Constatant un dommage imminent, le juge du référé du tribunal de commerce de Nanterre a interdit à l’éditeur d’un journal en ligne la publication d’informations obtenues et divulguées par des tiers au moyen d’une atteinte à un système d’information.
En l’espèce, le 9 août 2022, un rançongiciel a affecté le réseau informatique de plusieurs sociétés d’un Groupe de télécoms et de médias. Face au refus de ces sociétés de payer la rançon, les pirates ont publié 25% des informations piratées, accessibles grâce à un logiciel spécifique. Quelques jours plus tard, le Groupe a reconnu dans un communiqué de presse avoir été victime d’un piratage, assurant toutefois qu’aucune donnée sensible n’avait été compromise.
Les 5 et 7 septembre, un journal en ligne a publié trois articles, dont le contenu était tiré des données piratées et accessibles en ligne. Les sociétés piratées ont alors engagé une procédure en référé d’heure à heure devant le tribunal de commerce de Nanterre contre l’éditeur du journal en ligne. Parmi les demandes formulées, figurait celle de supprimer les articles litigieux sous astreinte ainsi que d’interdire à l’éditeur de publier ou diffuser tout contenu lié aux données piratées. Ces demandes trouvaient leur fondement dans la protection du secret des affaires.
Par une ordonnance de référé rendue le 6 octobre 2022, le tribunal de commerce de Nanterre a répondu aux questions suivantes : La publication d’articles de presse exploitant des données piratées est-elle susceptible de causer un trouble manifestement illicite du fait de l’éventuelle violation du secret des affaires ? Une atteinte à un système de traitement automatisé de données peut-il être caractérisé ? Un dommage imminent est-il encouru ?
Une atteinte au système de traitement automatisé de données (STAD) des sociétés piratées a-t-elle été commise par le journal ?
Les sociétés demanderesses invoquaient qu’un trouble manifestement illicite était causé par l’atteinte à un système de traitement automatisé de données (STAD), dû au fait que le journal en ligne détenait, avait reproduit et transmis des données obtenues frauduleusement par les pirates. L’éditeur du journal en ligne rétorquait quant à lui qu’il n’était pas responsable du piratage, ni de l’accessibilité des documents litigieux, mais qu’il s’était « contenté de relater le piratage et le rançonnage » effectué par les pirates.
Le tribunal de commerce saisi en référé a donné raison à l’éditeur du journal en ligne, au motif que celui-ci « n’est pas l’auteur du piratage informatique » et qu’ainsi, les dispositions du Code pénal relatives aux atteintes aux STAD ne lui sont pas applicables. Ainsi, « un trouble manifestement illicite causé par une atteinte à un STAD ne peut être retenu à l’encontre de [l’éditeur] ».
Une atteinte au secret des affaires ou au respect de la vie privée ?
Pour fonder leur demande de suppression sous astreinte des trois articles publiés les 5 et 7 septembre 2022, les sociétés victimes du piratage ont invoqué l’atteinte au secret des affaires, protégé par les articles L. 151-1 et suivants du Code de commerce. Le secret des affaires y est ainsi défini :
« Est protégée au titre du secret des affaires toute information répondant aux critères suivants :
1° Elle n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ;
2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
3° Elle fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » (Code de commerce, article L. 151-1).
Les sociétés demanderesses alléguaient que le journal était entré illégalement en possession des informations et avait révélé leur existence au public, pouvant inciter des personnes à violer leur secret des affaires.
En défense, l’éditeur du journal estimait que « les moyens développés par les demanderesses ne sont soutenues par aucune information, aucun document publié par le site Reflets ce qu’imposerait la loi du 29 juillet 1881 ». Il considérait ensuite, qu’aucune des informations publiées par le journal ne relevait du secret des affaires, mais uniquement de la vie privée du dirigeant du Groupe (son patrimoine ainsi que son train de vie). Enfin, l’éditeur invoquait l’application de l’article L. 151-8 du Code de commerce, lequel écarte l’opposabilité du secret des affaires dès lors que la publication litigieuse relève de l’intérêt général et de la liberté d’information. Le tribunal de commerce de Nanterre a écarté le trouble manifestement illicite résultant d’une violation du secret des affaires, donnant ainsi raison aux arguments avancés par le défendeur. En effet, le juge affirme que les sociétés demanderesses n’ont pas cité d’exemples précis de documents ou d’informations parues qui correspondraient à la définition du secret des affaires, qu’elles ont affirmé dans un communiqué de presse, n’avoir subi aucune compromission de données sensibles. Enfin, le tribunal estime que les articles litigieux relèvent de l’appréciation du respect ou non de la vie privée, « débat qui ne peut être porté devant le président du tribunal commercial ».
Quid d’un dommage imminent ?
Selon les sociétés demanderesses, un dommage imminent était caractérisé du fait que le journal pourrait publier d’autres articles lorsque davantage de données piratées seraient publiées. Face à ce moyen, la défense invoquait la liberté d’information.
Le juge du référé rappelle d’abord qu’un dommage imminent est un « dommage qui n’est pas encore réalisé, mais qui se produira sûrement si la situation présente doit se perpétuer ».
Il relève ensuite que le journal en ligne a manifesté son intention de continuer la publication d’informations nouvelles que les pirates rendraient publiques. Pour le juge, ces éventuelles nouvelles publications font « peser une menace sur les sociétés du Groupe face à l’incertitude du contenu des parutions à venir qui pourraient révéler des informations relevant du secret des affaires ». Le juge en déduit que « cette menace peut être qualifiée de dommage imminent ».
En conséquence, le juge prend, en application de l’article 873 du Code de procédure civile, une mesure conservatoire pour faire cesser le dommage imminent : il est ordonné à l’éditeur du journal de ne pas publier de nouvelles informations obtenues illégalement par les pirates et diffusées en ligne par ces derniers.
Que retenir ?
Sans surprise, il résulte de cette ordonnance de référé que l’atteinte au secret des affaires fait l’objet d’une appréciation in concreto. En conséquence, il convient de démontrer que les informations et documents divulgués répondent à la définition du secret des affaires et qu’ils sont protégés à ce titre. A cet égard, le juge du référé rappelle que les informations révélant le patrimoine d’une famille ou son traite de vie ne relèvent pas du secret des affaires mais de la vie privée.
En outre, à défaut de démontrer l’atteinte au secret des affaires, il est possible d’obtenir du juge du référé une protection sur le fondement d’un dommage imminent.
Il convient toutefois de noter que le juge du référé ne s’est pas prononcé sur l’atteinte à la liberté d’expression et de communication invoquée par l’éditeur de presse. Ce débat pourrait avoir lieu devant le juge du fond.