Dans un arrêt en date du 20 mai 2015, la Chambre criminelle de la Cour de cassation a jugé que les dispositions de l’article 311-1 du Code pénal relative à la « soustraction frauduleuse d’autrui » s’appliquent en matière de transfert de fichiers informatiques.

Retour sur cet épilogue jurisprudentiel.

Au cours du mois d’août 2012, un internaute dont le pseudonyme est « Bluetouff » a réussi à accéder librement, via les fonctionnalités du moteur de recherche Google, à la base de données de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES).

Cet accès a été réalisé au moyen d’une requête spécifique aux termes de laquelle Bluetouff a interrogé le célèbre moteur de recherche grâce à plusieurs mots clés précis.

Toutefois, un tel accès n’a été possible que parce qu’une faille dans le système de sécurité du site internet de l’ANSES avait été détectée.

L’internaute Bluetouff en avait d’autant plus conscience qu’il a constaté que la connexion au système nécessitait une authentification et un mot de passe afin d’accéder aux fichiers convoités.

Par ce moyen, Bluetouff a téléchargé, et rendu accessible via son blog, plus de 7 Giga-octets de fichiers informatiques extraits de la base de données de l’ANSES.

C’est dans ce contexte que l’ANSES a déclenchée l’action publique en déposant plainte pour « intrusion dans un système informatique et vol de données informatiques ».

Au cours de l’instruction, Bluetouff a précisé aux enquêteurs que l’authentification et le mot de passe n’étaient pas immédiatement perceptibles par l’internaute puisque celui-ci n’a pu constater leur nécessité qu’après avoir parcouru l’arborescence des répertoires et accédé à la page d’accueil.

Un tel aveu a semble-t-il convaincu le tribunal correctionnel de Créteil lequel a jugé que Bluetouff pouvait « légitimement penser  » que les données stockées étaient « en libre accès et qu’il pouvait parfaitement se maintenir dans le système ».

En outre, la juridiction de premier degré a jugé que l’article 311-1 du Code pénal ne pouvait recevoir application en l’espèce, dans la mesure où aucun support matériel contenant ces données n’avait été soustrait à l’ANSES.

La Cour d’appel de Paris dans un arrêt du 5 février 2014 (n°13/04833), tout en écartant le caractère frauduleux de l’accès aux données litigieuses, a jugé que le maintien de Bluetouff dans un système de traitement automatisé de données (STAD), nécessitant un « contrôle d’accès et la nécessité d’une authentification par identifiant et mot de passe », était frauduleux.

Ce faisant, la Cour d’appel fait grief à l’internaute de ne pas s’être immédiatement déconnecté après avoir constaté la présence de contrôles d’accès.

Mais surtout, la Cour d’appel infirme le jugement du tribunal correctionnel sur la qualification pénale attachée à la copie des fichiers informatiques litigieux.

En effet, les juges du fond ont considéré que le vol de fichiers était manifestement constitué à raison « des copies de fichiers informatiques inaccessibles au public » réalisées « à des fins personnelles à l’insu et contre le gré de leur propriétaire ».

La Cour de cassation, saisie d’un pourvoi, devait donc se prononcer sur le point de savoir si la copie de fichiers en l’absence d’autorisation et de dépossession de son propriétaire peut être qualifiée de vol au sens de l’article 311-1 du Code pénal.

La Haute juridiction répond clairement par l’affirmative.

En se maintenant « dans un système de traitement automatisé après avoir découvert que celui-ci était protégé » tout en soustrayant « des données qu’il a utilisées sans le consentement de leur propriétaire  », Bluetouff a, pour la Cour de cassation, manifestement commis un vol.

Une telle qualification permet désormais de lever toute ambiguïté sur la nature mais également sur l’exigence de dépossession de la chose.

La Cour de cassation indique désormais qu’il importe peu que le propriétaire de données informatiques n’en soit pas dépossédé, dans la mesure où le vol sera caractérisé par la seule soustraction des données en l’absence de son consentement.

Une telle décision a priori « avant-gardiste » démontre la volonté d’adapter le droit aux nécessités de notre temps et de protéger le secret des informations, nouvelle ruée vers l’or contemporaine.

L’arrêt de la Cour de cassation fait ici écho à la volonté affichée du législateur de réprimer le vol d’information.

