Les arrêtés relatifs aux plaintes par voie électronique sont entrés en vigueur

Le 1er juillet 2020, les deux arrêtés du 26 juin 2020 relatifs au dépôt de plaintes en ligne via la plateforme "THESEE" sont entrés en vigueur. Ce dispositif permet aux victimes de déposer plainte pour les infractions d’escroquerie, de chantage et d’extorsion connexe aux infractions d’entrave au fonctionnement d’un système de traitement automatisé des données ou d’accès frauduleux à un système de traitement automatisé des données, lorsqu’elles sont commises en ligne.

Pour lire  le premier et le second arrêtés

Adoption de la proposition de loi dite « Avia » contre la cyberhaine

Le 13 mai 2020, la proposition de loi visant à lutter contre les contenus haineux sur Internet a été adoptée. Elle impose notamment aux plateformes de retirer, dans un délai d’une heure après notification de l’autorité administrative, tout contenu à caractère terroriste ou pédopornographique et, dans un délai de 24 heures après notification d’un internaute, tout contenu relevant manifestement d’une liste d’infractions pénales telles que les injures raciales, le harcèlement sexuel ou le négationnisme. Elle a, depuis, fait l’objet d’une saisine du Conseil constitutionnel.

Pour lire la proposition de loi

Condamnation d’une banque à rembourser sa cliente à la suite d’un virement frauduleux

Le système d’information d’une société avait été piraté à la suite de l’ouverture d’une pièce jointe à un courriel contenant un virus. Par la suite, les moyens de paiement de cette société avaient été utilisés frauduleusement pour réaliser un virement bancaire. La banque avait alors refusé de rembourser sa cliente en lui reprochant son imprudence. Par un arrêt du 4 avril 2019, la Cour d’appel d’Orléans a condamné la banque à rembourser la société du montant du virement litigieux au motif qu’elle avait échoué “à rapporter la preuve qui lui incomb[ait] d’une faute ou d’une négligence grave commise par sa cliente” alors que le courriel à l’origine du piratage était “rédigé en français parfait et sans faute d’orthographe” et “faisait état d’une difficulté de facturation” de sorte que la société “ne pouvait (…) raisonnablement penser qu’il s’agissait d’un spam”.

Arrêt non publié

Le remboursement d’opérations de paiement par Internet n’est dû qu’en l’absence de négligence grave du titulaire du compte

Par un arrêt du 3 octobre 2018, la Cour de cassation a cassé un jugement par lequel la juridiction de proximité avait condamné deux banques à rembourser au titulaire d’un compte des opérations de paiement en ligne qu’il contestait. Elle a en effet considéré que la juridiction aurait dû rechercher si le fait pour le titulaire du compte de "répond[re] à un courriel d’hameçonnage ne résultait pas d’un manquement de celui-ci, par négligence grave, à ses obligations" de prendre toute mesure raisonnable pour préserver la sécurité de ses données de sécurité personnalisées prévues par l’article L.133-16 du Code monétaire et financier, et a par ailleurs rappelé que "seul le prestataire de services de paiement contractuellement lié au payeur est seul tenu de rembourser à ce dernier (…), le montant des opérations non autorisées".

Pour lire l’arrêt sur Legalis.net

Pas d’infraction pour la seule détention de clés d’activation de logiciels

Des certificats d’authenticité porteurs de clés d’activation de logiciels et des CD Rom reproduisant des logiciels obtenus par peer-to-peer avaient été découverts dans les locaux d’une société au cours d’une perquisition. Par un arrêt du 4 avril 2018, la Cour de cassation a confirmé sa relaxe du chef de vente ou mise en vente de produits sous une marque contrefaisante concernant les certificats d’authenticité puisqu’il n’avait pas été établi que ces clés “avaient servi, pas plus qu’il n’[avait] pu être déterminé les circonstances dans lesquelles elles auraient pu être utilisées”, la “seule détention de ces clés (…) n’[étant] pas constitutive d’une infraction”, nécessitant, “s’agissant de logiciels, qu’il ait été porté atteinte (…) aux droits d’exploitation de l’auteur, notamment par reproduction ou mise sur le marché de ces logiciels”.

