CONTACT

NTIC – Lettre d’actualité numéro 12

08 février 2018 | Derriennic Associés|

DROIT DU NUMERIQUE / E-COMMERCE

Un logiciel d’aide à la prescription médicale peut être qualifié de dispositif médical

CJUE 7 décembre 2017 (C-329/16)

Un logiciel d’aide à la prescription est-il susceptible de répondre à la définition de « dispositif médical », dès lors que ce progiciel présente au moins une fonctionnalité qui permet l’exploitation de données propres au patient, en vue d’aider le médecin à établir sa propre prescription, notamment en détectant les contre-indications, les interactions médicamenteuses et les posologies excessives, et alors même qu’il n’agit pas par lui-même dans ou sur le corps humain ?

C’est la question qu’a dû trancher la CJUE après avoir été saisie par le Conseil d’Etat dans le cadre d’une affaire opposant la société PHILIPS FRANCE et le SNITEM au Premier Ministre, Ministre des Affaires sociales et de la Santé.

L’enjeu n’est pas des moindres : si un tel logiciel est qualifié de dispositif médical, il doit certes porter le marquage CE mais peut alors être mis sur le marché et circuler librement dans toute l’Union Européenne (sans que les Etats membres puissent exiger une procédure/certification supplémentaire, sauf exceptions – rares).

C’est la position de PHILIPS FRANCE et du SNITEM qui, dans le cadre d’un recours en annulation devant le Conseil d’Etat, remettent en cause la validité au regard du droit de l’Union du décret n°2014-1359 sur l’obligation de certification des logiciels d’aide à la prescription et à la dispensation, texte français qui impose aux éditeurs/fabricants de tels logiciels une certification supplémentaire nationale pour pouvoir commercialiser lesdits logiciels en France.

Pour rappel, la directive du 17 juin 1993 sur les dispositifs médicaux pose deux critères pour retenir la qualification de dispositif médical : la finalité médicale à laquelle le dispositif est destiné et le moyen par lequel l’action principale voulue est obtenue.

En l’espèce, la CJUE a considéré que les deux conditions étaient bien remplie : il y a bien une finalité médicale d’un logiciel tel utilisé à des fins de prévention, contrôle, traitement ou atténuation de maladie et le législateur européen a entendu par ladite directive faire des logiciels autonomes des dispositifs médicaux en tant que tels, même s’ils n’agissent pas eux-mêmes sur ou dans le corps humain.

Les juges européens ont précisé qu’en présence de plusieurs modules fonctionnels dans le logiciel considéré, seuls les modules répondant à la définition du dispositif médical doivent faire l’objet du marquage CE, les autres n’étant pas soumis à la réglementation des dispositifs médicaux.

Cette décision est importante dans la mesure où :

les juges européens n’avaient encore jamais statué sur l’application de la qualification de dispositif médical d’un logiciel ;
le Conseil d’Etat (comme les autres juridictions nationales et les Etats membres) devra prendre en compte cette solution et est vraisemblablement invité à constater l’invalidité du décret n°2014-1359 au regard du droit de l’Union.

Cette solution et ses suites, transposables après l’entrée en vigueur du règlement du 5 avril 2017 (qui abrogera la directive et ne contient pas de modifications majeures sur ce point), doivent retenir l’attention des prestataires qui développent des produits et services logiciels dans le secteur de la santé.

Application pour transports urbains : Uber n’est pas une société de l’information selon la CJUE

CJUE, 20 décembre 2017, Asociación Profesional Elite Taxi c/ Uber Systems SpainSL, C-434/15

La CJUE considère que le service proposé par Uber ne relève pas de la « société de l’information » mais du « domaine des transports ». Par conséquent, Uber ne bénéficie pas de la libre circulation des services et les Etats membres peuvent réglementer les conditions de prestation des services d’Uber.

