Par un arrêt en date du 6 février 2013, la Cour d’appel de Versailles a relaxé la société EDF, poursuivie dans l’affaire du piratage informatique de l’association Greenpeace. Depuis quelques années, de nouvelles formes de criminalité, commises par l’intermédiaire d’internet, ont vu le jour.
Certaines d’entre elles sont particulièrement redoutées par les organismes, qu’ils soient publics ou privés : tel est le cas du piratage informatique. Plus communément qualifié « d’intrusion dans un système informatique », cette infraction est réprimée à l’article 323-1 du Code pénal. Cet article dispose que : « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 € d’amende ».

Les affaires de piratage informatique font souvent l’objet de l’actualité, telle l’affaire Greenpeace qui a connu un nouveau rebondissement le 6 février 2013.

En l’espèce, un responsable sécurité d’EDF avait conclu au profit de son employeur, la société EDF, un contrat avec une société d’intelligence économique. L’objet de ce contrat était la veille stratégique de l’association Greenpeace et de ses activités anti-nucléaires.

Cette société d’intelligence économique a, pour procéder à cette veille, embauché un « hacker » installé à l’étranger afin qu’il surveille les ordinateurs de l’association écologiste et la messagerie électronique du directeur de programme.

L’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication a découvert que le système informatique de Greenpeace avait été piraté.

Suite aux diverses investigations effectuées, la société EDF ainsi que certains de ses employés ont été renvoyés devant le Tribunal correctionnel.

Par un jugement en date du 10 novembre 2011, le responsable sécurité, un employé chargé de mission et la société Electricité De France ont été condamnés pour complicité d’accès frauduleux dans un système de traitement automatisé de données, aggravée par l’utilisation d’un moyen de cryptologie ; et pour recel de bien provenant du délit d’accès frauduleux dans un système de traitement automatisé de données.

Après qu’il ait interjeté appel de la décision, la Cour d’appel a infirmé partiellement le jugement de première instance. Si elle maintient la condamnation de l’employé chargé de mission, elle relaxe la société EDF et son responsable des chefs de complicité et de recel.

Elle motive sa décision en retenant que le chargé de mission de la sécurité du parc nucléaire « avait acquis en matière d‘intelligence économique, depuis son entrée chez EDF, une compétence et une expérience spécifiques ; que cette situation et la confiance dont il bénéficiait ont sans nul doute contribué à la commission de tels faits en « solo ».

A contrario, les magistrats retiennent, concernant le supérieur hiérarchique de l‘employé condamné, qu’ « il n’est pas rapporté la preuve qu’en sa qualité de responsable de la mission sécurité d’EDF il aurait assisté ou aidé par un acte positif quelconque, la réalisation de procédés illégaux en leur donnant des instructions à cet effet. »

La Cour ajoute qu’ « il n’est pas non plus rapporté qu’après accomplissement de ces agissements illégaux, il en ait eu connaissance et les aient recelés malgré leur caractère illicite et plus spécialement sachant qu’ls étaient le produit d’intrusion frauduleuse dans un système de traitement automatisé de données aggravées par l’utilisation d’un moyen de cryptologie. »

De ces constatations, elle conclut que le supérieur hiérarchique n’est pas responsable pénalement pour les faits de piratage informatique. La relaxe du responsable engendre l’absence de responsabilité pénale de la société EDF.

En effet, conformément à l’article 121-2 du Code pénal, la responsabilité pénale d’une personne morale peut être engagée seulement si les infractions sont commises pour son compte, par ses organes ou ses représentants.

La jurisprudence est intervenue à plusieurs reprises sur ce point pour préciser les modalités de mise en œuvre de la responsabilité pénale des personnes morales.

La Cour de cassation a eu l’occasion de préciser que la personne morale n’est pénalement responsable que si les agissements fautifs peuvent être imputés à ses organes ou ses représentants qui sont nécessairement des personnes physiques (Cass. Crim, 18 janvier 2000 et Cass. Crim, 27 avril 2011).

Elle a, également, considéré que ce représentant peut être toute personne titulaire d’une délégation de pouvoirs, pourvue de la compétence, de l’autorité et des moyens nécessaires à l’exécution de sa mission. (Cass. Crim 30 mai 2000).

Dans le cas présent, seul le responsable de la sécurité pouvait engager la responsabilité pénale de la personne morale en ce que seul celui-ci pouvait être considéré comme un représentant de la société.
En le relaxant des chefs de complicité d’accès frauduleux dans un système de traitement automatisé de données et de recel de bien provenant du délit d’accès frauduleux dans un système de traitement automatisé de données, la société EDF ne pouvait, de facto, qu’être relaxée.

Cette décision, parfaitement fondée juridiquement, ne peut qu’être approuvée. Elle est d’autant plus satisfaisante qu’elle se fonde directement sur l’article 323-1 du Code pénal, délit spécifique liée aux nouvelles technologies, pour sanctionner les actes délictueux de l‘espèce. En effet, cette disposition doit être préférée en toutes circonstances et ne doit pas être écartée au profit d’infractions plus communes, telles que le vol et l’abus de confiance (pour une illustration T. Corr. Versailles, Valéo, 18 décembre 2007, n°0511965021),

Outre l‘application conjuguée des dispositions relatives à la responsabilité pénale des personnes morales et du délit de piratage informatique, cet arrêt met en exergue la facilité déconcertante avec laquelle les « hackers » parviennent à s‘introduire dans le système informatique d‘autrui. Le patrimoine immatériel et informationnel de ces personnes, qu’elles soient physiques ou morales, apparaît particulièrement vulnérable.

Si la répression peut permettre de lutter contre la cybercriminalité, elle n’apparaît pas toujours comme un moyen dissuasif et efficient pour lutter contre les intrusions et la captation des informations. Dans le domaine des nouvelles technologies plus que dans n’importe quel autre domaine, se posent de nombreuses difficultés pour endiguer ce phénomène. Notamment, l’universalisme d’internet conjugué à la recherche délicate de preuves, sont des obstacles à la répression des actes délictueux commis par l’intermédiaire des nouvelles technologies.

Aussi, on ne peut que recommander aux individus de redoubler de vigilance et d’agir en amont, en prenant toutes les précautions nécessaires pour prévenir ces atteintes.

{{Antoine Cheron ACBM Avocats }} [->acheron@acbm-avocats.com]