Quels sont les recours possibles des utilisateurs du site Ashley Madison dont les informations personnelles ont été révélées sur le Web suite au piratage du site ? Olivier Iteanu, avocat à la Cour (www.iteanu.com), fait le point.
C’est le feuilleton « vol de données » de l’été 2015. Ashley Madison, selon son slogan, « le leader mondial des rencontres extraconjugales discrètes », est victime d’une attaque informatique. Les pirates sont entrés en possession de plusieurs dizaines de millions de données. Les pirates n’en sont pas restés là, puisqu’ils ont offert au public les données volées. Les données concernées seraient les noms, courriel, adresse, historique de navigation des utilisateurs du site. Compte tenu de l’orientation annoncée et revendiquée du site, l’infidélité discrète, ces révélations ne sont pas restées sans conséquence. Le réseau grouille d’informations plus ou moins vérifiées et vérifiables : un divorce aurait déjà été prononcé au Royaume-Uni[1], des noms sont jetés ici ou là en pâture, et on évoque des actions de groupes d’utilisateurs lésés à l’encontre de l’éditeur du site.
S’agissant des utilisateurs français quels sont leurs recours juridiques pour la défense de leurs droits et la réparation de leurs préjudices ?
On peut noter que la notion d’anonymat était mise en avant par l’éditeur du site. L’icône d’Ashley Madison représente une femme, l’index posé sur la bouche, comme pour dire : discrétion assurée. Le site aurait même offert à ses membres un paiement complémentaire pour la destruction de leurs données, une sorte de premium du droit à l’anonymat. Or, les données de ces utilisateurs seraient également concernées par la fuite et la publication.
Les utilisateurs français d’Ashley Madison disposent de deux types de recours.
Un recours civil en premier lieu.
En effet, tout utilisateur du site a conclu un contrat d’adhésion avec l’éditeur du site. Sur la base de ce contrat, l’utilisateur pourrait donc engager une action devant un Tribunal en inexécution du contrat et en demande de dommages et intérêts pour réparer la préjudice qu’il a subi et qu’il devra prouver. Reste que les conditions générales d’utilisation du site qui constituent ce contrat, semblent fermer la voie d’action judiciaire en imposant un arbitrage et désignent un Tribunal étranger, celui de Chypre. Pour un utilisateur moyen, ces dispositions générèrent des coûts et des difficultés matérielles qui pourraient paraître insurmontables. Or, les utilisateurs d’Ashley Madison sont au regard du droit français des consommateurs. Le droit de la consommation français est une Loi dite de police. A ce titre, en dépit de toutes dispositions figurant au contrat, le juge français appliquant le droit français est compétent. C’est ce qu’a rappelé le 5 mars 2015 le Tribunal de Grande Instance de Paris[2] dans une affaire Facebook qui avait déclaré abusive la clause attributive de compétence au profit des juridictions californiennes. En fonction du montant réclamé à titre de dommages et intérêts, l’utilisateur saisira le Tribunal d’instance ou de Grande Instance de son lieu de domicile.
Le second recours est d’ordre pénal, avec plusieurs volets possibles.
Les utilisateurs sont les premières victimes de l’attaque subie par le site de rencontres. Car les données concernées sont les leurs. Aussi, une plainte pénale pour vol de données paraît possible. Depuis la Loi Cazeneuve du 13 novembre 2014, l’extraction frauduleuse de données est désormais reconnue par la Loi et punie des peines maximales de 5 ans d’emprisonnement et de 150 000 euros d’amende. Cette plainte pénale formée contre X pourrait permettre de saisir les autorités de police et justice françaises, lancées alors à la poursuite des voleurs.
Pour les utilisateurs ayant acquittés un honoraire spécial pour détruire leurs données, promesse au final non tenue, le délit d’abus de confiance pourrait également être visé.
Ashley Madison peut également être poursuivi en sa qualité d’’éditeur du site. La Loi informatique et libertés du 6 Janvier 1978 est ici concernée. Aux termes de l’article 34 de cette Loi, le responsable du traitement de données personnelles est « tenu de prendre toutes précautions utiles » pour préserver la sécurité des données. C’est une sorte de quasi obligation de résultat à la charge d’Ashley Madison. Le défaut du respect des « précautions utiles » est sanctionné en France des peines maximales de 5 ans d’emprisonnement et de 300 000€ d’amende[3]. Bien évidemment, il conviendra que l’enquête démontre que toutes précautions utiles n’ont pas été prises par le site. En d’autres termes, la charge de la preuve devra incomber à l’accusation. Le simple vol des données ne permettant pas à lui tout seul de faire jouer cette disposition contre l’éditeur. Ces délits s’appliquent même pour des infractions commises à l’étranger par des délinquants étrangers, à la condition que la victime soit de nationalité française et que le délit concerné soit puni en France d’une peine d’emprisonnement, ce qui est le cas en l’occurrence.
On le voit bien, sur un plan théorique, les recours juridiques existent même pour des utilisateurs français d’un site annoncé comme Canadien et qui vise Chypre comme lieu de juridiction pour ses clients européens dans ses conditions d’utilisation. Cependant, là n’est pas l’important. Quelle est la réalité de ces recours en pratique ? Par exemple, quelle est la pérennité de l’éditeur d’Ashley Madison ? Tout le système étant fondé sur la confidentialité, on peut nourrir certaines craintes sur son avenir. Engager une action judiciaire prend du temps, au minimum plusieurs mois : qu’adviendra-t-il à cette époque ? Une fois obtenu le jugement de condamnation d’un juge français, comment l’exécuter au Canada, sous quels délais et à quels coûts ? Comment la police et la justice vont-elles enquêter dans cette affaire, sans la coopération de la police et de la justice canadienne ?
Cette affaire nous montre plus que jamais que les internautes sont les stratèges de leur propre identité et les seuls gestionnaires de leur risque juridique. Les systèmes de justice et de police étatiques montrent dans ce cas leurs limites, du moins à ce jour.
Enfin, la notion de tiers de confiance ne peut se construire sur de simples promesses.La seule promesse tenue par Ashley Madison tient à son slogan : « La vie est courte. Tentez l’aventure ».
[1] http://www.7sur7.be/7s7/fr/4134/Internet/article/detail/2432659/2015/08/23/Un-premier-divorce-suite-au-piratage-d-Ashley-Madison.dhtml
[2] www.legalis.net
[3] Article 226-17 du Code pénal