LES SPYWARES
Les utilisateurs d’internet ont pour habitude de télécharger plusieurs programmes en ligne. Certains sont gratuits et d’autres sont payants. L’homme étant ce qu’il est, il préfère ce qui est gratuit et avec internet tout peut sembler gratuit. Cependant certains programmes téléchargés viennent avec ce que l’on appelle des spywares en anglais ou espiogiciel en français.
Les spywares sont des logiciels qui ont pour but d’espionner les comportements des internautes et de les transmettre à leur insu au créateur du logiciel, afin d’alimenter une base de données qui permet à ce denier de dresser le profil des internautes (on parle de profilage).
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.
Besoin de l'aide d'un avocat pour un problème de piratage informatique ?
Téléphonez- nous au : 01 43 37 75 63
ou contactez-nous en cliquant sur le lien
Ces derniers peuvent causer préjudice par la divulgation d'informations à caractère personnel. Ils peuvent également être une source de nuisances diverses telles que : la consommation de mémoire vive, l’utilisation d’espace disque, etc.
Mais quels sont les enjeux juridiques liés à prolifération des spywares ?
Les spywares ou espiogiciels envahissent nos ordinateurs !
Ces petits programmes informatiques se multiplient via les programmes diffusés et téléchargeables sur Internet (freewares et sharewares) mais également sur les CD-ROM et DVD. Certains logiciels propriétaires sont porteurs de spywares.
Ces spywares ont pour objectif d’espionner le comportement de l’internaute et de transmettre ensuite, à son insu, les informations collectées aux créateurs et éditeurs de logiciels afin d’alimenter une gigantesque base de données.
Face à la loi sur la confiance dans l’économie numérique (LCEN) du 21 juin 2004 et à la loi Informatique et Libertés (LIL) du 6 janvier 1978 refondue en juillet 2004, quels sont les enjeux juridiques liés à la prolifération de tels logiciels espions ?
I. Les différents types de spywares
À l’heure actuelle, on peut identifier quatre types d’espiogiciels qui sont susceptibles d’infester les appareils :
A. Les logiciels publicitaires
Autrement appelés « adwares », il s’agit d’une catégorie d’applications logicielles qui affichent des publicités sur les ordinateurs ou modifient les résultats de recherche dans les navigateurs. Certains logiciels publicitaires sont purement malveillants et ne demandent pas le consentement de l’utilisateur. De ce fait, il pourront surveiller les activités des utilisateurs en ligne pour diffuser des publicités ciblées.
Les adwares peuvent avoir un impact négatif sur l’expérience de l’utilisateur et ralentissent souvent les navigateurs. De plus, c’est un moyen de financer d’autres campagnes malveillantes pour les cybercriminels. De ce fait, ils peuvent finalement servir de porte dérobée vers des ordinateurs à travers lesquels d’autres menaces peuvent être transmises ou des données peuvent être volées.
Cependant, les adwares ne sont pas aussi dangereux que les chevaux de Troie informatique, par exemple.
B. Cheval de Troie
Un cheval de Troie est un programme qui, lorsqu’il est activé, nuit directement à un système informatique. Il peut se déguiser en une application populaire ou en une mise à jour de sécurité. De ce fait, dès lors qu’elle est installée, la partie tierce qui le contrôle peut accéder à des informations sensibles concernant les utilisateurs.
C. Cookies de suivi
Les cookies de suivi ou traceurs fonctionnent comme des logiciels publicitaires, car ils servent aussi à des fins de marketing. Ils envahissent de façon très discrète les téléchargements et l’historique du navigateur pour surveiller les activités des produits et services préférés. Ensuite, ils exploitent ces informations pour diffuser des publicités ciblées relatives aux produits ou services antérieurs.
Ainsi, l’article 5 (3) de la directive 2002/58/CE modifiée en 2009 pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.
Par ailleurs, afin de rappeler le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.
Ainsi, tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur nécessitent le consentement préalable de l’internaute.
La CNIL rappelle régulièrement que le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l’information reçue. Elle doit être visible, mise en évidence et complète, elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur, etc.
Le consentement n’est valide que si la personne exerce un choix réel, et enfin, il doit pouvoir être retiré simplement et à tout moment par l’utilisateur.
Enfin, il serait intéressant d’évoquer un quatrième type d’espiogiciel, les moniteurs de système.
