lundi 14 février 2011

La protection pénale de l’atteinte à l’identité numérique sur les réseaux sociaux

Présentation : L'identité numérique d'une personne, sur un site communautaire ou de réseau social, constituée par son "profil", est indirectement protégée, par la protection des données personnelles et du droit au respect de la vie privée et du droit à l'image. La LOPPSI II, en cours d'examen au Sénat, est sur le point de créer une protection pénale spécifique de cette identité numérique.

L'identité sur un réseau social est « constituée par son profil »[1], lequel contient de multiples informations, ou données personnelles et contributions[2].

Or, selon un rapport de Symantec « les cas d'usurpation d'identité auraient explosé [à la fin de l'année 2010], à la faveur de la multiplication de « toolkits », sites malveillants, et surtout via des actions plus ciblées sur les réseaux sociaux »[3].

Cette « identité numérique » est protégée par la loi de plusieurs manières.


I. - La protection dans le cadre du droit commun

Elle est tout d'abord protégée, depuis longtemps, de manière indirecte, au moyen de la protection des données personnelles et de la protection du nom dans le monde « physique ».

L'article 434-23 du code pénal punit, par exemple, « le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales [ … ]. Dans ce cas, elle est punie de 5 ans d'emprisonnement et de 75 000 euros d'amende. ».

La définition de l'infraction limite, on le voit, la protection de poursuites en cas d'usurpation, car l'infraction n'est constituée que si elle intervient « dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales ».

En d'autres termes, l'usurpation d'identité est sanctionnée en tant que moyen de réaliser un délit, comme un faux, un usage de faux, un vol ou une escroquerie par exemple.

L'article 434-23 ne trouve, par ailleurs, à s'appliquer que dans le cas ou l'auteur a pris « le nom d'un tiers ». De sorte qu'il ne trouve pas nécessairement à s'appliquer en cas d'usurpation de l'identité numérique caractérisée par un profil Facebook, lorsque le titulaire du compte utilise un nom d'artiste, un pseudo ou tout autre nom que ne soit pas celui de son état-civil. D'autres poursuites seraient toutefois possibles en pareil cas, sous l'angle de la contrefaçon (par exemple de propriété littéraire et artistique pour le nom d'artiste).

II. - La création du délit d'usurpation d'identité numérique

L'article 2 de la loi d'Orientation et de programmation pour la sécurité intérieure [4], dite loi Loppsi 2 a instauré un délit spécifique : le délit d'usurpation d'identité dans les télécommunications électroniques. Cet article est rédigé de la manière suivante : « l'utilisation malveillante, dans le cadre des communications électroniques, de l'identité d'autrui ou de toute autre donnée personnelle, en vue de troubler sa tranquillité ou de porter atteinte à son honneur ou sa considération sera passible de 15 000 euros d'amende et d'un an de prison ».

La France n'est pas isolée, puisque depuis le début du mois de janvier 2011, l'usurpation d'identité en ligne est punie d'un an de prison et/ou de 10 000 euros d'amende dans l'Etat de la Silicon Valley [5].

Pascal ALIX
Avocat à la Cour
alix@virtualegis.com
www.virtualegis.eu


[1] G. Desgens-Pasanau et Eric Freyssinet, L'idéntité à l'ère numérique, Presaje, ed. Dalloz, p. 82

[2] http://fr.wikipedia.org/wiki/Identité_numérique_(Internet)

[3] http://www.commentcamarche.net/news/5853295-l-usurpation-d-identite-via-les-reseaux-sociaux-en-nette-progression

[4] Loi adoptée par l'Assemblée nationale le 21 décembre 2010, examinée au Sénat à partir du 18 janvier 2011 ; accord en commission mixte paritaire à la fin du mois de janvier 2011

[5] http://www.journaldunet.com/ebusiness/le-net/usurpation-d-identite-numerique.shtml


L'envoi et la conservation de documents pornograghiques : faute grave (L'arrêt COCA COLA)

Présentation : L'utilisation régulière, par un salarié, de sa messagerie pour la réception et l'envoi de documents à caractère pornographique et la conservation sur son disque dur d'un nombre conséquent de tels fichiers sont de nature à constituer, en présence d'une charte informatique intégrée au règlement intérieur, un manquement délibéré et répété du salarié à l'interdiction posée par la charte et sont, le cas échéant, constitutifs d'une faute grave.

