014 qui avait édité depuis ses débuts le site intemet billetweb, spécialisé dans la billetterie en ligne.

A l’origine, il précisait avoir voulu créer un outil de billetterie dédié spécialement aux événements de l’université.
Il affirmait ne pas avoir eu conscience du préjudice car les informations collectées étaient visibles par tous.
Il expliquait avoir seulement automatisé la collecte afin de récolter les informations disponibles pour chaque fiche client.
Il ajoutait avoir effectué une recherche sur Google par rapport à un événement, avoir déterminé le site sur lequel il était affiché.
Si un process de collecte n’était pas déjà mis en place, il précisait avoir créé un script qui parcourait le site et récupérait les informations jugées intéressantes.

A l’audience, M. X. déclarait être allé sur le site des billetteries et avoir repéré les adresses des utilisateurs qui étaient des informations disponibles et en accès libre pour chaque internaute.
Il admettait avoir collecté des données sur six mois, mais ne pas avoir utilisé les 7000 adresses.
Il affirmait enfin avoir cessé tout contact avec les clients de Weezevent après la perquisition opérée à son domicile.

1. Sur les infractions d’accès, de maintien et d’extraction frauduleuse de données dans un système de traitement automatisé de données :

Au soutien de ses prétentions, la société Weezevent affirme que M. X. a prélevé frauduleusement plus de 16% de sa base de données au moyen de scripts malveillants et d’un robot ayant parcouru son site, ne se limitant pas à utiliser un simple logiciel de navigation.

M. X. aurait reconnu par ailleurs s’être attaqué spécifiquement à chacun des sites internet de ses concurrents, sans procéder à un « scan » général d’internet.

En l’état des dispositions de la loi 2004-575 du 21 juin 2004, modifiée ensuite par la loi n°2014-1353 du 13 novembre 2013, si J’accès sans droit dans un système de traitement automatisé des données est sanctionné, il en est de même lorsque le maintien est également frauduleux.
Le maintien dans le système automatisé de données pour être frauduleux suppose la conscience pour le contrevenant de l’irrégularité de ses actes.
En outre, pour que les infractions existent, il faut que le maître du système ait manifestement l’intention d’en restreindre J’accès aux « seules personnes autorisées ».

Cependant, l’élément intentionnel est exclu en l’absence d’une mise en garde d’une manière ou d’une autre du caractère confidentiel du site ou des données.

En l’espèce, les pièces de la procédure démontrent au contraire que M. X. n’a fait qu’accéder à la partie publique du site Weezevent, c’est-à-dire plus précisément la partie accessible à tout utilisateur, cherchant à acquérir des billets pour des événements en ligne.

En effet, il résulte de la lecture des conditions générales d’utilisation des services de Weezevent, dans leurs articles 8 relatifs à l’hébergement du contenu organisateur que la société Weezevent et les organisateurs par le paramétrage de leur compte, n’ont manifesté aucune intention d’en restreindre l’accès aux seules personnes autorisées puisque les informations dont la détention est reprochée à M. X. sont accessibles sur la partie publique du site internet Weezevent.com.
Selon l’article 8 « en rendant accessible du contenu sur les sites (Ci-après le « Contenu organisateur »), l’Organisateur accepte que d’autres Organisateurs, le Public ou les Participants disposent à titre gratuit et à des fins exclusivement personnelles, de la faculté de visualiser et de partager le Contenu Organisateur sur les sites internet de Weezevent, sur d’autres supports de communication électronique (notamment sur les téléphones mobiles) et ce pendant toute la durée de l’hébergement dudit Contenu sur les Sites internet de Weezevent ».
« L’Organisateur est tenu de prendre toutes les mesures utiles de façon à protéger son contenu et les données le concernant ».

Cette analyse est confortée par le témoignage apporté à l’audience par Monsieur Mantel, enquêteur spécialisé à la brigade d’enquête sur les fraudes aux technologies de l’information.

Ce dernier a expliqué que tout le site internet complet de Weezevent n’avait pas été « balayé » et que M. X. avait utilisé des robots qui avaient permis de récupérer des données sur une partie publique du site Weezevent.

Il a ajouté que les requêtes spécifiques avaient ciblé la partie publique du site.

Il a par ailleurs souligné qu’un simple technicien aurait pu procéder à une telle manoeuvre et ce en dépit de l’organisation d’un tableau avec les données clients et l’élaboration d’un script faisant la différence entre le fait de savoir si le client était ou non actif sur Weezevent.

Enfin, il a été versé aux débats un procès-verbal de constat d’huissier en date du 16 décembre 2015 aux termes duquel le seul moteur de recherche Google permettait d’accéder à des informations sur des événements publics organisés au moyen du site Weezevent.

Dès lors, il résulte de l’ensemble de ces éléments que des consultations massives à l’aide d’un robot ont eu lieu sur le site de Weezevent mais que l’accès, le maintien et l’extraction frauduleuse de données sur ce site internet n’est pas démontré, la société Weezevent n’ayant pas eu l’intention de restreindre l’accès de centaines données qui étaient alors en libre circulation et récupérables sans intrusion mais par simple consultation.

