La défaillance technique d’un STAD (système de traitement automatisé de données) est-elle une circonstance suffisante pour écarter les délits d’accès et/ou de maintien frauduleux dans un système : que nous enseigne l’affaire « Bluetouff » ?

L’arrêt de la Cour d’appel de Paris en date du 5 février 2014 dit « affaire Bluetouff » vient enrichir un mouvement de jurisprudence, né il y a une vingtaine d’années et qui reste fluctuant sur les délits d’accès et/ou de maintien frauduleux dans un STAD (système de traitement automatisé de données) visés par les articles 323-1 et 323-6 du Code pénal et sur le délit de vol de fichiers informatiques visé par les articles 311-1, 311-3 du Code pénal.

1 / S’agissant des délits d’accès et/ou de maintien frauduleux dans un STAD

À l’instar de tout délit pénal, il convient de rapporter la preuve d’un élément matériel (l’accès et/ou le maintien dans un STAD) et d’un élément intentionnel (la fraude, qui est constituée lorsque la personne a conscience que l’accès et/ou le maintien ne sont pas autorisés). C’est seulement lorsque ces conditions sont réunies que ces délits sont constitués.

À cela, s’ajoute un débat jurisprudentiel sur le fait de savoir si ces délits peuvent être constitués sur une base de données non sécurisée.

Ainsi, dans un arrêt en date du 5 avril 1994, la Cour d’appel de Paris a rejeté l’exigence d’une base de données sécurisée en considérant qu’ « il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées ».

Puis dans un arrêt en date du 30 octobre 2002 (Affaire Kitetoa), la Cour d’appel de Paris a considéré qu’ « il ne peut être reproché à un internaute d’accéder ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ».

Mais dans un arrêt en date du 9 septembre 2009, la Cour d’appel de Paris, à propos de l’accès à une base de données grâce à un logiciel grand public et sans identifiant, a affirmé cette fois que le fait d’accéder ou de se maintenir sans droit dans un système d’information constituait un trouble manifestement illicite et cela « alors même que l’accès aux données n’est pas limité par un dispositif de protection (...) Il suffit que le « maître du système » ait manifesté l’intention d’en restreindre l’accès aux seules personnes autorisées ».

Mais se pose alors la question de savoir comment le maître du système peut manifester son intention d’en restreindre l’accès.

Cet arrêt semble donner des indices en précisant que « ce n’est pas l’existence d’une faille de sécurité qui exclut la qualification d’accès frauduleux, c’est la recherche de ces failles (qui existent dans tous systèmes) pour pénétrer les systèmes qui conduisent à la qualification d’accès frauduleux ».

En outre, en l’espèce, il ressort du rapport d’expertise que l’accès n’a été possible que par des manipulations par un utilisateur averti et que le maitre du système ne permettait l’accès aux données litigieuses qu’à certaines personnes autorisées.

C’est ici la bonne ou mauvaise foi du prévenu qui sera apprécié, notamment au regard de son activité, de ses compétences en informatique, des mesures techniques de contournement utilisées.

L’arrêt bluetouff est particulièrement intéressant en ce qu’il s’inscrit dans la suite de ce mouvement de jurisprudence. Dans cette affaire, l’accès dans le STAD de l’ANSES était libre, sans aucune restriction (identification ou autres), depuis un logiciel grand public de navigation, en l’occurrence « Google », en raison d’une faille de sécurité.

La cour d’appel écarte le caractère frauduleux de l’accès dans le STAD de l’ANSES en considérant que c’est la défaillance technique du système, au demeurant non contestée par l’ANSES qui a permis l’accès dans ledit système.

En revanche, le caractère frauduleux du maintien dans le STAD de l’ANSES a été retenu compte tenu du fait que le prévenu a reconnu avoir remarqué qu’un code utilisateur et un mot de passe pouvaient être demandés pour accéder à certaines données. Ce faisant, la Cour a considéré qu’il avait conscience de son maintien irrégulier dans le système.

En définitive, il convient de retenir que le délit d’accès frauduleux dans un STAD est indépendant du délit de maintien frauduleux dans un STAD. En outre, les juridictions recherchent l’intention du prévenu tant dans son accès que dans son maintien dans le STAD pour ensuite déterminer s’il avait conscience du caractère irrégulier de son agissement.