D. Les moniteurs de système
Ces spywares surveillent principalement les activités des utilisateurs. Ils peuvent recueillir des données telles que les programmes lancés, les sites web visités, les dialogues dans les salons de discussion ou les courriels.
In fine, chaque type de spyware collecte des données pour son auteur ou un tiers, et les utilise au profit de l’attaquant, et au détriment de l’utilisateur. Les moins nuisibles se contentent juste de surveiller et d’envoyer les données à l’attaquant, comme les cookies de suivi par exemple.
Mais les moniteurs de système et les logiciels publicitaires (cheval de Troie par exemple) constituent une menace bien plus grave, car ils peuvent apporter des modifications au système. C’est la raison pour laquelle le consentement de l’internaute est essentiel.
II. L’absence de consentement de l’internaute « infesté » par un spyware
Les créateurs des spywares ou les éditeurs déclarent que les spywares sont légaux. Lorsqu’une personne décide de télécharger un logiciel principal gratuit, la licence d’utilisation contient une indication sur la présence d’un éventuel spyware.
L’utilisateur installe donc le spyware sur son ordinateur en toute connaissance de cause. A priori ces spywares ne posent donc pas de problèmes juridiques : les internautes y ont préalablement consenti. Mais en réalité rares sont les internautes totalement au fait de la présence des spywares sur leurs ordinateurs.
Le consentement éclairé nécessaire avant toute conclusion d’un contrat (même à titre gratuit) et tout traitement automatisé d’informations à caractère personnel peut être remis en cause : le plus souvent, ces clauses sont écrites en tout petit et en anglais, voire illisibles ou absentes.
Le spyware n’est pas en soi illégal, mais il le devient dès lors qu’il n’y a pas eu de consentement exprès de l’utilisateur, comme le rappelle régulièrement la Commission nationale de l’informatique et des libertés. De plus, la loi informatique et Liberté instaure des obligations pour les responsables des traitements automatisés d’informations à caractère personnel et des droits pour les personnes fichées.
L’article 226-16 du Code pénal énonce que « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements automatisés d’informations nominatives sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende. ».
Une décision de la Cour d’appel rappelle cela d’ailleurs. En l’espèce, une association et la personne chargée du fonctionnement de son site Internet ont été condamnées pour avoir utilisé des données à caractère personnel sur le site web sans respecter la loi informatique et liberté.
En effet, l’association a mis en ligne des listes nominatives de notaires. Le site précisait détenir un dossier concernant un ou plusieurs clients de l’étude du professionnel ainsi fiché. La liste litigieuse constitue-t-elle un simple registre comme le prétend la défense ou nécessite-t-elle un traitement de données à caractère personnel ?
Les listes nominatives incriminées nécessitaient bien un tel traitement, permettant une recherche par critère : nom, implantation géographique, existence d’un dossier au sein de l’association. Par conséquent, la responsable du site et l’association sont condamnées pénalement pour non-respect de déclaration préalable au visa de l’article 226-16 du Code pénal. (CA Bourges, 11 janvier 2007, n° 2007/03).
Le projet de loi concernant la refonte de LIL prévoit que l’amende peut atteindre 300 000 euros (article 14). Les responsables ont l’obligation d’informer préalablement les personnes auprès desquelles sont recueillies ces informations nominatives (article 27 de la loi du 6 janvier 1978 ; article 32 de la LIL version 2004).
L’amende est effectivement passée à 300 000 depuis la loi n° 2004-801 du 6 août 2004.(article 32 de la LIL version du 7 octobre 2016).
Il doit par exemple les informer du caractère obligatoire ou facultatif des informations demandées, de l’identité du destinataire, de l’existence d’un droit d’accès et à rectification. La plupart du temps, ces informations ne figurent nulle part lorsque la personne télécharge en même temps un logiciel et un spyware.
Tout manquement à cette obligation constitue une infraction. Cette infraction est caractérisée par le fait que l’internaute n’est pas au courant de l’existence sur son ordinateur de ces petits programmes informatiques espions qui enregistrent ses moindres faits et gestes sur son ordinateur et sur Internet. Il n’a pas été informé par le responsable du traitement automatisé des informations à caractère personnel.
Par ailleurs, le fait pour un fournisseur de services de communications électroniques ou pour un responsable de traitement de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL, en méconnaissance des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 ou des dispositions du II de l’article 83 et de l’article 102 de la loi n° 78-17 du 6 janvier 1978, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 226-17-1 code pénal).
