07 mars 2023

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#454 droit de l’OSINT #3 le droit de copie des data Open Source

#454 droit de l’OSINT #3 le droit de copie des data Open Source

le droit de l'OSINT #3 le droit de copie/collecte des data Open Source © Ledieu-Avocats 2023

On révise 2 secondes avant de partir bille-en-tête dans la lecture de cet article (passionnant) ?

Pour faire de l’OSINT dans de bonnes conditions techniques et juridiques, on révise :

– ce dont en parle (épisode #1)

– la manière dont on accède au système d’information / site web / base de données cible (épisode #2).

Au menu du jour : quel droit à copie / collecte des données disponibles en Open Source ? 

ATTENTION, c’est plus long que les fois précédentes. Enfin… si vous voulez savoir pour de vrai

Ha oui, zut, pardon, j’ai oublié de me présenter et de vous rappeler les conditions dans lesquelles vous pouvez ré-utiliser les slides en BD… [spoiler : pas de ré-utilisation… hummm]


Le sujet du jour ?

le droit de l'OSINT #3 le droit de copie des data Open Source © Ledieu-Avocats 2023


Posons-nous les bonnes questions

le scrapping ? #454 le droit de l'OSINT #3 le droit de copie des data Open Source © Ledieu-Avocats 2023


Pour le dire autrement, le web scrapping (je cite fr.wikipedia.org) ?


le résumé du problème en version juridique :


Et si on commençait directement par un peu de jurisprudence pénale, histoire de détendre l'atmosphère ?

jurisprudence pénal ? le droit de l'OSINT #3 le droit de copie des data Open Source © Ledieu-Avocats 2023


Encore la jurisprudence "bluetouff" ? Oui, mais celle de 2015 !!!

Vous pouvez techniquement accéder à des data numériques ? Vous pouvez donc techniquement les copier dans votre système d’information. Mais en avez-vous le droit ?

La jurisprudence « bluetouff » de 2015 de la Cour de cassation nous apporte une réponse très claire : soustraire des données « sans le consentement de leur propriétaire » constitue le délit pénal de vol.


Le tarif pénal pour le délit de vol ?


Le recel de vol, tant qu'on y est ?

Attention, si vous n’êtes pas le « voleur » mais que vous téléchargez le produit d’un vol (hypothèse d’un leak à télécharger depuis un site .onion), vous êtes « receleur » de ce vol. Le receleur est celle/celui qui « détient une chose… en sachant que cette chose provient d’un crime ou d’un délit » .

Je vous laisse lire le tarif pénal (mais oui, je sais… même pas peur…).


N'oubliez pas le délit spécial de l'article 323-3 Code pénal : pas de jurisprudence mais si vous voulez tenter de lui donner votre nom...

Le Code pénal va plus loin et prévoit un délit spécifique à l’article 323-3 pour punir celle ou celui qui viendrait à « extraire, détenir [ou] reproduire » les données contenues dans un SI (auquel elle/il aurait accédé frauduleusement).

Le tarif pénal, là encore, est assez lourd.

Au 9 mars 2023, nous n’avons trouvé qu’une unique jurisprudence sur le fondement de cet incrimination spécifique. Et c’est pas très parlant pour la partie technique.


On est un "voleur" de data, même sans être "animé de la volonté de nuire"

C’est l’unique jurisprudence publiée sur le fondement de 323-3 Code pénal. 

C’est assez logique si on veut bien comprendre la logique de cette loi. 

jurisprudence 323-3 Code pénal #454 le droit de l'OSINT #3 le droit de copie des data Open Source © Ledieu-Avocats 2023


OK, voyons maintenant le coté constructif des choses : ce qu'on peut faire de manière tout à fait légale (ça peut être utile, non ?)


OPTION 1 : l'Open Data

Dès le 24 septembre 2023, en application du Règlement EU Data Governance Act, véritable loi européenne d’application directe dans les 27 pays de l’UE, certaines données seront officiellement libres de copie et de réutilisation, à titre professionnel ou personnel.


Le Monsieur te dit "libre de copie et de réutilisation" !