2/ S’agissant du délit de vol de fichier informatique

Jusqu’à présent la notion de vol d’un élément incorporel tel que le vol d’informations n’avait pas été reconnue par les Tribunaux qui se fondent toujours sur le support matériel permettant de concrétiser le vol d’information.

Ainsi, dans deux arrêts de 1989, les arrêts Bourquin (Cass. crim., 12 janv. 1989 : Bull. crim. 1989, n° 14) et Antonielli (Cass. crim., 1er mars 1989 : Bull. crim. 1989, n° 100), la Cour de cassation a certes admis le vol du contenu informationnel de disquettes « durant le temps nécessaire à la reproduction des informations », ce qui supposait la soustraction temporaire des disquettes. Certains auteurs considèrent que l’on glisse du « vol soustraction » au « vol reproduction ».

Plus récemment, dans un arrêt du 4 mars 2008, la Cour de cassation sanctionne le fait de « subtiliser et de copier sur des supports matériels, les données et fichiers informatiques » (plans de base et de découpe) appartenant à autrui (Cass. crim., 4 mars 2008 : D. 2008, p. 2213, note St. Detraz ; Comm. com. électr. 2008, étude 25, par J. Huet).

Dans l’arrêt « Bluetouff », le Tribunal de grande instance de Créteil avait considéré qu’
« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». La Cour d’appel infirme le jugement sur ce point en considérant au contraire que le vol de fichiers est constitué du fait que le prévenu a effectué « des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ».

Il y a lieu d’observer que même si la Cour de cassation, saisie de cette affaire, devait casser l’arrêt de la Cour d’appel sur ce point, il aurait été possible de faire sanctionner la reproduction de données sur d’autres fondements juridiques que le vol.

Ainsi, un acte de contrefaçon se caractérise notamment par la reproduction, sans autorisation, d’un contenu protégé par un droit de propriété intellectuelle. Également, le producteur d’une base de données est protégé contre toute extraction et/ou réutilisation d’une partie quantitativement ou qualitativement substantielle d’une base de données.

D’ailleurs, dans un jugement en date du 18 septembre 2008, portant sur la reproduction de données issues d’un site Internet, le prévenu a été poursuivi pour délit d’accès et maintien frauduleux dans une STAD mais aussi pour délit de contrefaçon, délit d’extraction frauduleuse du contenu d’une base de données, pour délit de collecte de donnée à caractère personnel par moyen frauduleux. Certes, tous ces délits n’ont pas été considérés comme constitués faute de pouvoir en rapporter la preuve. Mais dans d’autres circonstances, ces fondements juridiques auraient pu être pertinents. (Tribunal de grande instance Paris, 31ème Ch, 18 sept. 2008, Editions Neressis c/ Arkadia, Stephane V.C.)

---

Sources :

« Bluetouff condamnée pour maintien frauduleux et vol de fichiers », site Internet « legalis.net », 10 février 2014 Revue Communication, commerce électronique n° 1, janvier 2014, comm. 11 « Condamnation pour piratage et mise à disposition d’un logiciel d’enregistrement de fichiers utilisés en streaming », Eric. A. Caprioli Revue de droit pénal n° 12, décembre 2013, chron. 11 « Un an de droit pénal des nouvelles technologies » (oct. 2012-oct. 2013), Crhonique par Agathe Lepage Revue Communication, commerce électronique n° 9, septembre 2013, comm. 96 « le caractère frauduleux d el’accès et du maintien dans un STAD non protégé », Eric. A. Caprioli Revue Communication, commerce électronique n° 11, novembre 2011, comm. 109 « Absence d’intention de nuire et requête automatisée et répétitive », Eric. A. Caprioli Revue Communication, commerce électronique n° 1, novembre 2009, comm. 10 « l’aspiration d’un site sanctionnée sur le fondement de la fraude informatique », Eric. A. Caprioli

Me Delphine BASTIEN Avocat au barreau de Paris Maître de conférences www.cabinetbastien.fr