I. - L'arrêt COCA COLA du 15 décembre 2010

C'est la solution retenue par la Cour de cassation dans sa décision du 15 décembre 2010 (Cass. Soc., 15 décembre 2010, pourvoi n° 09-42691).

En l'espèce, un salarié, employé depuis le 27 février 1990 par la société COCA-COLA - en dernier lieu en qualité de délégué commercial - a été licencié pour faute grave le 10 août 2004 en raison de la découverte sur son ordinateur portable de quatre cent quatre vingt fichiers à caractère pornographique.

II. - Les faits de l'espèce

Dans l'arrêt attaqué du 11 mai 2009, la Cour d'appel de Metz avait constaté, en substance :

- que lors d'une opération de maintenance réalisée le 1er juillet 2004 par les services techniques de la SAS COCA COLA sur l'ordinateur portable à usage professionnel mis à la disposition de Monsieur X..., il a été découvert sur le disque dur de cet ordinateur un nombre important de fichiers à caractère « sexiste », « malsain », « érotique », « pornographique », « pédo-pornographiques », « zoophiles » et autres,

- que le salarié avait reconnu par écrit que les photos et films découverts sur le disque dur de son ordinateur étaient extrêmement choquants et que parmi eux il y avait des images urologiques, scatologiques, sado-masochistes et zoophiles,

- que les centaines de fichiers, reçus et transmis par le salarié, se sont accumulés sur le disque dur de l'ordinateur, sans qu'il n'ait fait diligence pour tenter de les supprimer,

- que la charte d'utilisation des nouvelles techniques d'information et de télécommunication mise en place dans la SAS COCA COLA le 12 décembre 2002, intégrée sous forme d'avenant au règlement intérieur de l'entreprise, et dont le contenu a été porté à la connaissance de Monsieur X... lors de séances de formation, prohibe formellement la consultation, la diffusion ou le téléchargement d'images à caractère pornographique.

La Cour d'appel en a déduit qu' « en stockant sur l'ordinateur mis à sa disposition pour l'exécution de son contrat de travail, un nombre important de fichiers à caractère notamment pornographique et en diffusant certains d'entre eux à d'autres salariés de l'entreprise, Monsieur X... a délibérément violé l'interdiction posée par l'article II B 3 c de la charte NTIC », cette méconnaissance « délibérée et réitérée » constituant « un manquement dont la gravité et la persistance rendent impossible son maintien dans l'entreprise et justifient son licenciement à effet immédiat avec privation des indemnités de rupture ».

III. - La portée de l'arrêt COCA COLA au sujet de la caractérisation de la faute par consultation, envoi et stockage de fichiers dont le contenu revêt un caractère pornographique

Dans sa décision du 15 décembre 2010, la Cour de cassation a, certes, rappelé le principe selon lequel la violation d'une charte d'usage des TIC intégrée au règlement intérieur peut caractériser une faute justifiant un licenciement et, le cas échéant, une faute grave.

Mais gardons nous d'attribuer une portée trop grande à cette décision de la Cour de cassation.

Pour rejeter le pourvoi, en faveur de l'employeur, à savoir la société Coca cola, la Cour de cassation a précisé :

« que le moyen […] ne tend qu'à remettre en cause le pouvoir souverain d'appréciation de la cause réelle et sérieuse du licenciement dans ses première et troisième branches… ».

En d'autres termes, la Cour de cassation ne s'est pas prononcée sur l'administration de la preuve du caractère volontaire du stockage.

IV. - La preuve des échanges et de l'enregistrement de fichiers à caractère pornographique

En réalité, un examen attentif du dossier révèle une certaine méconnaissance, par les juges du fond, des règles relatives à la « preuve numérique » de la faute du salarié (V., par ex. : La preuve numérique de la faute du salarié )

Dans son premier moyen, le salarié faisait, en effet, valoir que :

- l'employeur n'avait pas administré utilement la preuve des faits dans la mesure où l'employeur avait « refusé d'accéder à la demande formulée par le salarié d'une expertise quant au contenu de son ordinateur portable, expertise qui seule aurait permis de savoir quand et par qui les messages litigieux auraient été enregistrés sur le disque dur et s'ils avaient été envoyés par des collègues ou téléchargés par l'intéressé sur des sites internet ».

Or, force est de constater que la Cour d'appel a paru embarrassée lorsqu'il s'est agi de déterminer si le salarié avait volontairement enregistré les fichiers litigieux sur le disque dur de l'ordinateur portable mis à sa disposition par son employeur.

