Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 294

MA GAZINE
RANÇONGICIEL : PAS DE RÉPARATION DU PRÉJUDICE
D'ANXIÉTÉ POUR UNE PERSONNE MORALE
L'auteur d'un rançongiciel qui
avait été condamné à 10 000 €
d'amende et à six mois d'emprisonnement
avec sursis a vu infirmée
sa condamnation à verser plus de
325 000 € de dommages-intérêts à
la société victime. Dans son arrêt
du 30 juin 2021, la cour d'appel
de Versailles a d'abord rejeté les
demandes de réparation du préjudice
moral de la société victime.
Elle ne conteste pas le principe
de la réparation du préjudice
moral d'une personne morale.
Cependant, elle rejette le principe
de la réparation d'un préjudice
d'affectation, notamment la réparation
de l'anxiété provoquée par
la demande de rançon, en rappelant
qu'elle ne bénéficie qu'aux
personnes physiques et non aux
personnes morales. Sa demande
aurait été acceptée si elle avait
porté sur la dégradation concrète
de sa réputation ou de son image
auprès de ses clients, caractérisée
par
une quelconque diffusion
dans les médias des faits dont elle
avait été victime, portant atteinte
à son activité et à son image ou
par un détournement de clientèle.
Quant au préjudice financier, la
cour rejette les demandes de la
société victime faute de preuves
de la prise en charge financière
des frais par la société.
Le 31 décembre 2018, la société
Enablon recevait un courriel
anonyme en anglais lui demandant
le paiement d'une rançon
d'un million d'euros sur différents
comptes bitcoins, en apportait
la preuve de la possession de
données confidentielles de la
société : comptes bancaires, liste
de contacts, documents et extraits
du code source de l'application
principale de la société. Le paiement
de la rançon devait être
effectué avant le 15 janvier 2019, à
défaut de quoi le pirate adresserait
des spams aux partenaires, aux
employés, aux concurrents avec
toutes les données confidentielles
en sa possession. Enablon a tout
de suite réagi en notifiant
l'atteinte
aux données personnelles
auprès de la Cnil, et a présenté des
requêtes au tribunal afin d'identifier
l'auteur de cette action. Cette
mesure a permis d'identifier un
ancien directeur technique de
l'entreprise, de 2005 à 2015, dont
les fonctions avaient pris fin suite
à une rupture conventionnelle.
Par ailleurs, une analyse du disque
dur que cet employé utilisait lorsqu'il
travaillait pour la société,
avait démontré qu'un appareil
nommé « Ianstarsolo » avait déjà
été connecté à ce poste de travail,
ce qui permettait de faire un lien
entre cet ex-directeur technique et
le rançonneur. Enablon a déposé
plainte et le prévenu placé en
garde à vue a reconnu l'ensemble
des faits qui lui étaient reprochés.
Le décembre 2019, le tribunal
correctionnel
de Nanterre l'a
condamné à six mois d'emprisonnement
avec sursis et une amende
de délictuelle de 10 000 € pour
avoir accédé et s'être maintenu
dans le système de traitement de
données de son ancien employeur,
pour avoir frauduleusement
extrait des données et pour avoir
tenté de commettre une extorsion
de fonds. Par un jugement
du 17 janvier 2020, le tribunal
correctionnel statuant sur les intérêts
civils l'a condamné à verser
10 000 € au titre du préjudice
moral et 315 930 € au titre du préjudice
matériel subi. Cette dernière
somme comprenait 30 096 € de
remboursement des frais et honoraires
au titre des diligences liées
à la procédure auprès de la Cnil,
27 300 € en remboursement de
frais et honoraires au titre de la
communication de crise, 53 393 €
au titre des honoraires et frais liés
à la recherche de preuves techniques
et 205 139 € au titre des
honoraires et des frais juridiques
et de management. L'auteur du
ransomware a fait appel de cette
dernière décision portant sur
les intérêts civils. Après avoir
rejeté les demandes relatives au
préjudice moral, la cour d'appel
a remis en cause le jugement
quant au préjudice financier. Le
préjudice invoqué portait sur les
frais engendrés par la demande
de rançon et notamment les frais
d'avocat. Mais la cour a considéré
qu'Enablon n'avait pas apporté
la preuve qu'elle avait supporté
elle-même ces frais. Par ailleurs,
les éléments justificatifs produits
sont, selon la cour,
insuffisants
à établir la réalité du paiement
allégué en l'absence d'éléments
extrinsèques probants tel que le
journal des achats portant des
enregistrements des factures, les
éléments de la banque portant le
paiement des factures, etc.
L'arrêt a fait l'objet d'un pourvoi
en cassation.
JO :// Création du comité stratégique des données de santé
Le 24 juillet 2021 a été publié au JO l'arrêté du
29 juin 2021 portant création du comité stratégique des
données de santé. Il apporte au ministre de la Santé des
éléments d'orientation et de décision relatifs à la mise
en œuvre et au développement du système national
des données de santé.
Prévu par l'article R. 1461-10 du code de la santé
publique, il est notamment chargé de proposer des
orientations sur le développement du système national
des données de santé, et ses évolutions législatives
et réglementaires. Il doit en outre identifier les bases
de données existantes qui ont vocation à être inscrites
dans l'arrêté prévu au I de l'article R. 1461-2 du code
294
EXPERTISES SEPTEMBRE 2021
de la santé publique, recommander leur inscription et,
le cas échéant, émettre un avis sur l'ordre de priorité
de leur inscription et aussi identifier les catégories de
données manquantes et émettre des recommandations
en matière de collecte ou de production de ces
données auprès des producteurs de données. Il émet
des recommandations afin de favoriser le partage des
données relevant du système national des données de
santé, en prenant en particulier en compte ses aspects
financiers et juridiques. Enfin, il est chargé de conduire
et diffuser une réflexion prospective sur le cadre juridique
relatif à la collecte et au partage des données
relevant du système national des données de santé.
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia
