Il existe là une volonté de restreindre l’accès à des données sensibles en rapport avec la sécurité de l’Etat. Mais plus généralement, on constate aujourd’hui, une tendance très affirmée visant à mieux protéger les droits de propriété intellectuelle portant sur les biens immatériels des entreprises ou les secrets d’affaires.
La proposition de directive de l’UE du 28 novembre 2013 relative à la protection des secrets d’affaires contre l’obtention, l’utilisation et la divulgation illicites en est un exemple. La loi Macron contenait initialement elle-aussi un aspect sur la pénalisation de la divulgation des secrets d’affaires, ce qui n’avait pas manqué d’indigner les journalistes lanceurs d’alertes qui y voyaient une atteinte au droit à l’information du citoyen.
Lorsqu’elles ne sont pas rendues publiques, les données sont la propriété exclusive de l’établissement public et l’intrusion dans le système informatique de cet établissement afin de les appréhender constitue une infraction pénale.
La Chambre criminelle vient de rendre à ce sujet une intéressante décision impliquant l’ANSES, établissement public administratif, chargé de veiller à la sécurité sanitaire de l’alimentation, de l’environnement et du travail (Cass. crim., 20 mai 2015, n° 14-81.336).
La décision, destinée au bulletin, nous rappelle que l’accès et le maintien dans un STAD (système de traitement automatisé de données) peuvent constituer deux infractions distinctives. Par ailleurs, la Cour considère pour la première fois que le téléchargement de données informatiques et leur fixation sur des supports, à l’insu de leur propriétaire, constituent une infraction relevant de la qualification de vol. La question de la pertinence de cette qualification est soulevée.
Les faits
Un journaliste spécialisé en sécurité informatique, pour les besoins de son article, s’était introduit dans le système de traitement automatisé des données de l’ANSES afin d’y télécharger des milliers de pages portant sur des informations de santé publique.
Plus précisément, grâce à un lien indexé sur Google, il est parvenu à accéder et à exfiltrer des données confidentielles figurant sur l’Extranet de l’ANSES. Le journaliste avait téléchargé plus de 8000 fichiers, sous le pseudonyme de Bluetouff, vers une adresse IP d’un VPN appartenant à une société basée au Panama qu’il a créée pour les besoins de ses activités habituelles.
L’ANSES s’étant aperçue de la circulation sur Internet de certains de ses documents confidentiels a saisi les autorités compétentes. L’enquête permettra d’identifier et de placer en garde à vue le journaliste en cause, lequel avouera qu’en remontant l’arborescence du site qu’il parcourait, il s’était aperçu que l’accès à l’Extranet était protégé par un code. L’enquête démontrera par ailleurs que le système de protection informatique mis en place par l’ANSES était défaillant.
Les premières décisions relatives à cette affaire
Le TGI de Créteil avait été saisi des infractions d’accès et de maintien dans le système d’information de l’ANSES ainsi que de l’infraction de vol de données. Ces délits sont prévus et récriminés par les articles 323-1, 311-1et suivants du Code pénal. Le tribunal a relaxé le prévenu de tous les chefs d’accusation (TGI de Créteil, 11e ch. correctionnelle, 23 avril 2013).
Les juges ont considéré que la défaillance du système de protection de l’ANSES avait permis au journaliste d’accéder licitement aux données stockées sur le serveur. Cependant le jugement a ajouté qu’il n’était pas nécessaire pour la caractérisation de l’infraction que l’accès au système de traitement (STAD) soit limité par un dispositif de protection. Il suffit précise-t-il que le maître du système, c’est-à-dire l’ANSES, ait clairement manifesté son intention de restreindre l’accès aux données.
Or dans cette affaire le TGI a constaté que la défaillance du système de protection n’avait été palliée par aucune autre manifestation de volonté de la part de l’ANSES de limiter l’accès à son STAD. Les données devaient par conséquent être considérées comme librement accessibles.
A propos du vol de données le TGI va considérer qu’en l’absence de toute soustraction matérielle de documents, le simple téléchargement de fichiers sur plusieurs supports ne peut constituer l’élément matériel de vol.
