PATRIMOINE ET SECURITE INFORMATIQUE
/ Décembre 2021/
Le patrimoine informatique regroupe tous les biens matériels informatiques mais aussi toutes les œuvres multimédias, audiovisuelles ou encore cinématographiques. Mais alors comment est assurée la sécurité du patrimoine informatique ?
I. Sécurité des œuvres immatérielles
Toute œuvre de l’esprit, c’est à dire toute forme d’expression originale est protégée par les droits d’auteur. L’article L.111-1 du code de la propriété intellectuelle prévoit en effet que « l'auteur d'une oeuvre de l'esprit jouit sur cette oeuvre, du seul fait de sa création, d'un droit de propriété incorporelle exclusif et opposable à tous. Ce droit comporte des attributs d'ordre intellectuel et moral ainsi que des attributs d'ordre patrimonial. » Le critère de protection est l’originalité. L’originalité s’entend comme le reflet de la personnalité du créateur, il faut l’empreinte personnelle de l’auteur.
Besoin de l'aide d'un avocat pour un problème de contrefaçon ?
Téléphonez - nous au : 01 43 37 75 63
ou contactez - nous en cliquant sur le lien
La cour d’appel de Bordeaux,
dans un arrêt du 11 mai 2021 (CA Bordeaux, 11 mai 2021, no 18/02506)
précise que les ouvrages scientifiques ne sont pas protégés au titre du
droit d'auteur pour leur contenu scientifique. (4)
Toute atteinte à ces droits d’auteur est répréhensible.
Les téléchargements contraires aux droits d’auteurs sont passibles de 3 ans d’emprisonnement et de 300 000 € d’amende au titre de la contrefaçon depuis la loi Perben II du 9 mars 2004 qui a augmenté ces peines. Celles-ci passent d’ailleurs à 5 ans de prison et 500 000 € d’amende lorsque le délit est commis en bande organisée.
Les maisons de disques et producteurs de films se basent en effet sur l’article L.335-2 du code de propriété intellectuelle pour agir contre les internautes qui téléchargent des œuvres.
Cet article définit la contrefaçon comme « toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs ». Sont également punis des mêmes peines le débit, l’exportation et l’importation des ouvrages contrefaits.
« Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi. » ( article L.335-3).
L’articles L.335-4 prévoit quant à lui qu’« est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d'une prestation, d'un phonogramme, d'un vidéogramme ou d'un programme, réalisée sans l'autorisation, lorsqu'elle est exigée, de l'artiste-interprète, du producteur de phonogrammes ou de vidéogrammes ou de l'entreprise de communication audiovisuelle.
Est punie des mêmes peines toute importation ou exportation de phonogrammes ou de vidéogrammes réalisée sans l'autorisation du producteur ou de l'artiste-interprète, lorsqu'elle est exigée. »
Les personnes morales peuvent être déclarées responsables pénalement de ces infractions en vertu de l’article L 335-8 du Code de la propriété intellectuelle.
La chambre commerciale de la
cour dans un arrêt du 11 janvier 2023 (Cass. com., 11 janv. 2023, nos 19-11670)
a précisé qu’intenter une action en contrefaçon sur la base de
brevets
sur lesquels le demandeur ne disposait pas de droits opposables à des tiers peut
constituer un abus de droit susceptible d’engager la responsabilité de son
auteur, sans qu’il soit démontré l’intention de nuire. (5)
Les bases de données sont également protégées par les droits d’auteur et par la loi du 1er juillet 1998. L’architecture de la base et les outils d’interrogation et de recherche sont protégés au titre d’un droit d’auteur spécial et du droit commun du droit d’auteur.
De plus, le producteur d’une base de données est protégé contre toute extraction, réutilisation de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base. ( articles L. 341-1 du code de la propriété intellectuelle) Seul le producteur peut bénéficier de cette protection.
« On entend par base de données un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. » ( article L.112-3 du code de la propriété intellectuelle).
Il peut y avoir contrefaçon d’une base de donnée qui est punie en vertu de l’article L 335-3.