La Cour d'appel de Metz s'est, en effet, prononcée de la manière suivante :

« …le salarié a expliqué que ces fichiers étaient issus de la correspondance qu'il échangeait par le biais de la messagerie électronique « Lotus-Notes » interne à l'entreprise avec d'autres salariés de la SAS COCA COLA qui lui envoyaient ce type de documents et à qui il en a aussi adressé ; que Monsieur X... soutient que la présence des fichiers en cause sur son ordinateur ne résulte pas de sa volonté de les conserver, qu'ils se sont automatiquement et, sans intervention de sa part, installés sur le disque dur et qu'il ignorait comment les supprimer ».

« cependant ainsi que le fait observer l'employeur, ces fichiers n'ont pu, à l'insu du salarié, automatiquement s'enregistrer sur le disque dur, dans la mesure où étant joints à un courriel, leur destinataire peut, en répondant aux options qui lui sont proposées par une boîte de dialogue, soit seulement les ouvrir pour les lire, ou les visionner, soit déclencher la procédure d'enregistrement qui n'a aucun caractère automatique et dont la mise en œuvre requiert l'intervention de l'utilisateur… ».

En d'autres termes, la Cour d'appel a certes constaté l'échange - donc l'envoi et, implicitement, la consultation - volontaire de fichiers à caractère pornographique au moyen de la messagerie de l'entreprise.


V. - Une administration incertaine de la preuve du stockage volontaire des fichiers sur le disque dur

Mais la Cour d'appel - dont l'analyse n'a pas été remise en cause par la Cour de cassation - a également considéré, implicitement mais nécessairement, reprenant l'analyse hasardeuse de l'employeur sur ce point, que les fichiers joints aux courriels n'auraient pu « automatiquement s'enregistrer sur le disque dur » de l'ordinateur et qu'ils auraient pu être « lus » ou « visionnés » sans avoir été préalablement enregistrés sur le disque dur, ignorant visiblement :

- que lors de la réception des courriels accompagnés de pièces jointes, les fichiers joints sont, si le téléchargement des fichiers joints n'est pas bloqué ou limité par paramétrage du serveur et/ou du logiciel de messagerie, automatiquement téléchargés sur le disque dur,

- qu'il est nécessaire de télécharger la pièce jointe sur le disque dur afin de pouvoir l'ouvrir et l'afficher au moyen du logiciel approprié, selon le format de la pièce,

- et que ces fichiers joints demeurent dans un répertoire (fichiers temporaires) tant qu'ils ne sont pas supprimés par une manœuvre volontaire.

VI. - La solution de l'arrêt COCA COLA

L'échange de fichiers de la nature de ceux dont la présence a été constatée sur le disque peut certes justifier le licenciement du salarié qui y a participé, que l'entreprise soit dotée ou non d'une charte informatique, en particulier parce que l'échange de certains d'entre eux (notamment les fichiers à caractère pédopornographique) caractérise un délit pénal, comme l'ont relevé à juste titre la Cour d'appel et la Cour de cassation.

En l'espèce, la charte visait notamment « la consultation » d'images à caractère pornographique. De sorte qu'en l'espèce, le manquement à la charte était constitué compte tenu du nombre de fichiers à caractère pornographiques trouvés sur le disque dur.

En revanche, la preuve du caractère volontaire du stockage et de la conservation des fichiers sur le disque dur, qui a été pris - un peu rapidement - en considération tant par les juges du fond que par la Cour de cassation nous paraît avoir été retenue dans des conditions assez contestables.

Pascal ALIX
Avocat à la Cour

alix@virtualegis.com

www.virtualegis.eu

L’atteinte à la vie privée et au droit à l’image par la mise en ligne d’un faux profil Facebook

Les réseaux sociaux sont, certes, un espace de liberté et notamment de liberté d'expression. Il est, par ailleurs, d'usage, sur le réseau internet de jouer avec de multiples (et fausses) identités, qu'il s'agisse d'identités de fantaisie (avatars, pseudos) ou d'identités bien réelles, appartenant à des tiers.

Or, si, en lui-même, l'usage d'un pseudo est généralement sans conséquence - sauf lorsqu'il caractérise manifestement, ce qui est assez rare, une contrefaçon - l'usurpation de l'identité d'un tiers, notamment par la publication d'un « faux profil » sur le site d'un réseau social, est susceptible d'avoir de graves conséquences.

