Hameçonnage : caractérisation de la négligence grave de la victime

Une banque avait été assignée par un client en remboursement de paiements effectués frauduleusement par carte bancaire et virement sur deux comptes ouverts à son nom. Par un arrêt du 28 mars 2018, la Cour de cassation a cassé le jugement qui l’avait condamnée en ce sens, estimant que “manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage”.

Pour lire l’arrêt sur Légifrance

Irrecevabilité de l’action en diffamation d’une personne morale

Par un jugement du 23 janvier 2018, le Tribunal correctionnel de Paris a déclaré irrecevable l’action en diffamation engagée par une société, dans la mesure où “il résult[ait] des éléments factuels cités dans l’article incriminé que les propos poursuivis même lus dans leur intégralité [visaient son dirigeant], personne physique”, et non la société elle-même.

Pour lire le jugement sur Legalis.net

Caractérisation d’une atteinte à un STAD par utilisation d’un keylogger

Par un arrêt du 16 janvier 2018, la Cour de cassation a confirmé la condamnation prononcée par la Cour d’appel d’Aix-en-Provence à l’encontre d’un individu sur le fondement notamment de l’article 323-1 du Code pénal, qui incrimine l’introduction et le maintien frauduleux dans un système de traitement automatisé de données (STAD). La Cour a considéré que les juges du fond avaient bien caractérisé le délit en relevant que “la détention d’un keylogger, sans motif légitime par [le prévenu], que celui-ci ne contest[ait] pas avoir installé (…) pour intercepter (…) par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés (…) caractéris[ai]ent suffisamment sa mauvaise foi et le[s] délit[s] tant dans [son] élément matériel qu’intentionnel”.

Arrêt non publié

Délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par un arrêt du 10 janvier 2018, la Cour de cassation a transmis au Conseil constitutionnel une QPC portant sur la constitutionnalité de l’article 434-15-2 du code pénal au regard du principe de la présomption d’innocence et du droit au procès équitable, en ce qu’il ne permettrait pas au mis en cause de faire usage de son droit au silence et du droit de ne pas s’auto-incriminer. Cet article incrimine en effet “le fait, pour [une personne] ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre sur les réquisitions de ces autorités”.

Pour lire l’arrêt de la Cour de cassation

Inconstitutionnalité du délit de consultation habituelle des sites internet terroristes

Saisi d’une QPC par la Cour de cassation, le Conseil constitutionnel a affirmé dans une décision du 15 décembre 2017 que "L’article 421-2-5-2 du code pénal (…) [était] contraire à la Constitution". Selon le Conseil, l’exigence de nécessité de l’atteinte portée à la liberté de communication n’est pas satisfaite compte tenu des prérogatives dont disposent déjà les autorités judiciaires et administratives pour surveiller et sanctionner les personnes visées par le texte. S’agissant des exigences d’adaptation et de proportionnalité de l’atteinte, elles ne sont pas non plus remplies dès lors que le législateur n’a pas retenu "l’intention terroriste de l’auteur de la consultation comme élément constitutif de l’infraction" et que la portée de l’exemption prévue en présence d’un "motif légitime" ne pouvait être déterminée.

Pour lire la décision du Conseil constitutionnel

Intrusion frauduleuse dans un système de traitement automatisé de données et recel des fichiers litigieux

Le maire d’une commune reprochait à une personne intervenue sur différents postes informatiques des agents de la ville d’avoir accédé frauduleusement à (…) un système de traitement automatisé de données, au préjudice de [sa] Mairie, et à un employé de la Mairie “d’avoir recelé, en dissimulant, détenant ou transmettant des fichiers mails, sachant que ce bien provenait d’un délit”, un mail échangé entre la DRH et l’avocat de la Mairie au sujet d’un contentieux existant entre ledit employé et la Mairie. Le Tribunal correctionnel de Chambéry les avait relaxés mais la Cour d’appel de Chambéry, dans un arrêt du 15 novembre 2017, les a reconnus coupables des faits de la prévention et respectivement condamnés à des peines de 3 000 et 2 000 euros d’amende avec sursis.

Arrêt non publié

 

Détournement d’internautes et de revenus publicitaires générés sur un site internet

Dans un arrêt du 14 novembre 2017, la Cour d’appel de Paris a confirmé un jugement du Tribunal correctionnel qui avait condamné une personne pour escroquerie, abus de confiance et entrave au fonctionnement d’un système de traitement automatisé de données. En effet, le prévenu, webmaster et directeur technique de la société victime, avait été reconnu coupable d’avoir redirigé les internautes, consultant le site internet de ladite société dans le but de contracter un abonnement, vers son propre site internet afin de les inciter à lui remettre le prix de l’abonnement, et d’avoir fait virer les recettes publicitaires générées par le site internet de la victime vers un compte auquel il pouvait seul accéder.

Pour lire l’arrêt sur Legalis.net

Dénis de service : condamnation pour mise à disposition de moyens techniques

Dans un arrêt du 7 novembre 2017, la Cour de cassation a confirmé la condamnation d’une personne "pour participation à une entente établie en vue de la préparation d’une entrave au fonctionnement d’un système automatisé de données". Celle-ci avait en effet mis à disposition des internautes un webIRC dont elle était locataire et gestionnaire, "passerelle technique (…) permettant à ses usagers (…) d’accéder à des sites de discussion [et] d’avoir connaissance des modalités concrètes d’opérations du mouvement "Anonymous", parmi lesquelles les entraves par déni de service. Les juges ont relevé que le prévenu avait conscience du caractère irrégulier de ces attaques.

Pour lire l’arrêt sur la Légifrance

Hameçonnage : caractérisation d’un manquement de la victime par négligence grave

Une cliente d’une banque avait communiqué ses informations bancaires "en réponse à un courriel se présentant comme émanant de [son] opérateur téléphonique". Ayant par la suite reçu des messages lui demandant de confirmer des paiements sur internet qu’elle n’avait pas réalisés, elle a fait opposition à sa carte bancaire auprès de sa banque, qui a toutefois refusé "de lui rembourser la somme (…) prélevée sur son compte". Dans un arrêt du 25 octobre 2017, la Cour de cassation a cassé le jugement qui avait condamné la banque en ce sens, estimant que les juges auraient dû rechercher si le fait d’avoir communiqué ces informations "ne caractérisait pas un manquement [de la cliente], par négligence grave, à ses obligations mentionnées à l’article L.133-16 du [CMF]".

Pour lire l’arrêt sur Légifrance

Collecte et extraction frauduleuse de données : condamnation d’un dirigeant de société

Dans un arrêt du 15 septembre 2017, la Cour d’appel de Paris a condamné le dirigeant d’une société pour extraction frauduleuse de données contenues dans un système de traitement automatisé et collecte de données personnelles par un moyen frauduleux, déloyal et illicite. Elle a noté que les données copiées étaient accessibles au public mais souligné qu’elles "ne pouvaient être extraites sans autorisation expresse de [la société victime]".

Pour lire l’arrêt sur Legalis.net