Le 20 juin 2016, le tribunal correctionnel de Paris a relaxé un prévenu ayant récupéré une partie de la base de données à caractère personnel du site de billetterie en ligne Weezevent, à l’aide d’un robot. Le point sur l’aspiration de données personnelles sur un site public.

Retour sur le contexte de l’affaire

La société Weezevent propose une solution de billetterie en ligne pour les organisateurs d’événements. Il s’agit de permettre à tout internaute de créer depuis le site de Weezevent un événement, de proposer des billets en ligne et de promouvoir cet événement. Après avoir constaté des collectes massives des données personnelles de ses clients à partir de sa base de données en ligne, le président de la société a porté plainte à la brigade d’enquête sur les fraudes aux technologies de l’information.

Après réquisition judiciaire à l’opérateur Free relative à l’identification de l’utilisateur de l’adresse IP utilisée pour effectuer les requêtes sur Weezevent.com, il apparaissait que cette adresse était attribuée au président de la société SASU Trustweb liée au site billetweb.fr. Après une perquisition au domicile de ce dernier, l’analyse de son ordinateur a permis de découvrir des scripts permettant des requêtes automatisées ainsi qu’une base de données de 7 779 fiches clients de Weezevent.

Le président de la société SASU Trustweb a été poursuivi pour accès, maintien et extraction frauduleuse de données (loi Godfrain) et collecte déloyale de données (loi Informatique et libertés).

Quelle est la décision du tribunal ?

  • Concernant les infractions à la loi relative à la fraude informatique

« L’accès, le maintien et l’extraction frauduleuse des données sur ce site n’est pas démontré, la société Weezevent n’ayant pas eu l’intention de restreindre l’accès de certaines données qui étaient dès lors en libre circulation et récupérables sans intrusion par simple consultation ». En effet, le tribunal a exclu l’élément intentionnel « en l’absence d’une mise en garde d’une manière ou d’une autre du caractère confidentiel du site ou des données ». Pour que les infractions existent, le maître du système d’information doit avoir manifestement l’intention d’en restreindre l’accès aux « seules personnes autorisées ».

A lecture de l’article 8 des conditions générales d’utilisation des services de la société Weezevent, toute personne utilisant la solution de billetterie en ligne mise à disposition par cette dernière accepte « que d’autres Organisateurs, le Public ou les Participants disposent à titre gratuit et à des fins exclusivement personnelles, de la faculté de visualiser et de partager le Contenu Organisateur

[dont les données personnelles renseignées] sur les sites internet de Weezevent, sur d’autres supports de communication électronique (notamment sur les téléphones mobiles) et ce pendant toute la durée de l’hébergement dudit Contenu sur les Sites internet de Weezevent ». Il est également précisé que la personne utilisant la solution de billetterie en ligne est tenue de prendre toutes les mesures utiles pour protéger son contenu et les données la concernant.

A noter toutefois que l’utilisation des données personnelles envisagée par le prévenu ne semblait pas être à des fins « exclusivement personnelles ». Dans tous les cas, toutes conditions générales d’utilisation d’un site Internet doivent faire l’objet d’une attention particulière afin de s’assurer qu’elles correspondent bien aux attentes de la société qui l’exploite.

  • Concernant la collecte déloyale de données personnelles

mathias-avocats-donnees-personnellesLe tribunal a estimé qu’il n’y avait pas eu de collecte déloyale de données à caractère personnel car le prévenu les avait récupérées sur la partie en libre accès. Les juges ont par ailleurs également insisté sur le fait qu’aucune plainte n’a été déposée à la Cnil.

Le parquet et la société Weezevent ont fait appel de la décision. Mathias Avocats ne manquera pas de vous tenir informés des suites de cette affaire.