2. Sur l’infraction de collecte de données à caractère personnel par un moyen frauduleux déloyal ou illicite :

La société Weezevent a soutenu que M. X. avait procédé de manière déloyale dans la collecte de données, ayant recueilli des adresses électroniques personnelles de personnes physiques sur l’espace public d’internet.

Un tel procédé n’est pas rapporté par les éléments d’enquête et les pièces versées en procédure.

Les enquêteurs de la brigade d’enquête sur les fraudes aux technologies de l’information ont renseigné sur la découverte de nombreuses versions du site billetweb.fr depuis ses origines, rendant compte d’une absence de copie complète du code source opéré par M. X.

Ce dernier a déclaré de manière constante qu’il ne pouvait y avoir confusion sur le texte et qu’ il avait seulement repris « les grandes lignes se trouvant sur internet et accessible, et sans avoir procédé à une copie trait pour trait ».

Monsieur Mantel, dans son témoignage à la barre a affirmé que « le prévenu avait vraiment travaillé sur son site internet et l’avait pas copié l’intégralité du site mais s’en était inspiré. Le style de programme était juste inspiré avec des choix de méthode pris ».

Enfin, les pièces produites en procédure n’ont pas permis la démonstration de collecte d’informations strictement personnelles qui étaient par ailleurs en libre accès, tels que choisies par les personnes physiques organisatrices d’événements, autorisant explicitement à leur utilisation.

M. X. n’a donc nullement collecté des données sur la partie confidentielle du site Weezevent mais a seulement envoyé des courriels proposant d’autres prestations de billetterie en ligne.

Enfin, aucune plainte n’a été déposée auprès de la CNIL et M. X. dès l’information de la procédure pénale a contacté l’ensemble des organisateurs pouvant être concernés pour faire cesser toute relation commerciale avec eux.

Dès lors, l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite n’est pas caractérisée.

La relaxe de M. X. se doit donc d’être prononcée de l’ensemble des chefs de la prévention.

Le tribunal ordonne la restitution des scellés n° 6 et 9 et la confiscation des autres biens saisis.

Le tribunal rejette la demande formulée par M. X. au titre de l’article 472 du code de procédure pénale.

SUR L’ACTION CIVILE :

La SAS Weezevent s’est constituée partie civile par l’intermédiaire de son conseil et sollicite du tribunal la condamnation de M. X. à :

Condamner M. X. à la somme forfaitaire de deux cents mille euros (200 000 euros) à titre de dommages-intérêts en réparation du préjudice matériel de la société Weezent ;
Ordonner la destruction du scellé n° 2 comportant la base de données de la société Weezevent ;
Condamner M. X. à la somme de cinquante mille euros (50 000 euros) à titre de provision pour dommages-intérêt en réparation du préjudice matériel de la société Weezent et fixer le surplus à dire d’Expert sur désignation du Tribunal céans ;
Condamner M. X. à la sommer de quinze mille euros (15 000 euros) à titre de dommages intérêts du préjudice moral de la société Weezevent ;
Condamner M. X. à la somme de quinze mille euros (15 000 euros) sur le fondement de l’article 475-1 du code de procédure pénale.

Le tribunal recevant comme valable en la forme la constitution de partie civile de La SAS Weezevent dispose de suffisamment d’éléments pour ne pas faire droit à leurs demandes du fait de la relaxe intervenue.

DECISION

Le tribunal, statuant publiquement, en premier ressort et contradictoirement à l’égard de M. X. et la SAS Weezevent,

SUR L’ACTION PUBLIQUE :

Relaxe M. X. ; des fins de la poursuite ;

Restitution du scellé n°6 (l’ordinateur fixe appartenant à M. X. et du scellé n° 9 (l’ordinateur Apple modèle MacBookPro et son chargeur) ;

Confiscation des autres biens saisis.

Rejette la demande formulée par M. X. au titre de l’article 472 du code de procédure pénale.

SUR L’ACTION CIVILE :

Déclare recevable la constitution de partie civile de la SAS Weezevent,

La déboute de ses demandes du fait de la relaxe.

 

Le Tribunal : Jean-Marc Cathelin (premier vice-président), Sylvie Moysan (juge), Gérard Defrance (juge), Sabrina Reis (greffière), Arnaud de Laguiche (substitut)

Avocats : Me Cyril Fabre, Me Jérôme Sujkowski, Me Olivier Iteanu

Notre présentation de la décision

 
 

En complément

Maître Cyril Fabre est également intervenu(e) dans les 132 affaires suivante  :

 

En complément

Maître Jérôme Sujkowski est également intervenu(e) dans les 7 affaires suivante  :

 

En complément

Maître Olivier Iteanu est également intervenu(e) dans les 141 affaires suivante  :

 

En complément

Le magistrat Arnaud de Laguiche est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Gérard Defrance est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Le magistrat Jean Marc Cathelin est également intervenu(e) dans les 4 affaires suivante  :

 

En complément

Le magistrat Sabrina Reis est également intervenu(e) dans l'affaire suivante  :

 

En complément

Le magistrat Sylvie Moysan est également intervenu(e) dans l'affaire suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.