La récente modification de l’article 323-3 du Code pénal par la loi n°2014-1353 du 13 novembre 2014 (JORF n°0263 du 14 novembre 2014 page 19162 texte n°5) punissant toute introduction frauduleuse dans un STAD mais également toute détention, extraction, reproduction, transmission, suppression des données contenues par 5 ans d’emprisonnement et 75.000 € d’amende, suffit à s’en convaincre.

Une telle approche suscite néanmoins quelques interrogations, dans la mesure où le vol sanctionne une atteinte au droit fondamental de propriété qui se matérialise par la dépossession illégitime du propriétaire.

Même si la Cour de cassation prend soin de préciser qu’en matière immatérielle le délit est constitué par la soustraction de fichiers sans autorisation, il n’en est pas moins qu’une telle définition s’éloigne de celle classiquement retenue.

Dès lors, il est possible de s’interroger sur la pertinence d’une telle qualification dans la mesure où la reproduction illicite de données issues d’un STAD aurait pu être sanctionnée soit sur le fondement de la contrefaçon, en matière de droit d’auteur, soit sur celui du droit sui generis des bases de données.

En l’espèce, le délit de contrefaçon en matière de droit d’auteur n’aurait a priori pu trouver application dans la mesure où les données de l’ANSES constituent des documents publics.

Toutefois, le producteur d’une base de données est protégé contre tout usage ou extraction réalisés sans son consentement.

L’article L.342-1 du Code de la propriété intellectuelle dispose à ce titre que « le producteur d’une base de données a le droit d’interdire : 1° L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit(…) ».

En l’espèce, l’extraction non autorisée de plus de 7 Giga-octets de données pourrait caractériser un délit d’extraction frauduleuse susceptible de poursuites pénales.

La Cour de cassation a sans doute souhaité marquer son passage à l’ère numérique. et pour cela pas de doutes, elle y est parvenue.

Jonathan ELKAIM - Avocat au Barreau de Paris

Comentaires:

• 
  Sans titre, magali greiner, 4 septembre 2015

  Très intéressant, j’ai même appris des choses...

  
  
  • Sans titre, bluetouff, 4 septembre 2015

    Par avance pardonnez moi pour ce long commentaire que je dois malheureusement découper en 3 (limite de caractères)

    C’est toujours bien ce genre d’articles, mais comme toutes les analyses juridiques lues jusqu’ici sur ce sujet, elles sont dramatiquement autocentrées sur interprétation techniquement incomplète, et donc biaisée

    "Au cours de l’instruction, Bluetouff a précisé aux enquêteurs que l’authentification et le mot de passe n’étaient pas immédiatement perceptibles par l’internaute puisque celui-ci n’a pu constater leur nécessité qu’après avoir parcouru l’arborescence des répertoires et accédé à la page d’accueil."

    1° : en parcourant l’arborescence des répertoires, il n’y avait _aucune authentification_
    2° j’ai bien reconnu qu’il y avait une authentification sur la page d’accueil.
    3° en première instance les juges ont su faire après explications la différence entre authentification et permissions sur des répertoires et des fichiers

    "Un tel aveu a semble-t-il convaincu le tribunal correctionnel de Créteil lequel a jugé que Bluetouff pouvait « légitimement penser » que les données stockées étaient « en libre accès et qu’il pouvait parfaitement se maintenir dans le système »."

    Un tel aveu ne convaincra celui qui comprend les bases du fonctionnement d’une application web.

    L’authentification permet à un utilisateur d’accéder à certaines ressources dont les permissions n’autorisent pas l’accès à une personne non authentifiée

    Ce sont les permissions et non l’authentification qui permettent à un utilisateur de consulter tel ou tel fichier.

    Exemple : sur Facebook, vous avez une authentification sur la page d’accueil, mais ce n’est pas pour autant que tout ce qui est sur Facebook est privé

    Authentification ici : https://www.facebook.com/
    Données publiquement accessibles ici : https://www.facebook.com/pages/Minist%C3%A8re-de-la-Justice/196708717010864

    Je peux donc accéder à des données du ministère de la justice sur Facebook sans m’authentifier alors qu’il y a une authentification à la racine du site.... Je n’ai pas pour autant piraté les données du ministère de la justice puisqu’il a lui même attribué des permissions permettant à tout le monde de voir sa page. S’il avait choisi de mettre des permissions plus strict, je devrais être inscrit sur le site, authentifié, et dans le cas de facebook explicitement autorisé à consulter sa page.
• 
  Sans titre, Galian, 4 septembre 2015