La cour d’appel suit le TGI en prononçant la relaxe du prévenu au regard de l’infraction d’accès frauduleux dans un STAD. En revanche, concernant le maintien frauduleux dans le STAD et le vol de données, la cour d’appel va réformer le jugement et condamner le prévenu à 3000 euros d’amende (CA de Paris, 5 février 2014, n° 13/04833).
La cour retient en effet s’agissant du maintien frauduleux dans le STAD que le prévenu a admis avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil où il avait « constaté la présence de contrôle d’accès et la nécessité d’une authentification par identifiant et mot de passe », ce qui démontre « qu’il avait donc conscience de son maintien irrégulier dans le STAD visité ».
En ce qui concerne l’infraction de vol de fichiers, la cour constate que le prévenu avait procédé à des téléchargements de données à l’évidence protégées et qu’il a effectué des copies de fichiers inaccessibles au public à des fins personnelles, à l’insu de leur propriétaire.
Les arguments au pourvoi en cassation
Dans son pourvoi en cassation, le prévenu soutenait le caractère contradictoire de la décision d’appel qui pour prononcer une condamnation a retenu l’infraction de maintien frauduleux dans un STAD tout en excluant celle d’accès frauduleux dans le système de l’ANSES.
Ainsi, l’un des moyens faisait valoir une violation de l’article 323-1 du CP en ce que « l’internaute qui utilise un logiciel grand public pour pénétrer dans un système non protégé » ne commet pas le délit de maintien frauduleux dans un STAD, notamment lorsqu’il est admis qu’il a accédé librement aux données non protégées.
Un autre moyen soutenait que la seule découverte par le prévenu d’un code d’accès sur la page d’accueil de l’Extranet était insuffisant à établir que ce dernier avait conscience de son maintien frauduleux dans le système de l’ANSES.
Enfin le pourvoi invoquait également le fait qu’en l’absence de dispositif de protection des données, le maître du système doit manifester clairement par une mise en garde spéciale, sa volonté d’interdire ou de restreindre l’accès aux données. La cour d’appel qui a déduit de la seule présence d’un code d’accès sur la page d’accueil du site que le prévenu s’était irrégulièrement maintenu dans le système, a violé l’article 323-1 du CP.
Concernant l’infraction de vol de fichiers informatiques, en l’espèce le téléchargement puis le transfert sur des supports des données en cause, le pourvoi soulevé substantiellement qu’en raison de l’absence de dépossession quelconque de l’ANSES, l’élément matériel de l’infraction de vol ne pouvait être constitué.
Les questions juridiques essentielles posées à la Cour de cassation portaient d’une part sur l’existence de l’accès et du maintien frauduleux dans un STAD et d’autre part, sur la qualification du vol de données informatiques.
La solution retenue par la Chambre criminelle
La Cour rejette le pourvoi au motif que le prévenu après s’être « introduit sur le site extranet de l’ANSES à la suite d’une défaillance technique », « s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ».
1/ Le délit d’accès frauduleux dans le STAD de l’ANSES n’est pas caractérisé
L’accès ou le maintien frauduleux dans un STAD sont des délits inscrits à l’article 323-1 du Code pénal, lequel prévoit que "le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de « deux ans » d’emprisonnement et de « 30.000 € » d’amende."
On peut le constater, ce texte n’impose pas au maître du système de protéger par un dispositif de sécurité l’accès à son STAD. Dès lors s’est posée la question aux tribunaux de savoir comment caractériser l’élément moral de l’infraction d’accès dans un STAD.
En principe, l’infraction est consommée à partir du moment où la personne réalise qu’elle accède illégalement dans un STAD. Cette réponse proposée par les juges du fond a connu des variations. Mais en approuvant fermement la décision rendue en 2014 par la cour d’appel de Paris, la Chambre criminelle souhaite mettre un terme aux incertitudes jurisprudentielles.
Dans un premier temps en effet, les tribunaux considéraient que même en l’absence d’un système de protection au STAD, l’infraction d’accès frauduleux pouvait être constituée dès lors que le maître du système avait manifesté son intention d’en limiter l’accès, de manière informationnelle ou autre, aux seules personnes autorisées (CA Paris, 5 avril 1994, D. 1994, inf. rap. page 130).