 

Les données seront accessibles gratuitement ou à des frais raisonnables pour le réutilisateur et sans exclusivité et devront avoir été traitées au préalable pour ne plus contenir de « données à caractère personnel » (obligation d’anonymisation), ni porter atteinte à un « secret d’affaires » ou à un droit d’auteur.

ça ne devrait étonner aucun juriste, ni susciter le moindre débat.

Pour creuser le sujet, 2 solutions :

– lire le texte (prévoir un isolement sonore extérieur complet pendant plusieurs heures); 

– commencer par faire le point en BD ici.


OPTION 2 : le droit d'extraction légitime depuis une base de données "privée"

Arrêtez d’écrire dans vos contrats que vous êtes « propriétaire » de vos données. 

Ecoutez ce que vous dit Clément XVII :


Nous, les Européens, avons un vrai droit sur le contenu des bases de données

 

Si vous consultez légitimement une base de données (hors Open Data), vous regardez ce que contient cette « base de données » au sens de la Directive 96/9/CE du 11 mars 1996 concernant la protection juridique des bases de données.

Cette législation est unique au monde.

Le concept se résume simplement.

Si une entreprise dépense du temps et de l’argent à « remplir » une base de données, cette entreprise est « producteur » de son contenu. On peut aussi dire « fabricant » (c’est poétique aussi).

La qualité de producteur permet à toute personne physique ou morale permet d’interdire, au sens civil et pénal du terme, toute copie d’une « quantité substantielle » du contenu de sa base de données.

On appelle ça « le droit d’extraction » (on se croirait au fond d’une mine à charbon).


Et pour celle ou celui qui est utilisateur légitime de cette base de données, un droit à copie ? OUI !

La loi permet à toute personne qui accède de manière légitime au contenu d’une base de données d’en faire un usage libre, pour autant que le contenu copié soit « non substantiel » .

Pour le dire autrement, si vous accédez à la base de données des entreprises légalement constituées en France, vous pourrez copier l’intégralité des data concernant 1 entreprise (ou une modeste quantité de…), mais pas celles concernant toutes les entreprises.

Cela s’applique aux données collectées depuis Facebook, LinkedIn, etc.

C’est ça, la réalité du droit du scrapping sur le web !!!


MAIS... (car il y a un gros "mais...")

Un droit de copie « non substantielle » , certes, mais il faut AUSSI tenir compte de la nature des data contenues dans la base de données

Et c’est là que les choses se corsent (comme disait Astérix en 1973).

Regardez bien vers quelles législations les 3 flèches pointent et vous ne serez pas surpris(e) car ce sont toujours les 3 mêmes…

Et c’est bien sûr au moment de la ré-utilisation de ces data « protégées » que ça va coincer juridiquement…


ATTENTION à la sanction pénale (potentielle) si vous ne respectez pas les droits du "producteur"...

 

« Le Code pénal et son équipage sont heureux de vous proposer un tarif aggravé si vous commettez ce délit en bande organisée » …

 

L’équipe de la Défense (les Avocats, pas là ou il y a des grandes tours dans le 92) est heureuse de vous rappeler qu’apparemment, aucune jurisprudence n’a jamais été publiée sur ce fondement… 

Bref… Vous êtes pris(e) d’une furieuse envie de lire les CGU de tous ces services que vous utilisez pour collecter vos data en OSINT ? 

 

Puis aussitôt après, pris(e) par une envie irrépressible de creuser l’aspect juridique de ce problème tout à fait particulier, l’équipe de la Défense (encore) vous propose de vous documenter en bande dessinée…

Vous pouvez, pour cela, cliquer sur ce lien ou sur l’image (je viens d’apprendre à le faire).

 

Je n’ai plus rien à ajouter, sauf à souscrire aux propos du bon docteur ci-dessous (lui, je l’adore !).


La suite ? oui, il y aura une suite...

Il vous faudra attendre jusqu’au 16 mars pour l’épisode 4

Si vous cliquez avant sur l’image, vous aurez une jolie redirection 404.


Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !

Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien qui vous intéresse !!!

