Tel est le message que les prestataires et les fournisseurs de solution en matière de sécurité informatique devraient faire passer auprès de  leurs clients et prospects. L’absence de sécurisation d’un système d’information peut aboutir à une diminution conséquente de la réparation du préjudice subi.

La société Sarenza qui édite le site de commerce électronique www.sarenza.com  avait constaté que son fichier de 4,7 millions d’adresses électroniques de clients et de prospects avait été copié, en recevant à des adresses pièges des courriels de promotion du site www.e-vingroom.com , édité par la société NA2J. Le responsable du site a reconnu qu’il avait obtenu par une salariée de la société Sarenza les codes d’accès à la base de données permettant de gérer les courriels. L’employée avait utilisé l’identifiant de son supérieur hiérarchique, qui était d’ailleurs utilisé par quatre personnes, à partir de trois postes différents.  L’éditeur du site www.e-vingroom  a pu avoir accès aux données clients et prospects de Sarenza à de nombreuses reprises pendant trois mois, sans difficulté apparente. Il a utilisé ces adresses pour sa publicité. Il a aussi commercialisé une partie du fichier auprès des sociétés Vivaki, professionnelles de la publicité, pour différentes campagnes.

Le tribunal de grande instance de Paris, dans son jugement du 21 février 2013, a jugé que NA2J et son gérant avaient commis une faute en s’appropriant les adresses électroniques des clients et prospects de la société Sarenza à son insu et sans bourse déliée, afin d’en tirer un profit personnel. Il a également estimé que les sociétés Vivaki avaient fait preuve de négligence en achetant des fichiers très bon marché sans se soucier des conditions dans lesquelles NA2J les avaient acquis.

Le tribunal avait évalué le préjudice subi par la société Sarenza à 100 000 euros mais n’a condamné les sociétés Vivaki et NA2J à ne payer qu’une somme de 70 000 euros. Il a, en effet, estimé que la société Sarenza était responsable de 30% de son préjudice subi, du fait de l’absence de protection efficace de l’accès à sa base de données personnelles.   

Cette absence de sécurisation de la base de données est d'autant plus problématique qu'elle contenait des données à caractère personnel et à ce titre, le responsable de traitement était censé « mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données contre (...) la diffusion et l'accès non autorisé » conformément à l'article 34 de la loi du 6 janvier 1978. Or, en l'espèce, il apparaît clairement que de telles mesures n'ont pas été prises.

Cette solution est à rapprocher de celle du tribunal de grande instance de Créteil en date du 23 avril 2013. Dans cette affaire, une absence ou une défaillance de sécurité avait affecté l'extranet de l'Agence nationale de sécurité sanitaire de l'alimentation (ANSES). Une personne s'y était introduite via une recherche Google et avait pu récupérer un très grand nombre de documents (7,7 Go) dont l'accès n'était pas spécifiquement protégé ou même indiqué comme tel.

Cette personne n’a pas été condamnée. En effet, comme l’a jugé le Tribunal, si le responsable d’un système d’information ne le sécurise pas contre les intrusions, le délit d’accès et de maintien frauduleux au sens de l'article 323-1 et suivants du Code pénal n’est pas constitué.