Une association professionnelle de taxi de Barcelone a assigné Uber pour que lui soit notamment imposé la possession de licences et d’autorisation administratives, litige ayant conduit à une question préjudicielle sur l’applicabilité de la règle de libre circulation des services (prévue à l’article 56 TFUE) à un service tel que celui proposé par Uber.

Pour rappel, la directive 2000/31 interdit toute restriction à la libre circulation des services de la société de l’information et notamment du commerce électronique alors que la libre circulation dans le domaine des transports est régie par des dispositions particulières de politique commune (articles 58 et 90 TFUE) et exclue du champ d’application la directive 2006/123 relative aux services dans le marché intérieur. Une telle différence de régime explique l’enjeu de qualification du service mis en place par Uber.

La CJUE a reconnu qu’Uber propose un service d’intermédiation entre un passager et un chauffeur non professionnel, contre rémunération, à distance et par voie électronique grâce à une application mobile, afin d’effectuer un déplacement urbain, correspondant à priori à un service de la société de l’information (directive 98/34). Cependant, la Cour a considéré qu’il s’agit d’un service global dont « l’élément principal est un service de transport » dans la mesure où Uber contrôle les outils informatiques ainsi que les conditions de prestation de ses services (sélection des chauffeurs, fixation des prix, qualité des véhicules…). Pour la Cour, le service de transports proposé par Uber n’ayant fait l’objet d’aucune politique commune au niveau européen, la libre circulation des services et l’interdiction de restriction à celle-ci ne s’appliquent pas, ce qui permet aux Etats membres de règlementer ce service d’intermédiation.

Il est intéressant de noter que la CJUE ne s’est pas arrêté pas à une lecture stricte des dispositions mais s’est livrée à un examen global du service en cause pour en distinguer la caractéristique dominante, invitant les sociétés proposant des services via des applications mobiles, même en dehors du domaine des transports, à une certains vigilance si le service présenté diffère de  celui effectivement rendu.

Contrat d’intégration : le client doit permettre à son prestataire de remédier aux manquements et prouver que la gravité du comportement justifiait la rupture unilatérale du contrat

Cour d’appel de Rennes, 3ème Chambre commerciale, Arrêt du 12 décembre 2017, RG nº 15/03322

Si rien n’interdit à l’un des contractants de rompre unilatéralement un contrat en cours d’exécution à ses risques et périls, il lui appartient de démontrer que la gravité du comportement de son cocontractant justifiait sa décision. Notamment, le client doit prouver la non-conformité des prestations à l’offre de l’intégrateur et la bonne foi contractuelle exige qu’au préalable, il exprime précisément ses griefs dans une mise en demeure et laisse à son partenaire un délai pour remédier aux manquements qu’il lui impute ou au moins pour les discuter.

Une société souhaite mettre en place un nouveau progiciel de gestion intégré (ERP) et fait établir un cahier des charges recensant ses besoins. L’intégrateur y répond. Le client confie parallèlement à une autre société une mission d’assistance à maîtrise d’ouvrage (AMOA).

Les documents contractuels n’ont pas été signés par le client mais reçoivent un commencement d’exécution, notamment par le règlement des premières factures prévues. Cependant, le client met fin aux conventions dès janvier 2012. Reprochant à l’intégrateur et à l’AMOA de n’avoir pu mener à son terme son projet de refonte totale de son système ERP, il assigne les deux sociétés prestataires en remboursement des sommes acquittées ainsi qu’en paiement de dommages-intérêts : le tribunal de commerce de Nantes le déboute, considérant que les relations ont été abusivement rompues et le condamne à payer les factures et des dommages et intérêts à l’intégrateur.

Le client relève appel de ce jugement, considérant notamment que l’intégrateur:

  • n’a pas exécuté le conformément aux stipulations contractuelles, justifiant ainsi sa décision de rompre unilatéralement avant terme, de demander la résolution ainsi que des dommages-intérêts ;
  • n’a pas identifié correctement ses besoins dans le cahier des spécifications techniques et fonctionnelles ;
  • a poursuivi ses prestations alors que le procès-verbal de recette n’était pas signé, effectuant ainsi des prestations inutiles qu’il n’est pas fondé à lui facturer.