  Très bon article qui apporte un éclairage sur une décision intéressante

  
  
  • Sans titre, jean, 12 décembre 2015

    1° on ne vous a pas detecté mais si vous qui avez en toute bonne foi informé les auteurs de vos recherches d’infos ?!
    2° cela veut que moi je peux télécharger une donné confidentielle sans le savoir et me retrouver avec de la prison en sursis !!

    ou est la preuve véritable selon vos infos que vous avez forcé le passage !!! que vous étiez en présence de données confidentielles !?
• 
  Sans titre, Ckerne, 4 septembre 2015

  Super article très clair et bien écrit
• 
  Sans titre, bnj, 4 septembre 2015

  Très intéressant , il serait bon d’avoir plus d’explications de ce type concernant certaines décisions de justice.
  merci pour votre article.
• 
  Un décision de première importance..., Pierre-Eric Coquard, Avocat, 4 septembre 2015

  Très bon article qui met en lumière une décision très importante dans le traitement par le juge pénal des cas de violations des STAD qui devraient se multiplier en même temps que ces derniers.

  
  
  • est la société qui est coupable de ne pas avoir manifesté clairement et expressément, par une mise en garde spéciale, jean, 13 décembre 2015

    pour qu ’il se defende : c est la société qui est coupable de ne pas avoir manifesté clairement et expressément, par une mise en garde spéciale, sa volonté d’interdire ou de restreindre l’accès aux donnée
    http://www.legitech.lu/newsroom/articles/tout-moyen-de-defense-meme-le-vol/
    Dans le même sens, on peut citer un arrêt de la chambre criminelle de la Cour de cassation française qui a d’ailleurs tenu un raisonnement particulièrement intéressant dans un arrêt du 20 mai dernier (n°14-81-336). Ainsi les juges ont admis que, « seul le maintien sans droit et en parfaite connaissance de cause de son absence de possibilité d’accès dans un système de traitement automatisé de données est frauduleux ». Et qu’en outre, « en l’absence de dispositif de protection de données, le maître du système doit manifester clairement et expressément, par une mise en garde spéciale, sa volonté d’interdire ou de restreindre l’accès aux données ». Dans cette affaire, les juges ont aussi souligné la contradiction évidente dans la qualification de mêmes données comme étant accessibles au public et non protégées, mais aussi protégées et inaccessibles au public. Celui qui a téléchargé ces données ne peut dans ces conditions être déclaré coupable de vol. Ces mêmes juges ont donc mis à la charge des entreprises un certain nombre d’obligations sécuritaires.
• 
  Clair et interessant, Sarah Darmon, 4 septembre 2015

  Merci pour cet article très clair et intéressant.
• 
  Sans titre, Sandrinette, 4 septembre 2015

  Je trouve que ce commentaire est clair et accessible.
• 
  2/3, bluetouff, 4 septembre 2015

  Je pense que vous n’avez pas idée de la sidération à la laquelle j’ai été en proie quand la procureur a affirmé qu’elle "n’avait rien compris à ce qui s’était dit, que son fil serait mieux placé qu’elle pour comprendre", mais qu’il "fallait" me condamner. Ou quand j’ai entendu un juge lisant les pv prononcer Google "Gogleuh"... (et je passe sur l’absurdité de raconter ma vie qui n’apportait rien à l’enquête, pas plus que lire publiquement mes mots de passes... chose que j’ai trouvée d’une stupidité sans borne : aurais-je pu attaquer la juge pour avoir fourni publiquement les moyens de s’introduire sur mes machines si une personne présente avait piraté mes serveurs comme l’explique l’article 323-3-1 du code pénal ?).

  Le fait est que je n’avais strictement aucune chance de me défendre dans de telles conditions et que ces multiples "alertes" ont provoqué chez moi une forme de renoncement. Quelle chance avais-je d’expliquer des rudiments techniques à des gens qui ne savent pas même prononcer Googleuh, qui s’avouent incompétent techniquement pour comprendre de quoi ça cause mais parfaitement juridiquement compétents pour déclarer qu’il "faut me condamner" ?

