Close
  • Français
  • English

04/08/2015Vol de données : la Cour de Cassation précise la Loi Godfrain [par le Général (2S) Marc Watin-Augouard]

Cour de cassation, chambre criminelle, n° 14-81336, arrêt du 20 mai 2015. Le maintien dans un système de traitement automatisé de données est frauduleux, dès lors que l’auteur des faits a eu conscience du fait que le site était protégé. L’extraction de fichiers sans le consentement du propriétaire est un « vol de données informatiques ».

En 2012, un internaute, navigant sous le pseudonyme Bluetouff,  est entré via un VPN (Virtual Private Network) dans le site extranet  de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES), opérateur d’importance vitale (OIV). Il a téléchargé des données (82 Go) qu’il a fixées sur plusieurs supports et partiellement publiées, sans l’autorisation de l’Agence. L’accès, normalement autorisé par un contrôle d’accès avec identifiant et mot de passe, lui a été facilité grâce à une faille du système.

Pour ces faits, il a été poursuivi devant le Tribunal de grande instance de Créteil pour :

  • – accès frauduleux dans un système de traitement automatisé de données, infraction prévue par l’article 323-11 du code pénal et réprimé par les articles 323-1 al.1 et 323-5 du même code ;
  • – maintient frauduleux dans un système de transmission automatisé de données, infraction prévue et réprimée par les mêmes articles ;
  • – soustraction de données au préjudice de l’Anses, infraction prévue par les articles 311-1 et 311-3 du code pénal et réprimée par les articles 311-3, 311-14 1°, 2°, 3°, 4° et 6° du même code.

Le tribunal, par jugement du 23 avril 2013, a relaxé Bluetouff. Selon le tribunal, l’accès frauduleux n’est pas retenu, car c’est grâce à une défaillance technique qu’il a pu entrer sur le site et non par un « piratage ». Le maintien frauduleux n’est pas caractérisé, l’auteur ayant pu penser que les données qu’il a pu consulter étaient libres d’accès. Quant à la soustraction de document, le tribunal considère que le vol est, selon l’article 311-1 du code pénal, la soustraction frauduleuse de la chose d’autrui. L’ANSES n’ayant jamais été dépossédée de fichiers qui sont restés accessibles et disponibles sur son site, il n’y a pas eu de soustraction de données et donc pas vol.

Sur appel du parquet, l’affaire est amenée devant la cour d’appel de Paris qui, par arrêt du 5 février 2014, confirme le jugement du TGI s’agissant de l’absence de caractère frauduleux de l’accès. Dans une autre affaire (CA Paris, 30 octobre 2002, Kitetoa/Tati), la cour avait déjà considéré que l’accès par erreur à un site non sécurisé ne pouvait être incriminé. S’agissant des deux autres infractions, la cour d’appel déclare Bluetouff  coupable de maintien frauduleux et de vol de données. Sur le maintien frauduleux, la cour d’appel souligne qu’après avoir accédé au site, Bluetouff, en parcourant l’arborescence, avait pu constater que l’accès était soumis à des conditions d’authentification. Il avait donc « conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ». Par arrêt du 20 mai 2015, la chambre criminelle de la Cour de cassation confirme l’arrêt de la cour d’appel de Paris. En ce qui concerne la condamnation pour vol, la Cour de cassation a, par le passé, déjà qualifié de vol une copie de données (Cass.crim., n°07-84.002, 4 mars 2008, X/ Société Graphibus). Dans ses conclusions sur l’affaire Bluetouff, l’avocat général Frédéric Desportes s’est ainsi exprimé [1] : « Tout en respectant le principe d’interprétation stricte de la loi pénale, vous avez toujours su adapter les incriminations aux évolutions technologiques, veillant à ce que soit atteints les objectifs du législateur et donc à ce que la loi soit appliquée conformément à la fois à sa lettre et à son esprit. Cela est particulièrement vrai s’agissant du vol dont la définition a révélé une certaine plasticité. […] Il serait paradoxal que la soustraction frauduleuse d’un document papier sans intérêt soit passible de trois ans d’emprisonnement mais non celle de milliers de fichiers stratégiques alors même que ces fichiers ne sont jamais que des documents numériques ou numérisés pouvant être imprimés et donc matérialisés ». On notera que la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme sanctionne désormais (art. 323-3 du code pénal) l’extraction de données, mettant ainsi un terme au débat relatif au « vol de données ». Mais la promulgation de ce texte étant postérieur aux faits, il ne pouvait être appliqué au cas d’espèce.

L’affaire Bluetouff pourrait connaître de nouvelles évolutions en cas de recours devant la CEDH.

[1] Source Next INpact