L’intégrateur demande de son côté une indemnisation supérieure de son préjudice.

La cour d’appel de Rennes va confirmer le jugement de première instance en tout point.

D’une part la rupture du contrat est intervenue de manière informelle et inopinée relevant que « Ni mise en demeure reprenant ces griefs qui n’avaient pas encore été exprimés à cette date dans des documents écrits, ni notification formelle de la rupture des contrats n’étaient adressées par [le client] alors même que le contrat [NDA : non signé] prévoyait l’obligation d’adresser une LRAR notifiant la résiliation du contrat et ce, après notification écrite du manquement reproché et octroi d’un délai de 30 jours pour y remédier.

Pour la cour, « si rien n’interdit à l’un des contractants de rompre unilatéralement un contrat en cours d’exécution à ses risques et périls, il lui appartient de démontrer que la gravité du comportement de son cocontractant justifiait sa décision. Sauf circonstances exceptionnelles dûment démontrées imposant une résiliation immédiate du contrat sans préavis, la bonne foi contractuelle exige qu’au préalable, l’auteur de la rupture exprime précisément ses griefs dans une mise en demeure et laisse à son partenaire un délai pour remédier aux manquements qu’il lui impute ou au moins pour les discuter. »

D’autre part, la cour va estimer que le fait de ne pas signer le procès-verbal de recette « s’intégrait dans une stratégie constante ayant consisté tout au long des relations contractuelles à ne signer aucune des pièces contractuelles qui lui étaient soumises par ses interlocuteurs, sans pour autant faire part de son désaccord mais en exprimant au contraire son adhésion à leur contenu dans différents mails ou réunions, et en sollicitant sans réserve leur exécution, elle-même y participant activement jusqu’à la rupture qu’elle a provoquée ».

Le client qui n’avait pas érigé la signature du procès-verbal de recette du cahier des spécifications techniques et fonctionnelles en condition préalable à la poursuite des prestations commandées et ayant au contraire suscité leur poursuite, ne peut de bonne foi se fonder sur cet argument pour justifier sa décision de rupture. « En toute hypothèse, un tel grief n’aurait pu fonder la résolution du contrat et la restitution des paiements déjà effectués. »

Enfin, la cour juge que le client ne rapporte pas la preuve qui lui incombe de la non-conformité de la réalisation par rapport à l’offre formulée par l’intégrateur en réponse au cahier des charges extrêmement précis qu’il lui avait lui-même soumis.  Au contraire, il ressort des pièces produites que les difficultés survenues procèdent non de l’incapacité de l’intégrateur à comprendre ses besoins mais de celle du client à parvenir à un consensus interne sur la définition des dits besoins, les exigences du client ayant évolué quant à la couverture de ses besoins et à sa volonté de s’adapter au progiciel standard et l’intégrateur ayant alerté sur les évolutions ainsi imposées.

Ainsi « le client qui par convenance personnelle parce qu’il regrettait les choix effectués en connaissance de cause, a mis brutalement un terme prématuré aux conventions, n’est pas fondé à reporter sur ses cocontractants les conséquences de sa volte-face ». C’est dès lors à juste titre, par des motifs que la cour adopte, que les premiers juges l’ont déboutée de ses demandes et l’ont condamnée à payer les prestations effectuées conformément aux conventions.

Cependant les juges considèreront que le préjudice subi par l’intégrateur du fait de la rupture brutale non justifiée du contrat et de la perturbation résultant tant de la rupture que des demandes judiciaires exorbitantes qui s’en sont suivies a été justement indemnisé par les premiers juges, l’intégrateur ne démontrant pas l’existence d’un préjudice au-delà.

Quelle obligation d’information précontractuelle pour les objets connectés ?

