Le milieu médical ne fait pas exception. Comme ailleurs, le droit au secret des correspondances et à la protection des données est une donnée fondamentale de la relation médicale sur laquelle le juge pénal se montre intransigeant. C’est ce qu’a rappelé la chambre criminelle de la Cour de cassation, dans un arrêt publié au Bulletin.

Les faits :

Le service informatique d’un centre hospitalier a découvert qu’un keylogger - dispositif permettant d’espionner la frappe du clavier et de récupérer tous les caractères tapés - avait été installé sur les ordinateurs de deux praticiens hospitaliers titulaires de l’établissement. Dans le cadre de l’enquête policière qui fut diligentée, une perquisition au domicile du docteur Y., praticien hospitalier contractuel de l’hôpital, a été réalisée. Il a été découvert un keylogger, une clef USB et un ordinateur portable dans lesquels figuraient des captures d’écran réalisées sur les ordinateurs professionnels des deux médecins titulaires. Le docteur Y. reconnaissait avoir acheté sur internet pour un prix modique un keylogger et l’avoir ensuite installé sur les ordinateurs de deux de ses confrères dans le but de récupérer des courriels susceptibles de lui être utiles dans le cadre du litige devant l’ordre des médecins, l’opposant à un professeur de médecine.

La procédure :

Le Docteur Y. est alors poursuivi des chefs d’accès frauduleux à tout ou partie d’un système de traitement automatisé de données, d’atteinte au secret des correspondances émises par voie électronique et de détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé. Les juges du fond le condamnent, et la Cour de cassation, saisie d’un pourvoi confirme pleinement les condamnations.

1er délit : Violation du secret des correspondances.

On aurait pu s’attendre, s’agissant du milieu médical, que le fondement retenu soit, non pas le secret des correspondances, mais le secret médical ? Cependant, la qualification des poursuites est pertinente puisque, grâce au keylogger, le docteur Y. a eu connaissance des codes d’accès des praticiens à leurs messageries. Il a pu, ainsi, accéder à leur insu aux courriels qu’elles contenaient (qui ne sont pas nécessairement couverts par le secret médical).
L’article 226-15 alinéa 2du Code pénal sanctionne le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions.

En l’espèce, l’élément matériel de l’infraction ne faisait pas de doute :
 Le Docteur Y. avait installé un keylogger lui permettant d’espionner la frappe du clavier et de capter des données sur le matériel informatique de ses confrères ; Ce dispositif a pour principale finalité d’espionner électroniquement l’utilisateur d’un ordinateur.
 Le Docteur Y. avait reconnu que ce keylogger lui avait permis de prendre connaissance des codes d’accès à la messagerie des deux médecins piégés ;
 Le Docteur Y. a pu accéder aux courriels échangés entre les deux praticiens concernés, et les utiliser.

Concernant l’élément moral, le Docteur Y. entendait fermement le contester en soutenant avoir intercepté de bonne foi et pour un motif légitime les courriels à caractère professionnel échangés entre les deux médecins visés, seul moyen selon lui pour se défendre contre les manœuvres du professeur M. destinées à l’évincer de son poste. Mais la Cour de cassation ne se laisse pas séduire par l’argument du Docteur Y. Selon elle, « l’installation d’un dispositif destiné à espionner la frappe du clavier afin d’obtenir les codes d’accès aux messageries de deux confrères puis l’interception à leur insu de certains de leurs courriels caractérisent suffisamment la mauvaise foi de M. Y. ».

2ème délit : Accès frauduleux à un système de traitement automatique de données.
La piraterie informatique est incriminée à l’article 323-1 du code pénal qui sanctionne le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données.
Pour le Docteur Y. la matérialité du délit n’était pas constituée dès lors que la seule installation d’un keylogger-matériel sur un clavier d’ordinateur, qui ne nécessite pas l’installation d’un logiciel, et ne permet que la récupération des différentes frappes réalisées sur les touches de ce clavier sans nullement permettre d’accéder aux données du terminal informatique lui-même, ne saurait consister en un accès au sens visé par le législateur.

Mais la Cour de cassation retient une définition très large de la notion d’accès. Elle conçoit l’accès comme le fait de pénétrer, de s’introduire dans un système sans y être autorisé. Une nouvelle fois, le fait que, selon le Docteur Y., les ordinateurs des médecins étaient accessibles à tous, ne séduit pas la Cour de cassation puisqu’elle relève que l’installation du keylogger permet d’accéder à des messageries privées.
En aucun cas en conséquence l’accès était ouvert pleinement au public. Elle pose alors un attendu de principe : « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de données ».

3ème délit : Détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé.

En complément de la 2ème infraction, a été ajouté le délit de l’article 323-3-1 qui sanctionne une forme de complicité par fourniture de moyens permettant de réaliser les actes constitutifs du précédent délit. Il s’agit de sanctionner ceux qui recourent à des appareils conçus pour commettre les infractions portant atteinte aux systèmes de traitement automatisé de données.
Pour se défendre, le Docteur Y. invoquait la défense de sa situation professionnelle et sa réputation.
La Cour de cassation balaye le moyen du revers de la main : puisque l’autorisation de détention prévue par l’article 323-3-1 du code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique…

Le débat aurait peut-être été plus délicat, mais intéressant, si le Docteur Y. s’était fondé sur les droits de la défense pour justifier son acte, puisqu’il s’agissait manifestement de la finalité poursuivie lors de l’installation du keylogger. Or, la Cour de cassation ayant déjà rejeté des poursuites pour vols, lorsque les éléments volés permettaient d’assurer la défense, aurait-elle été aussi strict si ce fondement avait été invoqué ? La fin justifie-t-elle les moyens ??? La question reste ouverte…

Source : Crim. 16 janv. 2018, n° 16-87.168

Audrey UZEL SELARL KOS AVOCATS Avocats au Barreau de Paris