Google a beau le nier la plupart du temps, les actions de Negative SEO ne sont pas rares sur le Web à l'heure actuelle et certaines d'entre elles portent leur fruit en aboutissant à une chute de visibilité du site visé dans les résultats de recherche de Google. Quels sont les réflexes juridiques à adopter si ce type de mésaventure vous arrive ? Réponse...
De plus en plus de sites, notamment marchands, connaissent des attaques SEO de la part de concurrents et/ou de hackers. Les effets de ces attaques peuvent être désastreux dans la mesure où la réputation de la société est directement impactée. Les moteurs de recherche vont interpréter les attaques comme de l'optimisation illicite / illégitime, sanctionner le site dans son référencement et engendrer une baisse drastique des revenus tirés de son exploitation. La réponse doit être forte, immédiate et formalisée avec des conseils techniques de la part d'experts SEO. La réplique juridique doit également être forte et étoffée afin d'être crédible notamment auprès des moteurs et le cas échéant des assurances.
L'intérêt d'une réponse juridique
Il existe en réalité de multiples motivations, intérêts, à une action juridique en cas d'attaque de Negative SEO. La plus évidente, est celle de la punition de l'acte en lui-même. A ce titre, il est intéressant de souligner qu'une action pénale est, philosophiquement, une action de l'Etat, de la collectivité contre un individu ayant violé une loi d'ordre pénal, déséquilibrant ainsi l'ordre social. Derrière ce principe profond se trouve une action qui a vocation à mobiliser la force publique aux fins d'enquêter puis de sanctionner (au nom du peuple français).
La lettre Recherche et Référencement est le meilleur endroit pour connaitre les différentes techniques et mécanismes mis en œuvre dans le cadre d'une attaque SEO et/ou de negative SEO. Ces techniques ont vocation à ce qu'un ou plusieurs sites commerçants ne soient plus ou très mal référencés suite à une pénalité Google (et autres moteurs) de telle manière que le trafic de ces sites chute et qu'en conséquence, le chiffre d'affaires s'écroule. Il s'agit donc d'attaques ayant vocation à mettre en péril des sociétés et des commerces en ligne. Comme le piratage informatique, il y a autant de techniques de negative SEO que de hackers. A titre d'exemple, on pourrait souligner:
- Le « duplicate content » (reproduction du contenu) qui consiste à reproduire le contenu du site (texte, image, logo, vidéo, etc…) sur des sites déjà extrêmement mal référencés par Google, de telle manière que Google (et autres moteurs) estimera que le contenu du site doit, en réalité, être mal référencé. Cette technique est extrêmement préjudiciable car il est ardu et long de « remonter la pente » et de retrouver un référencement normal, ce qui se traduit souvent en pertes importantes de chiffre d'affaires ;
- Le « negative branding » (utilisation négative d'une marque) qui consiste à utiliser la marque d'un concurrent sur Internet pour nuire à sa réputation ;
- La création de milliers / milliions de « backlinks » (liens hypertexte vers le site de la victime) dans des conditions négatives pour le référencement de la victime ;
- Le dépôt de virus (malware notamment) sur les sites d'un concurrent (ou anciens sites qui ne sont plus exploités) ;
- Pirater les sites de la victime pour changer le contenu (changement qui aura un impact très négatif sur le référencement), comme, par exemple, insérer du contenu illicite (visible par les Internautes) ou bien une balise (non visible par un internaute, mais lu par les robots de Google) indiquant au robot Google que le site est un site illicite ou un site pirate ;
- Des plaintes sans fondement auprès des moteurs de recherche et autres acteurs privés, qui privent, pendant plusieurs mois, la victime d'un référencement ;
- Des faux avis de consommateurs dénigrant les sites de la victime ;
- Le faux trafic qui consiste à fausser toutes les statistiques d'analyse des trafics des sites (spam referer) ;
- Le spam du service / support client qui a vocation à le noyer ;
- Etc.
Comme les attaques informatiques, les moyens mis en œuvre peuvent aller d'un simple hacker devant son écran « s'amusant » à une équipe entière, formée d'ingénieurs et ayant une stratégie précise, souvent définie par un commanditaire (qui est très souvent un concurrent).