Assignation de la Fnac et Amazon par UFC-Que Choisir en date du 9 janvier 2018

Les objets connectés présentent-ils des caractéristiques essentielles si spécifiques, notamment dans le traitement de données à caractère personnel lors de leur utilisation, que les sites de e-commerce doivent en informer préalablement les consommateurs au sein des fiches produits ?

L’association UFC-Que Choisir a assigné la Fnac et Amazon le 9 janvier 2018 devant le Tribunal de Grande Instance de Paris. Elle prétend que ces géants de la distribution ne respectent pas leur obligation d’information précontractuelle lors de la vente d’objets connectés sur leur site internet.

Pour rappel, l’obligation d’information précontractuelle, principe de droit commun prévu à l’article 1112-1 du Code civil, est d’autant plus stricte en droit de la consommation qu’elle impose au professionnel de communiquer au consommateur une série d’informations, dont les « caractéristiques essentielles du bien » selon l’article L. 111-1, 1° du Code de la consommation.

Pour l’association, le traitement de données à caractère personnel lors de l’utilisation d’un objet connecté fait partie intégrante de son fonctionnement et constitue donc une caractéristique essentielle de ce type de produit. Or, les sites de la Fnac et d’Amazon ne communiquent aucune information relative aux données à caractère personnel sur les fiches produits en ligne des objets connectés, ce qui constitue une violation de l’article L. 111-1, 1° précité selon UFC-Que Choisir.

L’association prétend également que la qualité de distributeur de ces deux enseignes, et non de fabricant, n’aurait aucune importance car l’obligation d’information précontractuelle s’imposerait à l’interlocuteur direct du consommateur, indépendamment de son statut.

Par conséquent, cette affaire est à suivre car elle pourrait amener les plateformes d’e-commerce à  prévoir des communications plus ou moins précises, en lien avec les dispositions nationales ou encore le RGPD, sur les fiches produits des objets connectés qu’elles distribuent.

On sait d’ailleurs que le gouvernement prépare un projet de loi revenant à un étiquetage volontaire des produits signalant la qualité de la durée de vie des appareils ménagers à l’instar de l’étiquetage des sur la consommation d’énergie.

DROIT COMMERCIAL / CONCURRENCE / SOCIAL

La copie d’un produit ne constitue pas un trouble manifestement illicite

Cass.com 27 septembre 2017 n°16-10962

Cass.com 27 septembre 2017 n°16-10962

Un laboratoire de compléments alimentaires a confié la commercialisation à la société 2012 BIO et s’est ensuite aperçue que la filiale de cette société vendait des produits identiques aux siens.

Les fiches techniques, la formule, les dosages des composants étaient strictement les mêmes.

Le laboratoire a obtenu en référé l’injonction sous astreinte de cesser la vente des produits.

La juridiction avait estimé qu’il importait peu qu’une formule de fabrication alimentaire ne puisse être protégée, dans la mesure où le laboratoire se fonde sur la concurrence déloyale.

La mise en vente par la société 2012 BIO de produits identiques postérieurement à la rupture de la relation commerciale est constitutive d’un trouble manifestement illicite.

La cour de cassation va infirmer l’ordonnance en jugeant que le simple fait de copier un produit concurrent qui n’est protégé par aucun droit privatif ne constitue pas en soi un acte de concurrence déloyale, comme tel susceptible de caractériser un trouble manifestement illicite.Un laboratoire de compléments alimentaires a confié la commercialisation à la société 2012 BIO et s’est ensuite aperçue que la filiale de cette société vendait des produits identiques aux siens.

Les fiches techniques, la formule, les dosages des composants étaient strictement les mêmes.

Le laboratoire a obtenu en référé l’injonction sous astreinte de cesser la vente des produits.

La juridiction avait estimé qu’il importait peu qu’une formule de fabrication alimentaire ne puisse être protégée, dans la mesure où le laboratoire se fonde sur la concurrence déloyale.