Est puni des mêmes peines le fait pour un sous-traitant de ne pas notifier cette violation au responsable de traitement en méconnaissance de l’article 33 du règlement (UE) 2016/679 du 27 avril 2016 précité ou de l’article 102 de la loi n° 78-17 du 6 janvier 1978 précitée.
III. La violation de la vie privée de l’internaute et la collecte illégale d’informations à caractère personnel
Chacun a droit au respect de sa vie privée (article 9 du Code civil). Or, les spywares installés sans le consentement des internautes violent sans conteste leur vie privée en collectant des informations à caractère personnel. Les données à caractère personnel ainsi que leur traitement et collecte sont définis dans la loi Informatique et Libertés.
Les données personnelles permettent d’identifier la personne concernée (article 4 de la LIL de 1978, article 2 de la LIL 2004). Elles peuvent concerner des informations relatives à la vie privée de la personne.
Dans quel pays vit l’internaute ?
Quels types d’achat effectue-t-il sur Internet ?
Quels sont les sites visités quotidiennement ?
Combien de fois lance-t-il un logiciel de peer-to-peer par jour ?
Autant de questions que le spyware installé sur un ordinateur est à même de répondre. Des spywares ont d’ailleurs été détectés dans des logiciels d’échanges de fichiers peer-to-peer tels que KaZaA. Ces logiciels de stockage et de diffusion de musique contiennent un espiogiciel qui envoie la liste complète de tous les fichiers MP3 stockés sur le disque dur de l’utilisateur sans que celui-ci s’en rende compte.
Les destinataires des données peuvent ainsi constituer un fichier à des fins publicitaires sur les habitudes de téléchargement, les centres d’intérêts, les achats effectués sur la Toile et leur périodicité. Ces données personnelles sont cédées à des régies publicitaires qui les utilisent pour leur activité d’envoi de messages publicitaires sous forme de pop-ups, pop-unders et emails .
Il est bon de rappeler que la LCEN condamne la prospection commerciale en l’absence de consentement préalable de l’internaute via les emails (article 22).
Il s’agit de l’application du régime de l’opt-in. L’internaute doit avoir consenti préalablement à l’envoi de messages publicitaires. Or, dans le cas des spywares, les bases de données sont constituées à partir des informations dont le traitement n’a pas été consenti par les personnes concernées. Elles ne savent même pas que des informations les concernant circulent sur Internet.
Ces bases de données sont cédées à des entreprises qui envoient des messages publicitaires non autorisés. Les adresses électroniques des personnes n’ont pas été recueillies directement par les entreprises. L’envoi de ces messages publicitaires non sollicités via des emails peut donc poser des problèmes et être sanctionné pour non respect du régime de l’opt-in.
Ces spywares collectent toutes sortes d’informations qui peuvent dépasser la simple utilisation à des fins commerciales et publicitaires. Certains spywares sont capables de connaître la configuration exacte de l’ordinateur, le contenu du disque dur sur lequel se trouve les mots de passe et le carnet d’adresse contenant les adresses mails de tiers. Ces mots de passe et le carnet d’adresse peuvent ainsi être envoyés via Internet au créateur du spyware sans que l’utilisateur ne s’en rende compte.
Même si c’est l’utilisateur qui installe lui-même le programme espion, il ne le fait pas en connaissance de cause ; le programme espion est introduit à son insu dans son système informatique. Tout ceci constitue une véritable violation de la vie privée. Cette intrusion dans le système d’autrui n’est pas à négliger. Il faut savoir que l’intrusion dans un système informatique contenant des données personnelles est punie pénalement. La LEN prévoit un renforcement des peines en la matière. En effet, l’article 323-1 du Code pénal énonce que le "fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de 2 ans d'emprisonnement et 30 000 euros d'amende".
Si l’on considère que l’ordinateur d’un internaute contient des informations personnelles qui lui sont propres mais aussi des informations personnelles sur des tiers, l’article 321-1 du Code pénal pourra être appliqué. L’internaute infesté pourrait très bien avoir créé un site Web qui effectue un traitement automatisé d’informations personnelles.
De même, il ne faut pas oublier que de nombreux ordinateurs professionnels qui effectuent notamment le traitement de données personnelles, peuvent également être infestés par des spywares. Les créateurs de spywares vont de plus en plus loin. La polémique autour de « Did They read it ? » a fait couler beaucoup d’encre.
