Jouer à la Playstation est peut-être devenu une activité dangereuse !?
Le 19 avril 2011, une intrusion a été constatée sur le Playstation Network, plateforme sur laquelle se connectent les joueurs en ligne.
Il est plus que probable que les données personnelles de l’intégralité des 77 millions de comptes de joueurs aient été subtilisées frauduleusement lors de l’opération.
La société SONY a pris le soin d’avertir ses clients en indiquant « que votre numéro de carte bancaire et sa date d’expiration sont concernés. Il n’y a pas de preuve de l’obtention des données de cartes de crédit mais nous ne pouvons pas écarter cette possibilité ».
Ces avertissements n’ont cependant pas calmé les ardeurs du californien Kristopher Johns qui a initié une attaque contre la firme japonaise, sous forme de class action (action collective), en sollicitant des millions de dollars de dommages et intérêts.
Les sociétés Google et Apple sont également concernées par ce type d’action pour avoir conservé, en les protégeant mal ou pas du tout, les données de géolocalisation de leurs clients.
Si ce type d’action est inenvisageable en France, il n’en reste pas moins que des fondements juridiques existent et protègent l’utilisateur d’un réseau de jeux en ligne, lorsque ses données personnelles ont été dérobées.
La CNIL a d’ailleurs d’ores et déjà annoncé qu’une enquête allait être menée en France, facilitant d’autant le travail de recherche de preuves pour les utilisateurs concernés.
Nous envisagerons donc les différents fondements susceptibles d'être mis en oeuvre contre le fournisseur d’un réseau de jeux en ligne, tel que Sony, qui permettent de réparer les éventuelles conséquences de la perte ou du vol de données à caractère personnel et confidentiel :
- Le manquement à la sécurisation des données réprimé par l’article 226-17 du Code pénal (1.1) ;
- La divulgation illicite de certaines données personnelles réprimée par l’article 226-22 du Code pénal (1.2) ;
- La violation du secret professionnel réprimée par l’article 226-13 Code pénal (1.3) ;
- La responsabilité pour faute fondée sur l’article 1382 du Code civil (1.4)
1.1. - Le délit de manquement à la sécurisation des données
Selon l’article 226-17 du Code pénal :
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende.»
L’article 34 de la loi informatique et libertés cité dans le corps de l’article 226-17 précise que :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Cet article représente le principal risque juridique pour la firme japonaise, l’épée de Damoclès de l’arsenal juridique français.
C’est d’ailleurs sur un fondement similaire que le californien a mis en jeu la responsabilité de SONY.
Le délit de défaut de « précautions utiles » précité nécessite de faire la démonstration d’un élément matériel et d’un élément moral du délit.
La matérialité de l’infraction apparait suite à la preuve du manquement.
En d’autres termes, il convient d’établir que, techniquement, les moyens mis en œuvre pour la protection des données (cryptologie, contrôle, vérification, etc...) étaient insuffisants, par le biais d’une expertise ou, comme en l'espèce, éventuellement grâce au travail de la CNIL.
Concernant l’aspect moral de l’infraction, la simple imprudence suffit à le caractériser.
SONY ayant reconnu a demi-mot, sur son blog, que ces données n’étaient pas cryptées (http://blog.fr.playstation.com/2011/04/29/faq-1-playstation-network-et-services-qriocity/), la démonstration de l’infraction a de fortes chances d’aboutir.
1.2. - Le délit de divulgation illicite de données personnelles
L’article 226-22 du Code pénal incrimine :
« Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir ».
La divulgation prévue à l'alinéa précédent est punie de cinq ans d'emprisonnement et de 300.000 euros d'amende ou de trois ans d'emprisonnement et de 100 000 euros d'amende lorsqu'elle a été commise par imprudence ou négligence.
Ainsi, la simple imprudence suffit à faire état de l’élément moral de l’infraction.
Toutefois, la matérialité des faits est plus délicate à apporter.
Il faut dans un premier temps démontrer que cette divulgation a porté atteinte à la vie privée.
Il faut ensuite que la divulgation ait eu lieu sans l’autorisation de la personne concernée.
S’agissant de l’affaire SONY, il y a fort à parier que cette preuve soit relativement aisée à rapporter, aucun utilisateur n’ayant expressément autorisé une telle divulgation.
Il faut enfin que le destinataire des informations ne soit pas habilité à les recevoir.
En l’espèce, et puisque ces données sont peut-être déjà revendues sur le « marché » de la cybercrimiminalité, il ne ferait aucun doute que cet élément soit démontré.
1.3. - La violation du secret professionnel
L’article 226-13 Code pénal réprime :
« La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende »
Bien que ce texte s’applique en apparence à certains corps de métier, le secret professionnel s'applique en réalité à toute personne qui détient et abuse des « informations à caractère secret » qui lui sont confiées.
En l’espèce, SONY a reçu des informations qui se trouvent nécessairement être confidentielles.
L’adresse, les nom et prénom ainsi que les coordonnées bancaires sont des informations qui sont secrètes par nature.
1.4. - La responsabilité pour manquement à l'obligation de bonne foi
L’article 1134 alinéa 3 et l'article 1147 du Code civil sanctionnent la violation de l'obligation de bonne foi dans l'exécution des contrats.
On peut reprocher à SONY d’avoir tardé à prévenir ses clients et ainsi d'avoir manqué à son obligation de loyauté.
En effet, les premières informations qui ont filtré ne faisaient état que d’une panne du serveur.
Ce n’est que quelques jours plus tard que SONY a pris le parti de communiquer sur ce sujet.
Et quelques jours supplémentaires furent nécessaires pour que soit envisagé le vol des données bancaires.
Ce délai a retardé d’autant la possibilité offerte aux utilisateurs de bloquer leur carte bancaire auprès de leur banque respective.
Cette éventuelle faute de SONY est ainsi susceptible d’engager sa responsabilité et par conséquent de générer l’attribution de dommages et intérêts au profit des clients de la firme.
Je suis à votre disposition pour toute information ou action.
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
Tel : 01 40 26 25 01
Email : abem@cabinetbem.com