La mise en vente par la société 2012 BIO de produits identiques postérieurement à la rupture de la relation commerciale est constitutive d’un trouble manifestement illicite.

La cour de cassation va infirmer l’ordonnance en jugeant que le simple fait de copier un produit concurrent qui n’est protégé par aucun droit privatif ne constitue pas en soi un acte de concurrence déloyale, comme tel susceptible de caractériser un trouble manifestement illicite.

La reprise d’un hashtag twitter dans une campagne de communication peut être constitutive de parasitisme, particulièrement en raison de la concomitance des faits

TGI de Paris, 3ème ch. 4ème section, jugement du 23 novembre 2017

La SPA avait lancé une campagne nationale pour dénoncer la torture faite aux animaux dans le cadre de l’abattage, l’expérimentation et de la corrida avec 3 affiches.

Elle a ensuite découvert que l’association La Manif Pour Tous avait diffusé une campagne contre la PMA et la GPA qui reprenait quasi-servilement les codes visuels de sa campagne ainsi que l’expression « Monsieur le Président je vous fais une lettre » qui était le concept de la campagne et constituait également un hashtag sur twitter.

Une autre fondation était également mise en cause par la SPA, la fondation Jérôme Lejeune, pour des faits similaires et repris dans le cadre d’une campagne contre l’avortement et l’euthanasie.

Après divers constats d’huissier, la SPA a obtenu en référé d’heure à heure la cessation de ces agissements. Elle a ensuite agi au fond pour obtenir réparation.

En défense, La Manif pour Tous et la fondation soutiennent que la SPA ne peut pas se prévaloir d’un droit privatif sur son idée publicitaire, les idées étant de libre parcours. Le concept de campagne participative n’est pas protégé et faire appel aux pouvoirs publics pour sensibiliser sur une cause est un procédé classique de même que l’utilisation du hashtag « je vous fais une lettre ».

Il n’y aurait également pas de risque de confusion entre les visuels de la SPA et ceux des défendeurs lesquels rappellent que les parties n’ayant pas d’activité commerciale, elles ne peuvent commettre d’actes de parasitisme. Les défendeurs invoquent également une atteinte à leur liberté d’expression ainsi que l’exception de parodie.

Dans son jugement, le Tribunal rappelle que le parasitisme consiste à se placer dans le sillage d’un autre en profitant indûment de sa notoriété ou de ses investissements. A la différence de la concurrence déloyale, le parasitisme résulte d’un ensemble d’éléments appréhendés dans leur globalité, indépendamment de tout risque de confusion.

L’exercice de l’action pour parasitisme n’est donc pas subordonné à l’existence d’une situation de concurrence ni à la démonstration d’un risque de confusion entre les parties.

Le fait que les parties n’ont pas d’activité commerciale n’empêche donc pas la SPA de reprocher des actes de parasitisme, à charge pour elle de démontrer une faute et un préjudice.

Pour les Juges, la SPA justifie avoir investi la somme totale de près de 200.000 euros, notamment pour des affiches avec une composition arbitraire dans leur présentation et les mentions verbales, combinée à une stratégie particulière de communication, constituant donc bien un investissement intellectuel et financier.

Le Tribunal juge donc qu’il est démontré que les défendeurs ont repris à l’identique la composition des affiches de la SPA en changeant seulement le thème, l’illustration et la question, détournant leur campagne.

Surtout, le Tribunal relève que les faits litigieux interviennent seulement quelques jours après le lancement de la campagne de la SPA, concomitance qui a « brouillé », parasité la campagne de la SPA dans le but de défendre leurs propres causes et ainsi faire leurs propres propagandes.

Prise en compte de la situation de crise d’un marché pour apprécier la brutalité de la rupture

Cass.com 8 novembre 2017 n°16-15285

La cour de cassation a rendu un arrêt sur la rupture brutale de relations établies dans lequel la cour de cassation prend en compte la situation d’un marché en crise.