Lors d'une attaque SEO, il existe en réalité de multiples motivations, intérêts, à une action juridique. La plus évidente est celle de la punition de l'acte en lui-même. A ce titre, il est intéressant de souligner qu'une action pénale est, philosophiquement, une action répressive de l'Etat, de la collectivité contre un individu ayant violé une loi d'ordre pénal, déséquilibrant ainsi l'ordre social. Derrière ce principe profond se trouve une action qui a vocation à mobiliser la force publique aux fins d'enquêter puis de sanctionner (au nom du peuple français).
Si la recherche de la sanction peut être secondaire pour la victime, le fait de vouloir savoir qui est derrière ces manœuvres peut également être une motivation sérieuse. A ce titre, l'intérêt de l'action pénale réside principalement dans l'enquête policière qui est menée. Certains services sont particulièrement compétents, composés principalement d'informaticiens chevronnés et ayant de l'expérience dans le piratage en général (comme la BEFTI sur l'Ile-de-France). Si une enquête est effectivement déclenchée, cette recherche permet de rassembler des preuves précises, tangibles et recevables en justice (ce qui n'est pas si fréquent, la plupart des preuves ne sont pas constituées de manière parfaitement légale).
Si la recherche de l'identité du coupable est secondaire, il peut être utile de lancer certaines procédures judiciaires pour démontrer l'ampleur de la fraude / attaque aux tiers, dont notamment et principalement les moteurs et/ou les assurances. En effet, il est fréquent que les moteurs de recherche interprètent les attaques SEO comme des tentatives d'optimisation illicites ou illégales et pénalisent / déréférencent voire sortent de l'index (blacklistent) les sites concernés. Dans ce cas, les actions purement techniques comme la demande de désaveu de lien auprès de Google dans la Search Console peuvent se révéler inutiles si de plus amples actions, beaucoup plus documentées, n'ont pas été menées. Il est toujours important de se rappeler que les sociétés américaines sont (malheureusement) très judiciarisées et donc que les aspects juridiques représentent une part extraordinairement importante pour elles. Dans la grande majorité des entreprises américaines, y compris Google ou Microsoft, le Directeur Juridique (General Counsel en anglais) est toujours le n°2 de la société. Il est donc important de conserver à l'esprit que, lorsqu'on s'adresse à une entreprise américaine sur des thématiques qui ne sont pas balisées / encadrées par des procédures internes précises, un juriste devra toujours valider le point. En d'autres termes, en cas d'attaque SEO, une demande auprès de Google tendant à la réévaluation du référencement devra, pour avoir plus de chances d'être reçue, être accompagnée d'un argumentaire juridique plus ou moins documenté. C'est à ce titre qu'il est opportun, en cas d'attaque d'ampleur et/ou d'attaque ayant eu de graves conséquences SEO, de ne pas négliger les aspects juridiques.
Les assurances peuvent également exiger des actions judiciaires préalables pour la mise en œuvre de leur couverture, en complément de la déclaration initiale de sinistre.
Enfin, il existe toujours des raisons supplémentaires à une éventuelle action judiciaire en cas d'attaque SEO, par exemple pour démontrer à la maison-mère l'ampleur de l'attaque.
Les actions juridiques envisageables
- Action pénale
En l'absence d'identité d'un coupable, seule l'action pénale est envisageable car elle induit une recherche d'identité. Sur le terrain pénal, plusieurs fondements juridiques peuvent être envisagés.
- Atteintes aux systèmes de traitement automatisés de données
Les articles 323-1 et suivants du Code pénal incriminent les atteintes aux systèmes de traitement automatisés de données. A ce titre,
- le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d'emprisonnement et de 100 000 € d'amende.
- le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
- le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 150 000 € d'amende.
Dans le cas d'attaques SEO, les actions ont vocation à fausser le fonctionnement normal des moteurs de recherche. L'objectif de ces manœuvres est de fausser le fonctionnement du système de traitement automatisé de données du moteur de recherche, au détriment de la victime.
- Escroquerie
L'article 313-1 du code pénal précise que l'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L'escroquerie est punie de cinq ans d'emprisonnement et de 375 000 euros d'amende.
- Contrefaçon de marque et de droit d'auteur
Les articles L.335-2 et suivants du Code de la Propriété Intellectuelle prévoient le délit de contrefaçon de droit d'auteur (applicable au contenu reproduit illicitement). A ce titre, est condamné de 3 ans d'emprisonnement et 300.000€ d'amende toute édition d'écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit. Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une œuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi.