Puis, la même cour d’appel avait censuré une décision du TGI en relaxant un journaliste qui s’était introduit dans la base de données de la société Tati grâce à l’utilisation des fonctionnalités du navigateur grand public Netscape. En l’espèce, peu importe que le journaliste ait pris conscience d’accéder illicitement à un STAD, dès lors que l’accès était rendu possible par la seule utilisation d’un navigateur grand public. L’absence de protection du système avait rendu les données personnelles librement accessibles et leur avait fait perdre leur caractère confidentiel (CA Paris, 30 oct. 2002, n° 02-04867, affaire KITETOA Antoine c/ Min. public).
Enfin, dans une décision de 2009, la CA de Paris qui statuait sur une demande d’annulation d’une ordonnance de référé, avait retenu la culpabilité d’un journaliste en informatique qui s’était introduit, grâce à un logiciel grand public, dans le serveur contenant des données sensibles de la société LFP. La cour précise qu’en l’absence d’un système de protection, il suffit que le maître du système ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées.
En un mot, bien que la protection était défaillante et l’accès rendu possible grâce à un moyen informatique grand public, l’accès par le journaliste au système informatisé restait néanmoins frauduleux (CA Paris, 9 sept. 2009 B.c / Forever Living Product. France.).
Dans la présente affaire impliquant l’ANSES, la cour d’appel de Paris a, comme le TGI de Créteil, relaxé le prévenu du chef d’accès frauduleux dans un STAD. Mais contrairement au 1er juge, la cour d’appel en l’espèce ne s’embarrasse plus de la question de savoir si le maître du système avait ou non manifesté son intention de limiter l’accès au STAD, ni de celle concernant l’utilisation par le prévenu du moteur de recherche Google pour accéder au STAD.
La seule défaillance technique du système de protection a permis à la cour d’appel de conclure à la relaxe du prévenu en ce qui concerne l’accès au STAD. C’est cette solution qu’adopte la Chambre criminelle lorsqu’elle énonce que le journaliste « s’est introduit sur le site Extranet de l’ANSES à la suite d’une défaillance technique… ».
Faut-il en conclure que toute qualification d’accès frauduleux dans un STAD sera désormais écartée en présence d’une simple défaillance technique du dispositif de protection mis en place ? On peut répondre par l’affirmative à cette question dès lors qu’aucun autre système aura été mis en place pour informer l’utilisateur qu’il est en présence d’un accès réservé ainsi que du caractère protégé et confidentiel des données.
2/ Le maintien frauduleux dans le STAD de l’ANSES existe en l’espèce
La Chambre criminelle approuve les juges d’appel d’avoir caractérisé à l’encontre du prévenu l’infraction de maintien frauduleux dans le STAD de l’ANSES. L’un des moyens au pourvoi soulevait la contradiction entre d’un côté la relaxation du prévenu du chef d’accès frauduleux et de l’autre côté son incrimination pour le maintien frauduleux dans un STAD.
Or, selon la Cour de cassation il n’existe aucune contradiction à prononcer l’infraction de maintien frauduleux sans celle d’accès frauduleux. La Cour a considéré en effet que le prévenu qui a licitement accédé au STAD « s’est maintenu dans le système après avoir découvert que celui-ci était protégé ».
Cette conception du délit de maintien frauduleux dans un STAD semble en conformité avec le texte de l’article 323-1 du C.P qui en fait une infraction indépendante de l’accès frauduleux grâce à la conjonction « ou » placée entre les deux infractions pour signifier l’alternative.
D’anciennes décisions de fond avaient déjà statué en faveur de cette solution, selon laquelle, le prévenu qui ayant régulièrement pénétré dans un STAD est coupable de s’y maintenir frauduleusement, sans droit et en pleine connaissance de cause (CA de Paris 5 avril 1994, D. 1994. IR 130).
Grâce à cette indépendance ou alternative entre les deux infractions, le prévenu qui a pu profiter de la défaillance du système de protection pour accéder licitement au STAD, pourra toujours être poursuivi du chef de maintien frauduleux dès lors qu’il a découvert la présence de contrôle d’accès au STAD.
Cependant, il y aura toujours nécessité pour le juge à vérifier que le prévenu avait connaissance qu’il se maintenait frauduleusement dans le système, vérification qui sera parfois difficile à effectuer tant les systèmes extranet sont variés et sont composés parfois d’un accès libre à certaines données et d’un accès nécessitant une authentification pour d’autres données.