Une société qui commercialise des chemises en a confié en 2000 la maîtrise d’œuvre de fabrication à un prestataire qui lui a reproché d’avoir diminué le volume des commandes à partie de l’année 2008.

Le client se fait donc assigner en paiement de dommage intérêts pour rupture brutale de relations commerciales établies.

La société cliente ne contestait pas avoir cessé de passer des commandes mais la cour d’appel, suivie par la cour de cassation, a refusé d’y voir une rupture brutale.

Elle relevait notamment que :

  • le client avait proposé une aide financière pour faire face à la baisse des commissions
  • Qu’il n’avait pris envers son partenaire aucun engagement de volume ;

Par ailleurs, le chiffre d’affaires de la société cliente avait baissé de 15% du fait de la situation conjoncturelle affectant le marché du textile.

Elle n’a donc pas eu d’autre choix que de répercuter cette baisse sur son niveau de commande puisqu’un donneur d’ordre ne peut être contraint de maintenir un niveau d’activité auprès de son sous-traitant lorsque le marché lui-même diminue.

Suite à la baisse des commandes, le prestataire avait même augmenté ses prix, ce qui a conduit le client à l’informer qu’il ne lui était plus possible de passer de commandes. Dans ces circonstances, la société cliente n’engageait donc pas sa responsabilité.

La cour de cassation précisait même que la situation observée est une conséquence de la crise du secteur d’activité et de l’économie nouvelle de la relation commerciale qui en était résulté.

Revirement de jurisprudence en matière de contrefaçon de marque : la Cour de cassation sonne le glas de l’exclusion de contrefaçon pour motif légitime, lorsque l’apposition de la marque contrefaisante a été faite en vue d’une exportation hors du territoire national

Arrêt du 17 janvier 2018, Cass. com., 17 janv. 2018, n°15-29.276

La question posée à la Haute juridiction dans cette affaire était de savoir si l’apposition d’une marque en France, aux fins d’exportation dans un pays tiers, dans lequel la marque contrefaite n’est pas protégée, est constitutive d’une contrefaçon. La Chambre Commerciale répond par l’affirmative.

Si le principe en matière de contrefaçon de marque est que le fait « d’exporter des marchandises présentées sous une marque contrefaisante », « sans motif légitime » est constitutif d’actes de contrefaçon (articles L. 713-2 et L. 716-10 du Code de la propriété intellectuelle), la Cour de cassation considérait, depuis un arrêt du 10 juillet 2007, que l’exportation vers un territoire tiers où la vente d’un tel produit contrefaisant était licite, constituait « une exception de motif légitime de détention de tels produits revêtus du signe litigieux sur le territoire français dans lequel ce signe était protégé en tant que marque, dès lors (…) qu’il n’existait pas de risque que ces marchandises puissent être initialement commercialisées en France, de sorte que les entreprises poursuivies n’avaient fait usage du signe litigieux qu’afin d’exercer leur droit exclusif portant sur la première mise sur le marché de produits revêtus du signe incriminé dans des pays où elles disposaient de ce droit » (Cass. Com. 10 juill. 2007, n°05-18.571).

Aussi, et dès lors que les produits n’avaient pas vocation à être commercialisés en France et qu’ils ne correspondaient à aucune autre finalité ou usage que l’exportation vers un pays tiers, l’apposition d’une marque contrefaisante en France n’était pas constitutive d’un acte de contrefaçon.

L’arrêt rendu le 17 janvier 2018 par la Chambre Commerciale de la Cour de cassation opère un revirement radical de jurisprudence.

La Haute juridiction considère en effet qu’un tel cas d’espèce ne correspond pas à l’exception de motif légitime visée par le Code de la propriété intellectuelle et qu’aucune disposition des directives de l’Union européenne portant harmonisation complète des législations des Etats-membres en matière de marque ne permet de conforter cette exception (notamment, la Directive 89/104 du 21 décembre 1988).