Mais également toute atteinte aux droits du producteur d’une base de données est puni au titre de l’article L. 343-1 de trois ans d’emprisonnement et de 300 000 euros d’amende. Ces peines sont portées à cinq ans d’emprisonnement et 500 000 euros d’amende lorsque le délit est commis en bande organisée.
Est considéré comme producteur d’une base de données la personne qui a réalisé un investissement substantiel dans cette base, c’est à dire qu’elle a effectué les investissements nécessaires à la constitution, à la vérification et la présentation de la base de données. La protection bénéficie aux personnes physiques, comme aux personnes morales dès lors qu’elles sont ressortissantes d’un Etat de la Communauté européenne.
S’agissant de la qualité de
producteur d’une base de données, le tribunal judiciaire de Paris dans un arrêt
du 22 décembre 2023 (TJ Paris, 3e ch.,
22 déc. 2023, no 22/03126)
a rappelé que la réalisation d’investissement pour la création d’un
logiciel associé à un système de gestion de
bases de données ne confère pas cette qualité, s’il n’est pas en lien avec le contenu des
bases, constitué par les utilisateurs du logiciel. (6)
La loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a d’ailleurs autorisé les sociétés de perception et de répartition de droits d’auteur à former, sous l’œil vigilent de la CNIL, des fichiers ou listes noires des contrevenants qui téléchargeraient des œuvres sans autorisation.
« Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en oeuvre que par :
1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;
2° Les auxiliaires de justice, pour les stricts besoins de l'exercice des missions qui leur sont confiées par la loi ;
3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]
4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d'atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d'assurer la défense de ces droits. »
De plus, la Commission nationale de l’informatique et des libertés (CNIL) a récemment autorisé, en application de l’article 9-4° de la loi de 1978 modifiée en août 2004, le syndicat des éditeurs de logiciels de loisirs (SELL) à mettre en œuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle.
Le SELL avait en effet présenté un dispositif à la CNIL visant à adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux « peer to peer », et à relever, dans certains cas, l’adresse IP de ces internautes. La CNIL, après étude, a donc autorisé la mise en place de ce dispositif en mars 2005, estimant que l’équilibre entre la protection des droits des personnes dont les données sont traitées et la protection des droits d’auteurs était préservé.
Les messages de prévention indiqueront que ces logiciels sont protégés par des droits d’auteur et que la violation de l’un des droits de l’auteur d’un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon.
Quant à la collecte des adresses IP, elle ne sera effectuée que pour les infractions graves et dans le seul but de permettre la mise à disposition de l'autorité judiciaire d'informations et ne pourront acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire.
Les mesures techniques de protection et les Systèmes numériques de gestion des droits (Digital Rights Management Systems) constituent un ensemble de protections, il s’agit de technologies permettant de protéger les droits d’auteur en chiffrant les contenus et en n’autorisant qu’un accès limité et contrôlé. L’utilisation de la cryptographie permet de chiffrer les données à des fins de non-divulgation et de non-reproduction.
Ces nouvelles protections visent à assurer la protection des contenus numériques pour de nouvelles formes de distribution et d’exploitation. En effet, les DRMS permettent la traçabilité des œuvres lorsqu’elles sont diffusées sur support numérique et plus particulièrement lors de leur mise en ligne.
Les fonctions principales remplies par les DRMS consistent en premier lieu, dans la gestion numérique des droits, par l’identification des contenus auxquels les droits sont attachés, la description de ces droits, et le chiffrement des contenus.
En second lieu, la mise à disposition des droits par la distribution, la reconnaissance des contenus la requête des droits. Cette requête des droits suppose l’identification et l’authentification de l’utilisateur ainsi que l’autorisation d’exploiter.
En dernier lieu, l’exploitation des droits par le contrôle de l’accès aux œuvres et le contrôle de la copie.
II. Sécurité des systèmes informatiques
Le Code pénal protège les systèmes de traitement automatisé de données, en particulier contre la fraude informatique.
L’article 323-1 incrimine l’accès frauduleux et le maintien frauduleux dans un système informatique malgré l’accès licite. Cet acte est puni de deux ans et de 30 000 euros d’amende. Les peines sont portées à trois ans et 45 000 euros d’amende si l’acte frauduleux a eu pour conséquence d’altérer le fonctionnement du système ou de modifier ou supprimer les données contenues dans le système.