« 5 Terres (Les) » première série complète en 6 tomes par « Lewelyn » (David Chauvel, Andoryss et Patrick Wong) et Jérome Lereculey © éditions Delcourt 2019-2022 – une des plus belles séries en BD avec des animaux humanisés (et une intrigue diabolique)

« Arctica » 12 tomes (dans lesquels ça bastone fort) par Daniel Pecqueur et Boyan Kovačević © éditions Delcourt 2007-2022

« Au-delà des merveilles » série complète en 3 tomes par Yohann « Wyllow » Puaud © éditions Clair de Lune 2004-2022 : c’est « Wyllow » qui m’a fait aimer la réforme du droit des contrat en 2016 avec un univers visuel tout à fait délicieux

« Badlands » série complète (et super sympa) en 3 tomes par Eric Corbeyran et Piotr Kowalski © éditions Soleil 2014-2018

« Carmen mc Callum » 18 tomes (tome 1 par Fred Duval + Olivier Vatine + Fred Blanchard + Stéphane « Gess » et tomes 2 et 3 par Fred Duval et Stéphane « Gess ») © éditions Delcourt 1995-2020 : je suis un inconditionnel de la série depuis 17 ans !

« Crépuscule des Dieux (Le) » série complète en 9 tomes par Nicolas Jarry et Jean-François « Djief » © éditions Soleil 2007-2016 : si vous aimez les légendes nordiques, vous ne serez pas déçu(e) !

« Dernier Troyen (Le) » série culte complète en 6 tomes + 1 intégrale par Valérie Mangin et Thierry Démarez © éditions Soleil 2004-2012

« Excalibur-Chroniques » (époustouflante) série complète en 5 tomes + 1 intégrale par Jean-Luc Istin et Alain Brion © éditions Soleil 2012-2019

« Hercule » série complète (et proprement exceptionnelle) en 3 tomes par Jean-David Morvan + Vivien « Looky » Chauvet + Olivier Thill © éditions Soleil 2012-2017

« Horologiom » série complète (dans un univers graphique aussi unique qu’attachant) en 7 tomes + intégrale en 2 tomes par Stéphane Lebeault © éditions Delcourt 1994-2021

« Neandertal » série complète en 3 tomes par Emmanuel Roudier © éditions Delcourt 2007-2011 : il fallait un vrai talent au dessin comme au scénario pour nous captiver dans une époque aussi lointaine…

« La nef des Fous » 12 tomes + intégrale en 2 tomes + hors série par Bernard « Turf » © éditions Delcourt 1993-2023 – de la pure fantaisie en BD dans un monde de fous !

« Odin » série complète en 2 tomes par Nicolas Jarry et Erwan Seure-Le Bihan © éditions Soleil 2010-2012 : c’est puissant, violent, dramatique : j’ai adoré !!!

« Oeil de la Nuit (L’) » série complète en 3 tomes par Serge Lehman et Stéphane « Gess » © éditions Delcourt 2015-2016 – un véritable chef d’oeuvre par deux génies de la BD !

« Olympus Mons » première série complète en 7 tomes par Christophe Bec (encore lui !) et Stefano Raffaele © éditions Soleil 2017-2022 – juste génial et captivant

« portes de Shamballah (Les) » série complète en 4 tomes par Mazuer + Romano + Taranzano © éditions Clair de Lune 2007-2016 : ça, c’est du complot ! 

« Serpent et la Lance (Le) » série en cours avec déjà 2 tomes publiés par Hub © éditions Delcourt 2019 – 2021 : bienvenu dans l’Empire aztèque en 1454 (c’est une merveille graphique, en plus d’une intrigue captivante)

« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018. A cheval et vive l’Empereur ! 

« Sur les terres d’Horus » série (tout à fait remarquable) complète en 8 tomes par Isabelle Dethan © éditions Delcourt 2001-2015

« Ténèbres » série complète en 5 tomes par Christophe Bec et Giuseppe « Iko » © éditions Soleil 2009-2018  : de la pure Heroic Fantasy avec des dragons terrifiants

« Universal War One » série complète en 6 tomes (absolument remarquables) par Denis Bajram © éditions Soleil 1998-2006 

« Yiu Premières missions » série complète en 7 tomes qui déchirent + intégrale en 2 tomes par Thierry « Téhy » + Jeanne « JM Vee » + Vincent « Vax » © éditions Soleil 2003-2010

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