Pour lire l’arrêt sur Legalis.net

Hameçonnage : caractérisation de la négligence grave de la victime

Une banque avait été assignée par un client en remboursement de paiements effectués frauduleusement par carte bancaire et virement sur deux comptes ouverts à son nom. Par un arrêt du 28 mars 2018, la Cour de cassation a cassé le jugement qui l’avait condamnée en ce sens, estimant que “manque, par négligence grave, à son obligation de prendre toute mesure raisonnable pour préserver la sécurité de ses dispositifs de sécurité personnalisés l’utilisateur d’un service de paiement qui communique les données personnelles de ce dispositif de sécurité en réponse à un courriel qui contient des indices permettant à un utilisateur normalement attentif de douter de sa provenance, peu important qu’il soit, ou non, avisé des risques d’hameçonnage”.

Pour lire l’arrêt sur Légifrance

Constitutionnalité du délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par une décision du 30 mars 2018, le Conseil constitutionnel s’est prononcé sur le recours formé contre le premier alinéa de l’article 434-15-2 du code pénal, qui sanctionne le refus de remettre ou de mettre en œuvre à la demande des autorités judiciaires la convention secrète de déchiffrement d’un moyen de cryptologie “susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit”. Le Conseil a déclaré cette disposition conforme à la Constitution, estimant qu’elle ne portait pas atteinte au “droit de ne pas s’accuser ni au droit au respect de la vie privée et au secret des correspondances”, et qu’elle ne méconnaissait pas non plus “les droits de la défense, le principe de proportionnalité des peines et la liberté d’expression, ni aucun autre droit ou liberté que la Constitution garantit”.

Pour lire la décision du Conseil constitutionnel

Caractérisation d’une atteinte à un STAD par utilisation d’un keylogger

Par un arrêt du 16 janvier 2018, la Cour de cassation a confirmé la condamnation prononcée par la Cour d’appel d’Aix-en-Provence à l’encontre d’un individu sur le fondement notamment de l’article 323-1 du Code pénal, qui incrimine l’introduction et le maintien frauduleux dans un système de traitement automatisé de données (STAD). La Cour a considéré que les juges du fond avaient bien caractérisé le délit en relevant que “la détention d’un keylogger, sans motif légitime par [le prévenu], que celui-ci ne contest[ait] pas avoir installé (…) pour intercepter (…) par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés (…) caractéris[ai]ent suffisamment sa mauvaise foi et le[s] délit[s] tant dans [son] élément matériel qu’intentionnel”.

Arrêt non publié

Délit de refus de transmission ou de mise en œuvre d’une convention secrète de déchiffrement d’un moyen de cryptologie

Par un arrêt du 10 janvier 2018, la Cour de cassation a transmis au Conseil constitutionnel une QPC portant sur la constitutionnalité de l’article 434-15-2 du code pénal au regard du principe de la présomption d’innocence et du droit au procès équitable, en ce qu’il ne permettrait pas au mis en cause de faire usage de son droit au silence et du droit de ne pas s’auto-incriminer. Cet article incrimine en effet “le fait, pour [une personne] ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre sur les réquisitions de ces autorités”.

Pour lire l’arrêt de la Cour de cassation

Vol de fichiers informatiques librement accessibles

Par un arrêt du 28 juin 2017, la Cour de cassation a confirmé la condamnation pour vol d’une personne qui avait effectué et récupéré des photographies de courriers reçus par son associée et secrètement édité des doubles de courriers rédigés par elle, qui étaient contenus dans des fichiers informatiques stockés sur les serveurs de leur société et auxquels il avait donc accès par le biais du système informatique de cette dernière sans avoir à entrer un quelconque code d’accès propre à son associée. En l’espèce, la Cour a souligné que la victime n'avait pas entendu donner à son associé la disposition de ces documents personnels, dont elle “avait seule, en tant que propriétaire, le pouvoir [de] disposer”, et que le prévenu les avait “consultés officieusement, ce, à l’insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de [leur société]”. La Cour de cassation a ainsi affirmé que “le libre accès à des informations personnelles sur un réseau informatique d'une entreprise [n’était] pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction”.

Pour lire l’arrêt sur Légifrance