Dans une décision assez récente, le T.G.I. de Paris a rappelé, au sujet de la fausse page d'un humoriste ayant une assez grande notoriété, la nécessité de respecter, dans les réseaux sociaux, l'identité, la vie privée et le droit à l'image, ce sans aucunement faire référence aux conditions générales d'utilisation du site.

Prétendant qu'une personne usait de son identité sans son autorisation sur le réseau social « Facebook » et que de nombreuses personnes s'y étaient présentées, ainsi trompées, comme étant ses amis et que les informations personnelles ainsi que les photographies ainsi diffusées étaient constitutives d'atteintes à sa vie privée et à son droit à l'image, Omar S. dit Omar, auteur, artiste interprète et humoriste membre du duo humoristique « Omar et Fred » a saisi, le 27 février 2009, le juge des référés du Tribunal de grande instance de Paris aux fins que soit ordonné à la société Facebook de lui communiquer « les données de nature à permettre l'identification de la personne ayant publié sous son identité la page accessible à l'adresse sus mentionnée et de suspendre la représentation de son profil jusqu'à ce qu'il soit statué sur le fond ».

Faisant partiellement droit aux demandes d'Omar S., la société Facebook Inc. a communiqué à son conseil l'adresse IP de la personne ayant publié la « page » litigieuse sous son identité.

Ce dernier s'est alors prévalu de ce que l'adresse IP aurait pu être modifiée ou usurpée par un tiers. Il s'est prévalu de la règle, dégagée par un arrêt de la cour d'appel de Paris du 15 mai 2007 selon laquelle « la série de chiffres (formée par l'adresse IP) ne constitue en rien une donnée indirectement nominative relative à la personne » dans la mesure où elle ne se rapporte qu'à une machine et non à la personne qui utilise l'ordinateur pour se livrer à la contrefaçon.

Le T.G.I. de Paris a écarté le moyen de défense, en retenant que « Alexandre P. n'établit, ni même n'allègue qu'un tiers aurait utilisé sans son accord son ordinateur ou que l'adresse IP qui lui était attribuée aurait été frauduleusement détournée, étant précisé que la preuve d'une telle usurpation aurait pu être rapportée tant par une enquête diligentée à la suite d'une plainte pénale que par une expertise civile judiciaire, en examinant notamment l'ordinateur émetteur. ».

En d'autres termes, le tribunal retient que la charge de la preuve de l'utilisation de l'ordinateur par un tiers ou de l'usurpation pèse sur la personne dont l'ordinateur a été identifié au moyen de l'adresse IP communiquée par l'entreprise exploitant le site de réseau social. L'adresse IP créé, de cette manière, une présomption simple.

Le Tribunal a ensuite rappelé les principes suivants :

« Toute personne, quelle que soit sa notoriété, a droit, en application de l'article 9 du code civil, au respect de sa vie privée et est fondée à en obtenir la protection en fixant elle-même les limites de ce qui peut être divulgué à ce sujet. Toute personne dispose également, en application du même texte, d'un droit exclusif qui lui permet de s'opposer à la reproduction de son image, sans son consentement préalable. »

« Ces droits qui découlent également de l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales peuvent toutefois céder devant les nécessités de l'information du public et de la liberté d'expression, consacrées par l'article 10 de la même Convention, dans le cadre de l'équilibre qu'il revient au juge de dégager, en vertu du second alinéa du dit article, entre ces principes d'égale valeur dans une société démocratique ».

Après avoir ensuite rappelé que « la seule constatation des atteintes à la vie privée et au droit à l'image ouvre droit à réparation », le Tribunal de Grande Instance de Paris (17ème chambre civile) a, par jugement du 24 novembre 2010 :

- décidé qu'Alexandre P., en mettant en ligne sur le site www.facebook.com un « faux profil » d'Omar S. dit Omar, avait porté atteinte à la vie privée et au droit à l'image de celui-ci ;

- condamné Alexandre P. à payer à Omar S. dit Omar la somme totale de 1500 € (500 € pour l'atteinte à la vie privée et 1000 € pour la violation du droit à l'image), à titre de dommages et intérêts en réparation du préjudice en résultant, ainsi que la somme de 1500 € sur le fondement de l'article 700 du code de procédure civile.

Pascal ALIX
Avocat à la Cour

alix@virtualegis.com

www.virtualegis.eu