B- Le vol de données, une infraction contre le
réseau informatique
111. Dans l'affaire dite Bluetouff43 en utilisant
le moteur de recherche Google, qu'il
interroge au moyen de plusieurs
mots-clés, un individu accède fortuitement, en raison d'une
faille de celui-ci, au système extranet de l'Agence nationale de
sécurité sanitaire de l'alimentation, de l'environnement et du
travail (ANSES).
112. Bien qu'il prenne conscience, en remontant dans
l'arborescence des répertoires
jusqu'à la page d'accueil, que
la connexion audit système requiert normalement une authentification au
moyen d'un identifiant et d'un mot de passe, il poursuit l'exploration
42 Selon la source de1'Agence France Presse, le 30
aout 1999, Paris.
43 Cass. crim., 20 mai 2015, no 14-81336,
ECLI:FR:CCASS:2015:CR01566, M. X, PB (rejet pourvoi c/ CA Paris, 5 févr.
2014), M. Guérin, prés. ; SCP Piwnica et Molinié, av.
- 30 -
et télécharge même des données,
qu'il diffuse ensuite à des tiers. Il est alors poursuivi, relaxé
en première instance, mais condamné en appel, du chef à la
fois de maintien frauduleux dans un système de traitement
automatisé de données (le délit d'accès frauduleux
est en revanche écarté au vu des circonstances) et de vol. Le
condamné se pourvoit en cassation pour contester la réunion des
éléments constitutifs des deux infractions retenues à son
encontre.
113. Tout particulièrement, l'incrimination de vol est
selon lui inadaptée aux faits
qu'on lui reproche, en l'absence de
protection des données qu'il a copiées et de dépossession
subie par l'ANSES. La Cour de cassation repousse néanmoins les arguments
: elle relève que, au vu des constatations de la cour d'appel,
l'intéressé « s'est maintenu dans un système de
traitement automatisé après avoir découvert que celui-ci
était protégé et a soustrait des données qu'il a
utilisées sans le consentement de leur propriétaire », et
approuve ainsi la condamnation dans sa totalité.
114. Cette affaire (dite Bluetouff, d'après le
pseudonyme de l'utilisateur) a ainsi
donné lieu à un
arrêt, promis aux honneurs du Bulletin, qui retient une solution à
l'intérêt manifeste : le vol peut consister à
télécharger des données informatiques, à distance,
sans s'emparer de leur support44 .
115. Mais, une fois de plus, la chambre criminelle se
prononce essentiellement par
approbation des juges du fond, se gardant bien
de poser une quelconque règle de principe qui pourrait l'engager
à l'avenir. L'arrêt rapporté admet clairement la
constitution du délit de vol, alors qu'a priori l'incorporalité
des données informatiques en compromettait la possibilité.
116. D'une part, en effet, l'appropriation de ces
choses-là par quiconque serait
souvent inconcevable ou douteuse
(comment par exemple déterminer si tel ou tel concept ou idée,
par nature fuyant - de « libre parcours » -, appartient bien à
quelqu'un ?), alors que le vol consiste à s'emparer de la chose «
d'autrui » en agissant « frauduleusement » (donc contre le
gré ou à l'insu de son propriétaire).
117. D'autre part, s'agissant des informations, leur
appréhension prend surtout la
forme d'une reproduction,
c'est-à-dire d'un acte qui n'entraîne pas
corrélativement
44 . Ne seront évoquées ni la
question du délit d'accès ou de maintien frauduleux dans un STAD
(système de traitement automatisé de données), ni celle de
la liberté d'expression (Bluetouff étant un bloggeur et
journaliste amateur).
- 31 -
dépossession au détriment du légitime
possesseur (il n'en est pas privé), alors que le vol est le fait de
« soustraire », c'est-à-dire d'ôter.
118. L'ensemble de ces obstacles directs ou indirects
à la caractérisation du vol n'a
cependant pas emporté
la conviction de la Cour de cassation. Tout au contraire, synthétisant
la motivation de la juridiction d'appel, elle considère que le
prévenu « a soustrait des données qu'il a utilisées
sans le consentement de leur propriétaire », admettant
par-là que le vol peut porter sur des données informatiques et
que celles-ci sont susceptibles d'être appropriées45 et
soustraites frauduleusement46 l'intention dolosive étant en
l'occurrence tacitement vérifiée.
119. La solution retenue doit, pour commencer, être
mesurée justement dans sa portée
novatrice et
matérielle. D'un côté, plusieurs arrêts se sont
déjà montrés favorables à la répression du
vol de biens informationnels47 (timidement) 48et
informatiques 49 (plus clairement)50 ; mais les faits de
la présente affaire procurent il est vrai une netteté toute
particulière à la décision commentée. De l'autre,
cette dernière ne consacre pas le vol d'informations dans sa
plénitude : les renseignements sont en l'espèce des
données informatiques, fixées sur un support, donc
individualisées, et présentes dans un système informatique
approprié, ce qui donne à l'ensemble un certain aspect
tangible.
