QUAND LA COUR DE CASSATION SANCTIONNE L’AUTEUR D’UN VOL DE DONNÉES ET SE PRONONCE EN FAVEUR DE LA VICTIME POUR UNE INDEMNISATION À HAUTEUR DE 3000 €.  (CASS. CRIM., 20 MAI 2015, N° 14-81336)

UNE DÉCISION QUI OFFRE LA POSSIBILITÉ À LA VICTIME D’UN VOL DE DONNÉES DE PERCEVOIR UNE INDEMNISATION AU TITRE DU PRÉJUDIC SUBI.

Pour comprendre ce qui se cache derrière cette notion de vol de données, il faut voir dans un premier temps ce que l’on entend par vol de données (1), ensuite, les différentes catégories de vol de données dont peuvent être victimes les propriétaires de ces données (2), puis les conséquences que ce vol peut causer aux victimes (3) et enfin, les actions dont disposent les victimes de vol de données pour bénéficier d’une indemnisation (4).         

• Définitions

Les réseaux sociaux représentent aujourd’hui un canal virtuel où de nombreuses infractions sont commises. Cette forme de délinquance virtuelle s’inscrit dans le cadre de la cybercriminalité.

La cybercriminalité à l’ère du numérique constitue une nouvelle forme de délinquance très répandue dans un espace virtuel. Elle touche aussi bien les particuliers que les professionnels.

Elle renvoie à différentes catégories d’infractions parmi lesquelles « le vol des données ».

Le vol de données est défini par l’article L 323.1 du Code pénal comme : « Le fait d’accéder de manière frauduleuse dans tout ou partie d’un système de traitement automatisé, de se maintenir et de transférer de manière illégale toute information de nature confidentielle ou, personnelle à l’insu de son utilisateur habituel ».

• Les différentes catégories de vol de données

Il existe différents moyens de commettre un vol de données. Il peut s’agir de l’hameçonnage, du vol par intrusion ou encore du cryptojacking etc.…

• L’hameçonnage et l’intrusion

L’hameçonnage est une technique frauduleuse qui consiste pour son auteur, via des stratagèmes, d’inciter sa victime à lui fournir des données personnelles (numéros de carte, comptes d’accès, mots de passe etc.) dans le but d’usurper votre identité.

S’agissant de l’intrusion, c’est une technique qui permet à son auteur appelé le cybercriminel d’accéder de manière illicite dans un système d’informatique sans autorisation de la victime propriétaire. C’est le cas du piratage ou l’intrusion dans un système informatique.

Qu’en est-il du cryptojacking ?

• Le cryptojacking

On ne peut parler du cryptojacking sans invoquer la cryptomonnaie.

La cryptomonnaie est une monnaie virtuelle sans forme physique créée à partir d’un code informatique. C’est de l’argent électronique basé sur des principes de chiffrement mathématique complexe.

Pour générer de la monnaie virtuelle et gagner de l’argent, un ordinateur est censé effectuer de nombreux calculs. Cette réalisation nécessite une quantité d’énergie très importante. Lorsque l’utilisateur réalise tous ces calculs, il reçoit en contrepartie de la monnaie virtuelle : C’est la cryptomonnaie

Aujourd’hui, le BITCOIN est l’une des monnaies virtuelles les plus connues.

Par ailleurs, cette monnaie présente des caractéristiques assez particulières. Elle ne fait l’objet d’aucun contrôle par un organe de régulation. Il n’existe aucune entité juridique pour ce type de monnaie. Bien au contraire, elle fonctionne de manière autonome. Ce qui facilite le recours à la fraude par les cybercriminels.

Se pose alors la question de savoir comment peut-on commettre un acte frauduleux à partir de cette monnaie ? L’acte frauduleux le plus courant et qui parait plus ou moins inaperçu est le cryptojacking.

Le cryptojacking encore appelé le cryptominage malveillant est une technique de piratage rattachée à la cryptomonnaie.

Rappelons-le, la réalisation des calculs permet la création et la mise en circulation de la cryptomonnaie. La manière dont la plupart des crypto monnaies entrent en circulation se fait via un processus appelé « minage ». Le processus de minage transforme les ressources informatiques en pièces de cryptomonnaie.

Le cybercriminel va tenter frauduleusement d’utiliser cette puissance de calcul dans le seul but de miner la cryptomonnaie.