Cette position a, en outre, été confirmée par la jurisprudence européenne (CJCE, 20 nov. 2001, aff. C-414/99 à C-416/99 et CJCE, 12 nov. 2002, aff. C-206/01).

En conséquence, la Cour revient sur sa précédente jurisprudence, en considérant que, dans la mesure où la marque avait été apposée en France, territoire sur lequel elle était protégée, la Cour d’appel en avait exactement déduit, alors même que les produits étaient destinés à l’exportation vers la Chine (territoire où la marque n’était pas protégée), la contrefaçon était constituée.

DROIT PENAL

Obsolescence programmée de l’iPhone : l’ouverture d’une enquête

Le 27 décembre 2017, une plainte contre Apple a été déposée par l’association HOP (Halte à l’Obsolescence Programmée) et début janvier 2018, le parquet de Paris a annoncé ouvrir une enquête pour tromperie et obsolescence programmée. Il s’agit d’une des rares enquêtes sur le délit d’obsolescence programmée.

Pour rappel, c’est la loi du 17 août 2015 relative à la transition énergétique pour la croissance verte qui a créé le délit d’obsolescence programmée. Il se situe depuis l’ordonnance du 14 mars 2016 à l’article L.441-2 du code de la consommation.

L’obsolescence programmée est définie comme : « le recours à des techniques par lesquelles le responsable de la mise sur le marché d’un produit vise à en réduire délibérément la durée de vie pour augmenter le taux de remplacement ».

Certains auteurs qualifient ce délit de « délit mort-né » ou de « doublon » car cette incrimination ferait double emploi avec le délit de tromperie et risque de soulever des difficultés probatoires pour démontrer l’intention délibérée du metteur sur le marché.

Cette pratique est punie de 2 ans d’emprisonnement et 300 000 euros d’amende, comme pour la tromperie. La différence est que le montant de l’amende peut être porté à 5% du chiffre d’affaires moyen annuel.

En l’espèce, Apple est accusé de ralentir ses anciens modèles de smartphones avec la mise à jour de son système d’exploitation iOS, ce qui aurait pour effet d’inciter ses utilisateurs à se tourner vers le dernier modèle en date (Iphone 8).

Apple s’est défendu dans un communiqué en assurant qu’il n’avait rien fait pour « raccourcir intentionnellement la durée d’existence du produit » ou encore « réduire la qualité de ses produits pour amener à en changer ». Par ailleurs, il y a deux semaines Apple a baissé de 89 à 29 euros le prix de remplacement des batteries pour les IPhone 6 et a présenté ses excuses aux clients ce qui est très rare.

Apple n’est pas le seul à être poursuivi pour ce délit d’obsolescence programmée, car il y a quelques mois, le fabriquant d’imprimante Epson a également été mise en cause dans le cadre d’une plainte par la même association HOP.

Affaire à suivre …

Précisions sur les infractions relatives à l’atteinte frauduleuse à un STAD: cas du « key-logger »

La Cour de cassation confirme que la personne qui accède à un STAD, à l’insu des victimes et en sachant qu’elle n’y était pas autorisée, en l’occurrence via un keylogger, se rend coupable de l’infraction prévue à l’article  323-1 du Code pénal.

Pour rappel, l’article 323-1 du Code pénal dispose que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende. »

L’article 323-3-1 précise que « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. ».

En l’espèce, un médecin avait installé un keylogger (à savoir un enregistreur de frappe, en l’occurrence matériel : il s’agit souvent d’un câble intercalé entre le port du clavier et le clavier) sur les ordinateurs de deux autres praticiens du service d’un CHU. La mise en place d’un tel dispositif permettait ainsi au médecin d’espionner la frappe du clavier et de capter des données de ordinateurs « surveillés ».