  Il y a ensuite (et ce n’est pas un reproche qui vous est adressé, c’est une constatation) l’emploie d’un vocabulaire dans votre article qui marque le gouffre qui existe entre les concepts de droit et la réalité technique :

  Vous parlez par exemple d’"extraction de base de données". Je n’ai touché à aucune base de donnée au sens technique du terme, juste à des documents légitimement servis par le serveur web (oui servir des fichiers, c’est le fonctionnement "normal" d’un serveur web, encore une fois quand on veut pas qu’il serve des fichiers, on applique des permissions restrictives. Notez que dans les dossiers auxquels j’ai accédé :
   aucun avertissement sur la nature confidentielle
   aucun fichier système (du code) qui m’aurait permis de déduire à coup sur à une erreur de configuration du serveur
   aucune donnée personnelle...
  Les fichiers auxquels j’ai eu accès n’étaient, de l’aveu de l’anses pas confidentiels (consigné dans les PV), elle n’était d’ailleurs pas partie civile, ni en première, ni en seconde instance.

  Ces 7Go de données semblent surprendre tout le monde.... Ce n’est même pas le poids d’un Blu-Ray.
• 
  Sans titre, bluetouff, 4 septembre 2015

  A titre de comparaison, le dernier dossier sur lequel j’ai travaillé portait sur 415 go de données, que j’ai aussi du télécharger, c’est un peu le quotidien d’un journaliste, car juste au cas où ce n’est pas clair, reflets, le site incriminé est un site de presse, édité par la société Rebuild.sh, et titulaire d’un numéro de commission mixte paritaire... J’en suis co-fondateur. Mais comme je n’avais à l’époque des faits pas de carte de presse alors que je pouvais déjà justifier d’une activité significative dans ce secteur, exit le délit de presse, exit la protection des sources, exit à peu près tout ce qui pouvait légitimer une démarche informative.

  Revenons à notre problème sémantique, je préfère le mot téléchargé ou copié à "extraction", is sont techniquement plus précis. Une "extraction" se réalise à l’aide d’une commande dédiée sur le système cible (la commande mysqldump https://dev.mysql.com/doc/refman/5.1/en/mysqldump.html ) dans ce cas précis. J’ai utilisé un outil de téléchargement on ne peut plus classique qui doit avoir plus de 20 ans, comme vous auriez utilisé votre navigateur web pour cliquer sur un .doc.

  Pourquoi copier ces 7Go sur mon disque dur ? Tout simplement pour pouvoir les indexer avec le moteur de recherche natif de mon système d’exploitation et pouvoir procéder à des recherches précises portant sur l’ensemble les contenus de ces documents. Je n’ai pas vendu ces "secrets" publics à une puissance étrangère, et j’ai même proposé à des spécialistes des questions de santé de nous aider à les comprendre.

  Pour l’aspect "contrefaçon", je vous laisse juger par vous même de la crise de rigolade que ceci aurait pu provoquer sur le net :

  "maintien frauduleux dans espace public et contrefaçon de documents publics de recherche publique d’un organisme public, qui étaient publiquement accessibles".

  Ca valait bien une condamnation à plus de 2 salaires et une inscription au casier judiciaire...

  Merci en tout cas pour cet article, c’est toujours enrichissant pour moi de vous lire pour tenter de comprendre ce gouffre qui nous sépare et tenter de mon côté d’assimiler cette logique juridique. J’espère que nos deux mondes, un jour, parleront le même langage. Mais il y a encore un immense travail.

  Cordialement,

  Olivier Laurelli, aka Bluetouff

  
  
  • Sans titre, Jonathan ELKAIM, 6 septembre 2015

    Cher Monsieur,

    Tout d’abord, merci pour votre mot et cette explication extrêmement détaillée des faits de cette espèce.

    Comme vous l’aurez compris, le but de cet article était de revenir sur la qualification du délit de vol aux données informatiques et donc aux choses intangibles.

    Cette décision constitue en ce sens une réelle nouveauté et a suscité de nombreuses interrogations de la part des praticiens.

    L’extraction de bases de données n’était qu’une hypothèse soulevée à titre d’alternative à la qualification juridique de vol, qui reste tout de même forte de sens.

    Votre éclairage technique des faits démontre toutefois que l’adaptation des concepts juridiques aux nouvelles technologies reste encore difficile.

    L’émergence de celles-ci et des contentieux qui en résultent nécessitent que les professionnels du droit y soient désormais préparés.

    Bien à vous,

    Jonathan ELKAIM