Comment un pirate ou un cybercriminel arrive à exploiter la puissance de calcul d’un appareil appartenant à une personne lambda ou, autre utilisateur pour miner la cryptomonnaie ? À travers deux techniques :  La technique du malware et de l’infection via des scripts intégrés.

La technique du malware consiste à amener la victime à cliquer sur un lien malveillant contenu dans un e-mail. Le code de cryptojacking se charge ensuite en arrière-plan sur votre ordinateur et génère de la cryptomonnaie au profit du pirate.

Dans d’autres cas, les pirates choisissent d’infecter l’ordinateur via une publicité en y insérant un code javas Script qui s’exécute via un navigateur.

Le cryptojacking, quelles conséquences pour la victime ?

Les virus de cryptominage peuvent être agressifs pour vos systèmes ce qui épuise rapidement la batterie, et peut rendre l’ordinateur inutilisable sur de longues durées. L’inconvénient est qu’il peut vous affecter dans le cadre professionnel car vous devenez moins productif. Il peut aussi vous affecter financièrement car plus vos ressources sont exploitées, plus vous consommez de l’électricité, ce qui fera augmenter vos factures d’électricité.

Par conséquent, les victimes de cryptojacking peuvent voir la performance de leur ordinateur se dégrader lorsque la capacité de calcul des processus graphiques des cartes vidéo les plus puissantes sont exploitées, ce qui peut réduire l’espérance de vie du matériel.

En définitive, on peut retenir que, le cryptojacking consiste à exploiter la puissance de calcul d’un ordinateur sans l’accord de son propriétaire et ce, dans le seul but de gagner de l’argent. 

• Quelles actions pour une victime de vol de données informatiques ?

Rappelons-le, le vol de données est considéré aux yeux de la loi comme un délit. Lorsque vous êtes victime d’un vol de données et que vous avez subi un préjudice, la loi vous permet d’agir contre l’auteur de l’infraction.

À ce titre, plusieurs actions peuvent être engagées par la victime contre l’auteur de l’acte.

Vous pouvez ainsi déposer une plainte auprès de la CNIL (a), engager la responsabilité civile de l’auteur de l’acte (b) ou sa responsabilité pénale (c)

• Le dépôt d’une plainte auprès de la CNIL

Le vol de données est considéré comme une atteinte grave à la sécurité et à la vie privée.

Vous êtes victime de vol de données, vous pouvez déposer une plainte auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).

La CNIL est une autorité administrative qui agit au nom de l’État.

Elle a pour rôle de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques.

• L’obtention des dommages et intérêts

Vous êtes victime de vol de données et, vous souhaitez obtenir des dommages et intérêts, vous pouvez engager la responsabilité de l’auteur sur le fondement de l’article 1240 du Code civil.   Cet article dispose que « Tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ».

Le vol de données peut entrainer pour la victime un préjudice financier, matériel ou moral.

Ainsi, pour obtenir une indemnisation au titre du préjudice subi, vous devez rapporter la preuve d’une faute, d’un préjudice et du lien de causalité entre la faute et le préjudice.

Dans le cadre d’un vol de données, la faute est requise lorsque son auteur accède de manière frauduleuse dans un système de données informatique pour s’approprier du contenu sans votre consentement. C’est de l’intrusion dans un système informatique à l’insu de son utilisateur.

Le lien de causalité découle de la corrélation entre cette faute et le préjudice subi.

Cependant, si l’auteur de l’acte se trouve dans un autre Etat, ou, si le vol est commis à l’étranger, et que la victime se trouve en France, le tribunal compétent pour juger le litige au niveau international est en principe celui du domicile défendeur. Toutefois, les articles 5 al 3 et 7 al 2 de la Convention de Bruxelles et du règlement n°1215/2012 de la Convention précitée posent une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

La loi applicable au litige demeure celle ou le fait dommageable s’est produit, ce que l’on appelle la lex loci delicti.

• Sur la responsabilité pénale de l’auteur

L’article 323-1 du Code pénal dispose : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60.000 euros d’amende ».L’alinéa 3 du même article dispose que : « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende.

Ainsi, outre les dommages et intérêts dont peut bénéficier la victime d’un vol de données, elle peut engager des poursuites pénales contre l’auteur de l’acte. 

N’hésitez pas à nous contacter