Cet article vise donc à la fois tous les modes de pénétration irréguliers d’un système de traitement de données, ainsi que le maintien irrégulier dans un tel système de la part de celui qui y serait entré par inadvertance, ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. ( Cour d’appel Paris 5 avril 1994).
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données, notamment par le spamming, c’est à dire l’envoi massif de messages non sollicités et le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient sont punis de cinq ans d'emprisonnement et de 75000 euros d'amende » en vertu des articles 321-2 et 321-3 du code pénal.
La loi du 24 janvier 2023
d’orientation et de programmation du ministère de l’Intérieur (L. n° 2023-22,
24 janv. 2023) a introduit dans
le Code pénal un nouveau délit relatif aux atteintes aux systèmes de
traitement
automatisé de données. L’article 323-3-2 du Code pénal permet de punir de cinq
ans d’emprisonnement et de 150 000 euros d’amende l’administration d’une
plateforme en ligne proposant à des utilisateurs anonymes la vente de services
ou de produits illicites.(7)
De plus, découle de la loi sur la confiance en l’économie numérique du 21 juin 2004 l’article 321-3-1 qui incrimine « le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ».
Peuvent donc être punis sur la base de ce texte toutes les personnes qui créent des virus ou des moyens de contourner des protections techniques, les personnes qui mettent à disposition de faux numéros de cartes bancaires sur Internet…
Il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux. La nouvelle infraction prévue à l’article 226-4-1 du Code pénal permet de punir d’un an de prison et de 15 000 euros d’amendes « Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ». (3)
Pour plus d’efficacité dans la répression, il existe « des cybergendarmes » et notamment l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication et la brigade d’enquête sur les fraudes aux technologies de l’information.
Au service technique de recherche judiciaire et de documentation (STRJD) du fort de Rosny-sous-Bois, douze gendarmes forment la «cellule Internet», ils se relayent pour surveiller le réseau en permanence afin de traquer les cybercriminels Ils ont à leur disposition différents logiciels, le principal effectue des recherches par mots clés car les délinquants utilisent souvent des termes spécifiques comme le terme carding utilisés par les escrocs à la carte bleue.
La Commission nationale de l’informatique et des libertés assure également un contrôle. Elle vérifie que la loi est respectée. Si elle constate des infractions, elle peut les dénoncer au parquet. Elle a des pouvoirs de vérification et d’investigation pour instruire les plaintes.
De plus, une entraide judiciaire est prévue au niveau international pour tenter de couvrir l’ensemble du réseau Internet.
Pour lire une version adaptée aux mobiles de cet article sur la sécurité informatique, cliquez
ARTICLES QUI PEUVENT VOUS INTERESSER :
Sources :
1.
LOI n° 2019-775 du 24
juillet 2019
https://www.wipo.int/fr/web/wipolex/w/news/2019/article_0013#:~:text=Nouveautés-,France%3A%20Loi%20n°%202019%2D775%20du%2024%20juillet%202019,vigueur%20le%2024%20octobre%202019.
2.
Cour d’appel
Paris, pôle 5, ch. 1, 2 févr. 2021, n° 17/17 688
https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/jurisprudence/CAPARIS-02022021-17_17688?em=2.%09Cour%20d’appel%20%20Paris%2C%20pôle%205%2C%20ch.%201%2C%202%20févr.%202021%2C%20%2017%2F17%E2%80%89688
3.
LOI n° 2020-936 du 30
juillet 2020
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042193593/
4.
Cour d’appel de Bordeaux,
11 mai 2021, no 18/02506
https://www.doctrine.fr/d/CA/Bordeaux/2021/C3577132BE8B6192F1DA4
5.
Cass. com.,
11 janv. 2023, nos 19-11670
https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/jurisprudence/CC-11012023-19_11670
6.
TJ Paris, 3e ch., 22 déc. 2023, no 22/03126
https://www.doctrine.fr/d/TJ/Paris/2023/TJP0A6AAE143F514B659B72
7.
L. n° 2023-22, 24 janv. 2023,
d’orientation et de programmation du ministère de l’Intérieur
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047046768