Après l’ouverture d’une enquête et la réalisation d’une perquisition fructueuse à son domicile, le médecin concerné a fini par reconnaître l’achat du keylogger litigieux et son utilisation en vue de l’aider dans un litige professionnel pendant devant l’Ordre des médecins.

Poursuivi pour délits d’accès frauduleux à tout ou partie  d’un système de traitement automatisé de données, d’atteinte au secret des correspondances émises par voie électronique et de détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé, le médecin prévenu a été condamné en 1ère instance, condamnation confirmée en appel.

Pour dire établis ces délits, les juges d’appel ont retenu que « la détention d’un keylogger, sans motif légitime par [ce médecin] que celui-ci ne conteste pas avoir installé sur l’ordinateur des deux [médecins en question] pour intercepter à leur insu, par l’espionnage de la frappe du clavier les codes d’accès et accéder aux courriels échangés par les deux praticiens caractérisent suffisamment sa mauvaise foi et les délits tant dans leur élément matériel qu’intentionnel ».

Les juges avaient ajouté « que les motifs avancés par le prévenu pour justifier la détention d’un équipement conçu ou adapté pour une atteinte frauduleuse à un système de traitement automatisé de données, à savoir la défense de sa situation professionnelle et sa réputation, son indifférents à la caractérisation des infractions, puisque l’autorisation de détention prévue par l’article 323-3-1 du Code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ».

Par un arrêt du 16 janvier 2018, la Cour de cassation saisie d’un pourvoi a confirmé cette solution.

Cette jurisprudence est donc riche d’enseignements en ce qu’elle :

  • confirme que la détention et l’utilisation d’un keylogger pour accéder à un STAD à l’insu des victimes, en étant conscient de l’absence d’autorisation à un tel accès, sont pénalement sanctionnées ;
  • précise que le motif légitime « notamment de recherche ou de sécurité informatique » édictée à l’article 323-3-1 du Code pénal ne peut bénéficier qu’aux seules personnes habilités à assurer la maintenance et la sécurité du système informatique

Première remise en cause de l’obligation de divulguer la clé de déchiffrement de données intéressant l’enquête pénale

Cass. Crim. 10 janvier 2018, arrêt n°3478, 17-90.019

La légalité de l’article 434-15-2 du Code pénal, portant sur l’obligation de divulguer la clé de déchiffrement intéressant l’enquête pénale, a été pour la première fois remise en cause devant la Chambre criminelle de la Cour de cassation. Celle-ci a, en effet, jugé la question nouvelle et sérieuse et l’a transmise au Conseil constitutionnel le 10 janvier dernier.

Pour rappel, l’article 434-15-2 punit désormais de 3 ans d’emprisonnement et de 270 000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités », après un renforcement opéré par la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement.

Les peines sont aggravées à 5 ans d’emprisonnement et 450 000 euros d’amende si « le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d’éviter la commission d’un crime ou d’un délit ou d’en limiter les effets ».

La question prioritaire de constitutionnalité a été formulée comme suit : les dispositions de cet article sont-elles contraires au principe du droit au procès équitable et de la présomption d’innocence en ce qu’elles ne permettent pas au mis en cause :

  • de faire usage de son droit au silence ;
  • ni de faire usage de son droit de ne pas s’auto-incriminer ?

Si le texte est prononcé inconstitutionnel, cela signifierait que les services de police et de gendarmerie, qui rencontrent actuellement de grandes difficultés pour localiser et récupérer les données susceptibles d’intéresser leur enquête, se retrouveraient démunis d’une arme efficace pour contourner le chiffrement de ces données.

La question se pose également de savoir comment le Conseil constitutionnel se positionnera quant aux obligations de toute autre personne détenant le moyen de déchiffrement mais non mise en cause au cours de la procédure pénale, puisque le texte du Code pénalvise bel et bien « quiconque ayant connaissance de la convention secrète de déchiffrement ».

Le Conseil constitutionnel devrait statuer dans les trois mois à venir.