Il ressort de l’article 323-3 du Code pénal (modifié par la loi du 13 novembre 2014) que « le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de cinq ans d’emprisonnement et de 150 000 € d’amende ».
De même est sanctionnée toute collecte déloyale de données à caractère personnel. Dans une décision en date du 15 septembre 2017, la Cour d’appel de Paris est venue apprécier si l’exploitant d’un site internet s’était rendu coupable de ces infractions à l’égard de son concurrent.
A titre liminaire, il convient de préciser les notions en jeux dans le litige concerné, à savoir :
- l’accès et le maintien frauduleux dans un système de traitement automatisé de données : ces actions consistent à s’immiscer et naviguer dans un système de traitement de données (ex : site internet), en sachant qu’une autorisation préalable est normalement requise pour le faire.
- la collecte et l’extraction frauduleuses de données à caractère personnel : ces actions renvoient quant à elles au fait d’aller chercher des données personnelles (ex : adresses emails) dans une base de données, par exemple en ligne (ex : site internet), grâce à un moyen technique, tel qu’un script, et de les en extraire de manière déloyale, frauduleuse ou illicite.
En l’espèce, la société WEEZEVENT exploite un site internet éponyme de billetterie en ligne pour organisateurs d’évènements.
Considérant que l’exploitant du site concurrent www.billetweb.fr avait frauduleusement accédé, collecté et extrait des données personnelles de ses utilisateurs de sa base de données en ligne, elle l’a assigné en justice.
Le Tribunal de grande instance de Paris lui a donné raison sur la collecte et l’extraction frauduleuses de données à caractère personnel. Il a toutefois considéré qu’il n’y avait pas eu accès et maintien frauduleux dans la base de données en ligne de la société WEEZEVENT, au motif notamment que l’accès au site www.weezevent.fr était public et qu’aucune protection particulière n’avait été mise en place pour en restreindre l’accès. Dès lors, il n’y avait ni accès, ni navigation frauduleux.
L’exploitant du site www.billetweb.fr a fait appel du jugement rendu, sans succès.
En effet, la Cour d’appel a :
- d’une part confirmé le jugement rendu sur l’absence d’accès et maintien frauduleux à la base de données de la société WEEZEVENT, aux mêmes motifs qu’indiqué précédemment,
- d’autre part, s’agissant de la collecte frauduleuse de données à caractère personnel, considéré que « l’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site Weezevent constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques », l’intention frauduleuse résidant notamment dans le « but concurrentiel » de la manœuvre.
- considéré enfin que l’extraction de ces données revêtait également un caractère frauduleux, les conditions générales d’utilisation du site WEEZEVENT, lues par l’appelant, précisant spécifiquement que cette action était prohibée sous peine de poursuites judiciaires et ce dernier ayant expressément indiqué qu’il avait mis au point un moyen technique d’extraction des données en cause dans l’unique dessein d’alimenter son propre site concurrent.