3/ Le téléchargement de données est un vol
La Chambre criminelle approuve la cour d’appel d’avoir retenu la qualification de vol à propos de fichiers informatiques. Elle souligne que le prévenu « a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ».
Il serait instructif de comprendre comment la Chambre criminelle, spécialisée dans les questions de droit pénal et donc de l’infraction de vol, a été amenée à qualifier de vol un téléchargement de données informatiques.
Cette qualification avait été écartée par le TGI de Créteil au motif que les conditions requises par l’article 311-1 du CP n’étaient pas réunies. Selon les premiers juges, cet article, en énonçant que le vol est la soustraction frauduleuse de la chose d’autrui, ne convient pas au téléchargement illégal de données informatiques puisqu’aucune dépossession n’est réalisée au détriment du propriétaire légitime.
Ce raisonnement du TGI était parfaitement pertinent dans la mesure où les données informatiques si elles peuvent constituer une valeur protégeable n’en restent pas moins des « choses » immatérielles. A l’instar des idées, elles sont intangibles et la main de l’homme ne peut pas les appréhender pour en déposséder physiquement leur propriétaire.
Toutefois, le jugement du TGI donne l’impression que les juges n’ont pas souhaité aller plus avant dans l’analyse des faits, en s’interrogeant par exemple sur la perte de valeur des données une fois téléchargées et diffusées frauduleusement à des tiers. En d’autres termes, ils ont considéré que le vol de données était impossible dès lors que le support physique qui les contient, demeurait sous la mainmise de son propriétaire.
Or, s’il est effectivement inadéquat d’envisager que des données puissent être soustraites à leur propriétaire, pour la raison essentielle que cette propriété est difficilement vérifiable s’agissant d’idées ou « choses immatérielles », on peut faire remarquer néanmoins que la jurisprudence a connu une certaine évolution sur la question du téléchargement illégal de données appartenant à autrui.
On peut évoquer à ce sujet les décisions qui ont admis l’existence d’un abus de confiance de la part de l’employé ayant téléchargé illicitement des données confidentielles de son entreprise (Crim. 22 octobre 2014 - Thierry X… c/ Société Filhet Allard - n° 13-82.630). L’abus de confiance et le vol sont des infractions proches l’une de l’autre et il convenait donc d’instaurer une certaine cohérence dans la poursuite de ces deux infractions.
C’est semble-t-il pour se placer dans la lignée de cette jurisprudence que la cour d’appel de Paris et aujourd’hui la Chambre criminelle retiennent la qualification de vol pour le téléchargement de données informatiques à l’insu de leur propriétaire.
La Chambre criminelle évoque explicitement le terme de soustraction dans son attendu alors que le support, c’est-à-dire en l’espèce le serveur de l’ANSES n’a pas été appréhendé par le prévenu. Il aurait donc été plus juste en l’espèce d’évoquer le terme de reproduction de données informatiques, puisqu’en effet celles-ci ont été téléchargées par le prévenu sur un support personnel.
La circonstance selon laquelle le prévenu a diffusé auprès de tiers les données téléchargées peut avoir déterminé la Chambre criminelle à retenir la qualification de vol. La question reste en suspens de savoir si le téléchargement de données aurait permis à lui seul, sans la diffusion des données à d’autres personnes, de retenir la qualification de vol.
Pour terminer, il y a lieu de relever l’existence du nouvel article 323-3 du Code pénal récemment introduit par la loi du 13 novembre 2014 relative à la lutte contre le terrorisme. Cet article punit le fait « d’introduire frauduleusement des données dans un STAD, d’extraire, de détenir, de reproduire et de transmettre…les données qu’il contient ».
Ce texte semble plus adapté pour permettre à l’avenir à la Cour de cassation de sanctionner le vol de données informatiques. Le recours à l’article 311-1 consacré au vol sera donc rapidement remis en cause. Si le nouveau texte n’a pas trouvé à s’appliquer au cas d’espèce c’est en raison des peines plus sévères qu’il comporte, lesquelles ne peuvent pas rétroagir pour sanctionner des faits antérieurs [1].