De même, l'article L.716-10 du Code de la Propriété Intellectuelle prévoit une amende de 3 ans d'emprisonnement et de 300.000€ d'amende, le fait pour toute personne (…) de reproduire, d'imiter, d'utiliser, d'apposer, de supprimer, de modifier une marque, une marque collective ou une marque collective de certification en violation des droits conférés par son enregistrement et des interdictions qui découlent de celui-ci.
Dans le cadre d'attaques SEO, et notamment dans le cas de duplicate content, il est fréquent de reprendre des éléments des sites originaux, constituant ainsi autant de contrefaçons de contenus.
Une plainte pénale comprendra également des fondements juridiques supplémentaires propres à l'attaque concernée et propres à la victime.
Une fois la plainte déposée et dûment enregistrée, il est extrêmement fréquent qu'elle ne soit pas suivie d'effets. En effet, la nouvelle politique pénale de l'Etat, depuis 2 / 3 ans, est de ne pas poursuivre sauf cas rare (crime ou délit propre aux propos racistes, homophobes, antisémites, etc…). Il convient donc, 3 mois après le dépôt de plainte, de la « confirmer » et de se constituer partie civile. La constitution de partie civile a vocation à « contraindre » l'Etat de poursuivre, c'est-à-dire d'ouvrir l'enquête en contrepartie d'une consignation (de quelques milliers d'euros). Une fois l'enquête ouverte, rien n'impose en pratique à l'Etat d'aller vite, de faire des auditions et autres perquisitions…
In fine, compte tenu des capacités matérielles et malgré toute la bonne volonté des forces de police / de gendarmerie, il est illusoire de penser qu'une enquête sérieuse sera menée et que la victime verra l'auteur de l'attaque sanctionnée. Il est plus honnête de préciser qu'une plainte pénale a davantage vocation à documenter une action administrative concomitante (par exemple auprès de son assurance) qu'à aboutier à un résultat devant un tribunal correctionnel…
D'un point de vue plus administratif, une fois la plainte enregistrée et la consignation payée, il est intéressant, voire très recommandé, de communiquer (dans la limite de la loi) les éléments de la plainte aux moteurs pour leur démontrer la bonne foi de la victime et l'ampleur de l'attaque. A ce même titre, les assurances demeurent généralement immobiles tant qu'elles ne reçoivent pas de telle documentation.
- Action civile
A l'inverse de l'action pénale, une action civile est définie entre deux personnes avec un juge qui a vocation à jouer le rôle d'arbitre. Cette action n'est évidemment possible que lorsque l'identité de l'auteur de l'attaque est connue, que les preuves (recevables) de ses fautes sont rassemblées et que le préjudice de la victime est établi (et documenté).
En effet, les actions civiles en cas d'attaques SEO se baseront principalement sur l'article 1240 du code civil (anciennement 1382 Civ) qui précise que « tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ».
Pour rassembler ces preuves (sur l'identité et les attaques SEO), il est important de s'adjoindre les services d'un expert SEO qui pourra documenter l'ensemble des thématiques concernées. Le préjudice sera, quant à lui, établi avec l'aide de l'expert-comptable qui pourra démontrer l'ampleur des dégâts. L'avocat aura, en phase préalable, le rôle de maitre d'œuvre qui coordonne la préparation avant de passer à la phase contentieuse.
Quand l'auteur des faits est connu et que les preuves sont rassemblées, il est bien plus intéressant (au sens business) de le poursuivre sur le terrain civil qui permet de voir son préjudice dédommagé que sur le terrain pénal qui permet une punition au nom du peuple français.
En conséquence, si les actions civiles peuvent être financièrement intéressantes, elles restent rares du fait qu'il est inhabituel d'identifier, de manière certaine et documentée, l'auteur d'une attaque. L'action pénale est alors indispensable, non pas pour pouvoir lancer la machine de la sanction pénale par un tribunal correctionnel, mais bien pour documenter une procédure administrative auprès des moteurs de recherche ou auprès des assureurs.
Alexandre Diehl
Avocat à la cour, cabinet Lawint (http://www.lawint.com/)