45 . La restriction de l'accès aux
données, bien que défaillante, en est le signe. Mais la question
se pose alors de l'appréhension de données informatiques non
protégées : le vol est-il nécessairement inconcevable
à leur égard ; la sécurisation est-elle la marque
indispensable de leur appropriation ? À cet égard, la proposition
de loi du député B. Carayon visant à incriminer l'atteinte
au secret des affaires (en empruntant à l'abus de confiance et au recel)
l'exige (v. J.-C. Saint-Pau, « La pénalisation du secret des
affaires », p. 21, spéc. nos 36 et s. in B. Saintourens et J.-C.
Saint-Pau (dir.), La confidentialité des informations relatives à
une entreprise, Cujas, coll. Actes et Études, 2014).
46 Nonobstant, derechef, la défaillance
précitée (« sans le consentement de leur propriétaire
» est-il déclaré).
47 . Cf. G. Beaussonie, « La protection
pénale de la propriété sur l'information » : Dr.
pén. 2008, étude n° 19.
48 Not. Cass. crim., 12 janv. 1989, n°
87-82265, Bourquin : Bull. crim. n° 14 ; Rev. sc. crim. 1900, p. 507, obs.
M.-P. Lucas de Leyssac - Cass. crim., 1er mars 1989, Antoniolli : Bull. crim.,
n° 100.
49 Cf. J. Devèze, « Les vols de
«biens informatiques» » : JCP G 1985, I, 3210.
50 Not. Cass. crim., 4 mars 2008, n° 07-84002
:
Comm. com. électr. 2008, comm.
n° 25, obs. J. Huet ; D. 2008, p. 2213, note S. Detraz ; Dr. pén.
2008, chron. n° 10, § nos 22 et s., obs. A. Lepage ; Rev. sc. crim.
2009, p. 124, obs. J. Francillon - Cass. crim., 27 avr. 2011, n°
10-86233.
120.
- 32 -
Au-delà de cette atteinte contre le réseau
informatique, il y a également les
atteintes par le réseau
informatique
PARAGRAPHE 2 : les infractions de
cyberdélinquance économique et financière par le
réseau informatique
Les atteintes par le réseau informatique sont les
infractions contre la confidentialité, l'intégrité et la
disponibilité des données et systèmes informatique (A)
d'une part et La fraude par manipulation informatique (B) d'autre part.
A- Les infractions contre la confidentialité,
l'intégrité et la disponibilité des données et
systèmes informatique
121. Les infractions contre la confidentialité,
l'intégrité et la disponibilité des
systèmes
informatiques et des données qui y sont stockées, traitées
ou transmises par ces systèmes, on retrouve d'une part l'accès
non-autorisé à un système informatique. L'accès
non-autorisé à un système informatique est le fait
d'accéder sans autorisation au système informatique d'un tiers,
à l'insu de celui-ci.
122. Cette infraction est mieux connue sous sa
dénomination anglaise : le hacking.
Contrairement à une
idée largement répandue, le fait de "visiter" un
système informatique sans aucune intention de le modifier, ni de porter
atteinte aux données qui y sont enregistrées peut avoir des
conséquences graves pour le visiteur indiscret. L'incrimination vise
notamment les "white hackers" ou, plus généralement les
"curieux", dépourvus d'intention de nuire ou de modifier le
système. Elle suppose que la personne qui accède au
système y accède "frauduleusement»,
c'est-à-dire volontairement (l'accès n'est pas accidentel) et
sans disposer d'aucun droit ni d'aucune autorisation afin d'accéder au
système.
123. Dans une décision du 4 décembre 1992, la
Cour d'appel de Paris a écarté les
délits
d'accès et de maintien dans un système de traitement
automatisé de données informatiques en constatant que
l'appropriation d'un code d'accès avait pu être le résultat
d'une erreur de manipulation sur les fichiers, cette circonstance excluant le
caractère
- 33 -
intentionnel exigé par la loi. La protection du
système est-elle une condition d'application de l'article 4 de la loi
sur la cybercrimalité ? A priori, une réponse négative
s'impose.
124. La protection du système n'est pas une condition
de l'incrimination. L'absence
de système de sécurité,
voire une réelle facilité d'accès ne met pas obstacle
à l'infraction, sauf si cet accès est accidentel et que la
personne qui accède au système ne cherche pas à s'y
maintenir volontairement sans droit. Aussi A chaque fois qu'un utilisateur fait
une requête pour accéder à un fichier, le système
d'exploitation décide si oui ou non l'utilisateur a le droit
d'accéder au fichier.
125. Le système d'exploitation prend une
décision basée sur qui est le propriétaire du
fichier,
qui demande d'accéder au fichier et quelles permissions d'accès
le propriétaire a mis. Le principal but pour une personne qui cherche
à s'introduire dans un système est d'obtenir l'accès
administrateur (root).
126. Cet accès permet à la personne de faire
tout ce qu'elle désire sur un système ;
elle peut effacer,
modifier ou ajouter de nouveaux fichiers. La plupart des intrusions où
les hackers obtiennent l'accès administrateur commencent quand
l'individu pénètre dans un compte utilisateur
normal51.
127. Ces intrusions peuvent donner accès à des
données confidentielles et à des
secrets, permettre d'utiliser
le système gratuitement, voire encourager les pirates à commettre
des types plus dangereux d'infractions en relation avec l'ordinateur, telles
que la fraude ou la falsification informatique.
| 