Ce logiciel espion a été mis en vente par la société Rampell Software. L’expéditeur d’un email, abonné à ce logiciel espion, peut ainsi connaître le moment où l’email a été lu, pendant combien de temps et dans quelle zone géographique il a été ouvert, quelle est l’adresse IP du destinataire dudit email, si ce dernier a été forwardé à un tiers.
Le profilage ne se limite donc plus au comportement des internautes sur Internet mais il concerne désormais le simple lecteur d’un email. Dans un communiqué du 22 juin 2004, la CNIL a énoncé que ce logiciel espion était totalement illégal en France.
Il s’agit, en effet, d’« une collecte frauduleuse, déloyale ou illicite de données nominatives » (article 25 de la LIL du 6 janvier 1978 ; article 6 nouveau de la LIL version 2004). S
Selon l’article 226-18 du Code pénal, les utilisateurs de ce type de logiciel encourent une peine de 5 ans d’emprisonnement et de 300 000 euros d’amende. Les sanctions sont lourdes en cas de collecte déloyale d’informations à caractère personnel car elles peuvent aller jusqu’à 1,5 millions d’euros d’amendes pour les personnes morales.
Ce principe de loyauté est extrêmement important. C’est la raison pour laquelle la LIL version 2004 indique explicitement qu’il s’agit d’une condition de licéité des traitements de données à caractère personnel.
Par ailleurs, la CNIL émet régulièrement des recommandations qui vise à limiter au maximum l’exploitation commerciale et publicitaire du profilage sur Internet. L’arsenal juridique français actuel n’est pas une loi française spécifique « anti-spyware » mais permet toutefois de sanctionner les dérives de ces logiciels espions. Les spywares prolifèrent.
Il convient d’être vigilant notamment lorsque l’on télécharge un logiciel gratuit sur Internet. Par ailleurs, il faut savoir que ce n’est pas parce que l’on décide de désinstaller le logiciel téléchargé que le spyware disparaîtra. Il est nécessaire de les détruire via des programmes anti-spywares.
IV. Comment se protéger contre les spywares ?
Selon le site français big data il est possible d’appliquer certaines conduites afin de se protéger contre les spywares.
Tout d’abord, il faut éviter le téléchargement d’applications suspectes. Il arrive, très souvent, que des applications affichent de façon spontanée des promesses qui semblent invraisemblables (l’exemple de l’apparition d’une affiche publicitaire annonçant que l’utilisateur a gagné un Iphone, or cela n’est pas vrai). À cet effet, il ne faut jamais télécharger ni cliquer sur des applications qui ne proviennent pas de sites de confiance.
Ensuite, il faut se méfier des courriels. Ces derniers constituent souvent un moyen pour dissimuler les menaces qui s’infiltrent dans la vie numérique. Si un e-mail provenant d’une source inconnue invite à suivre un lien, il faut agir avec méfiance. En effet, cliquer aveuglément sur ces liens peut mettre le système informatique en danger, voire même pire.
Enfin, il faut mettre à jour régulièrement le système pour garantir une sécurité. Ainsi, lorsque la version avancée du navigateur ou du système est disponible auprès d’une source fiable, il faut procéder rapidement à une actualisation.
Il convient dès lors de lire les termes et conditions de la mise à jour pour pouvoir modifier les paramètres de sécurité du navigateur, ensuite. Les paramètres par défaut ne sont pas suffisants pour se protéger contre le spyware. Il faut ajuster les paramètres selon le navigateur utilisé. L’objectif principal consiste à faire en sorte que ce dernier bloque tous les pop-up, sites web et plug-ins suspects pour assurer la sécurité.
Pour lire une version plus adaptée aux mobiles de cet article sur les spywares, cliquez
Sources :
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.cnil.fr/fr/les-sanctions-penales
https://www.lebigdata.fr/spyware-tout-savoir
https://www.cnil.fr/fr/cookies-et-traceurs-que-dit-la-loi
_________________________________________________________________________________
Faites appel à notre cabinet d'avocats en cas de doutes ou de demande d'éclaircissements, nous sommes à votre disposition : téléphone : 01 43 37 75 63
_________________________________________________________________________
ARTICLES QUI POURRAIENT VOUS INTERESSER :