Vous êtes ici : Accueil > Actualités > La consécration du vol « 2.0 »

La consécration du vol « 2.0 »

Le 28 août 2015

Dans un arrêt en date du 20 mai 2015, la Chambre criminelle de la Cour de cassation a jugé que les dispositions de l’article 311-1 du Code pénal relative à la « soustraction frauduleuse d’autrui » s’appliquent en matière de transfert de fichiers informatiques.

Retour sur cet épilogue jurisprudentiel.

Au cours du mois d’août 2012, un internaute dont le pseudonyme est « Bluetouff » a réussi à accéder librement, via les fonctionnalités du moteur de recherche Google, à la base de données de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES).

Cet accès a été réalisé au moyen d’une requête spécifique aux termes de laquelle Bluetouff  a interrogé le célèbre moteur de recherche grâce à plusieurs mots clés précis.

Toutefois, un tel accès n’a été possible que parce qu’une faille dans le système de sécurité du site internet de l’ANSES avait été détectée.

L’internaute Bluetouff en avait d’autant plus conscience qu’il a constaté que la connexion au système nécessitait une authentification et un mot de passe afin d’accéder aux fichiers convoités.

Par ce moyen, Bluetouff a téléchargé, et rendu accessible via son blog, plus de 7 Giga-octets de fichiers informatiques extraits de la base de données de l’ANSES.

C’est dans ce contexte que l’ANSES a déclenchée l’action publique en déposant plainte pour « intrusion dans un système informatique et vol de données informatiques ».

Au cours de l’instruction, Bluetouff a précisé aux enquêteurs que l’authentification et le mot de passe n’étaient pas immédiatement perceptibles par l’internaute puisque celui-ci n’a pu constater leur nécessité qu’après avoir parcouru l’arborescence des répertoires et accédé à la page d’accueil.

Un tel aveu a semble-t-il convaincu le tribunal correctionnel de Créteil lequel a jugé que Bluetouff pouvait «  légitimement penser » que les données stockées étaient «  en libre accès et qu’il pouvait parfaitement se maintenir dans le système ».

En outre, la juridiction de premier degré a jugé que  l’article 311-1 du Code pénal  ne pouvait recevoir application en l’espèce, dans la mesure où aucun support matériel contenant ces données n’avait été soustrait à l’ANSES.

La Cour d’appel de Paris dans un arrêt du 5 février 2014 (n°13/04833), tout en écartant le caractère frauduleux de l’accès aux données litigieuses, a jugé que le maintien  de Bluetouff dans un  système de traitement automatisé de données (STAD), nécessitant un «  contrôle d’accès et la nécessité d’une authentification par  identifiant et mot de passe », était frauduleux.

Ce faisant, la Cour d’appel fait grief à l’internaute de ne pas s’être immédiatement déconnecté  après avoir constaté la présence de contrôles d’accès.

Mais surtout, la Cour d’appel infirme le jugement du tribunal correctionnel sur la qualification pénale attachée à la copie des fichiers informatiques litigieux.

En effet, les juges du fond ont considéré que le vol de fichiers était manifestement constitué à raison « des copies de fichiers informatiques inaccessibles au public » réalisées « à des fins personnelles à l’insu et contre le gré de leur propriétaire ».

La Cour de cassation, saisie d’un pourvoi, devait donc se prononcer sur le point de savoir si la copie de fichiers en l’absence d’autorisation et de dépossession de son propriétaire peut être qualifiée de vol au sens de l’article 311-1 du Code pénal.

La Haute juridiction répond clairement par l’affirmative.

En se maintenant « dans un système de traitement automatisé après avoir découvert que celui-ci était protégé » tout en soustrayant « des données qu’il a utilisées sans le consentement de leur propriétaire », Bluetouff a, pour la Cour de cassation, manifestement commis un vol.

Une telle qualification permet désormais de lever toute ambiguïté sur la nature mais également sur l’exigence de dépossession de la chose.

La Cour de cassation indique désormais qu’il importe peu que le propriétaire de données informatiques n’en soit pas dépossédé, dans la mesure où le vol sera caractérisé par la seule soustraction des données en l’absence de son consentement.

Une telle décision a priori « avant-gardiste » démontre la volonté d’adapter le droit aux nécessités de notre temps et de protéger le secret des informations, nouvelle ruée vers l’or contemporaine.

L’arrêt de la Cour de cassation fait ici écho à la volonté affichée du législateur de réprimer le vol d’information.

La récente modification de l’article 323-3 du Code pénal par la loi n°2014-1353 du 13 novembre 2014 (JORF n°0263 du 14 novembre 2014 page 19162 texte n°5) punissant toute introduction frauduleuse dans un STAD mais également toute détention, extraction, reproduction, transmission, suppression des données contenues par 5 ans d’emprisonnement et 75.000 € d’amende, suffit à s’en convaincre.

Une telle approche suscite néanmoins quelques interrogations, dans la mesure où le vol sanctionne une atteinte au droit  fondamental de propriété qui se matérialise par la dépossession illégitime du propriétaire.

Même si la Cour de cassation prend soin de préciser qu’en matière immatérielle le délit est constitué par la soustraction de fichiers sans autorisation, il n’en est pas moins qu’une telle définition s’éloigne de celle classiquement retenue.

Dès lors, il est possible de s’interroger sur la pertinence d’une telle qualification dans la mesure où la reproduction  illicite de données issues d’un STAD aurait pu être sanctionnée soit sur le fondement de la contrefaçon, en matière de droit d’auteur, soit sur celui du droit sui generis des bases de données.

En l’espèce, le délit de contrefaçon en matière de droit d’auteur n’aurait a priori pu trouver application dans la mesure où les données de l’ANSES constituent des documents publics.

Toutefois, le producteur d’une base de données est protégé contre tout usage ou extraction réalisés sans son consentement.

L’article L.342-1 du Code de la propriété intellectuelle dispose à ce titre que « le producteur d'une base de données a le droit d'interdire : 1° L'extraction, par transfert permanent ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du contenu d'une base de données sur un autre support, par tout moyen et sous toute forme que ce soit(…).

En l’espèce, l’extraction non autorisée de plus de 7 Giga-octets de données pourrait caractériser un délit d’extraction frauduleuse susceptible de poursuites pénales.

La Cour de cassation a sans doute souhaité marquer son passage à l’ère numérique. et pour cela pas de doutes, elle y est parvenue.

 

Maître Jonathan Elkaïm est Avocat à Paris 8ème. Il intervient généralement sur toutes problématiques liées  à la propriété intellectuelle  et au droit des nouvelles technologies tant pour des particuliers que pour des sociétés intervenant dans le domaine du luxe, de la distribution, de la publicité ou de l’audiovisuel.

 

Documents associés à cette actualité : cour-de-cassation--20-mai-2015--n-14-81-336.pdf

c