Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Par une décision du 20 mai 2015, la Cour de cass reconnaissait le vol d'information.

Par une décision du 28 juin 2017, elle maintient son point de vue pour juger que la récupération de fichiers sur un serveur informatique sans passer par un mot de passe caractérise une appropriation frauduleuse constitutive d'un vol (Cass crim 28 juin 2017 n° 16-81113).

Hier, les faits concernaient internet. Aujourd'hui, ils concernent le réseau interne d'une entreprise.

La question : sur quel fondement ? 

L'objet de la soustraction doit être, en principe, un bien corporel. Cette définition ressort du texte "Le vol est la soustraction frauduleuse de la chose d'autrui", art 311-1 du code pénal. La chose étant considérée comme un élément physique.

Ces décisions, contradictoires par une matérialité de l'incorporel, démontrent que cette conception est erronée dans une société où l'informatique prend de plus en plus d'ampleur et permet l'appropriation de données personnelles par un tiers à l'insu de son auteur, de son propriétaire sans que ce dernier en soit dépossédées.

Par ailleurs, cette dimension très large est-elle conforme au principe de l'interprétation stricte de la loi pénale mais aussi au principe de la légalité des incriminations et des peines ?

Pour tenter de comprendre le raisonnement des juges, nous étudierons la logique qui a précédé l'incrimination en l'espèce (Cass crim 20 mai 2015 n° 14-81336).

En raison d'une défaillance technique, M X s'introduit dans le système de traitement automatisé de données (STAD) de l'agence Y. Cette dernière porte plainte et une enquête est diligentée. Elle révèle que certains de ses documents ont été "hackés". Le prévenu prétend avoir découvert ceux-ci simplement en utilisant le moteur de recherche Z.

Le tribunal correctionnel le relaxe au motif que "l'absence de toute soustraction matérielle de document appartenant à l'agence Y, le simple fait d'avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l'agence Y, qui n'en a jamais été dépossédée, puisque ces données, élément matériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l'élément matériel du vol, la soustraction frauduleuse de la chose d'autrui supposant, pour être constituée, l'appréhension d'une chose".

Le procureur de la république interjette appel. Par une décision du 5 février 2014, la Cour d'appel censure le jugement en considérant que le prévenu était coupable des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol des fichiers informatiques. M X est condamné à 3 000 € d'amende. Il forme un pourvoi.

Les questions portent sur l'application des art 323-1 et 311-1 du code pénal :

  • L'accession ou le maintien dans un système informatisé par la simple utilisation d'un moteur de recherche est-il répréhensible ?
  • Le vol étant la soustraction frauduleuse de la chose d'autrui, le seul téléchargement de fichiers, accessible au public, est-il constitutif de l'infraction ?

Pour confirmer l'arrêt réformateur du jugement et rejeter le pourvoi, la Cour de cassation reprend les motifs d'incrimination à savoir l'introduction sur le site de l'agence à la suite d'une défaillance technique malgré la constatation de l'existence d'une protection et la soustraction des données, sans le consentement de leur propriétaire.

Il ressort de cette décision d'une part, que l'existence d'une faille de sécurité ne fait pas obstacle à l'incrimination du délit d'intrusion frauduleux dans un système informatique et d'autre part, que la qualification de vol est applicable à toute forme immatérielle, telle que des données informatiques sans autorisation du propriétaire.

I- L'incrimination de l'intrusion dans un système informatique

C'est la loi GODFRAIN du 8 janvier 1988, relative à la fraude informatique, qui a introduit l'art 323-1 au sein du code pénal. Pour examiner la constitution de l'infraction et sa répression, il s'agira de reconnaître que le prévenu a eu accès au site par le biais d'un moteur de recherche. Accès facilité par l'existence de failles de sécurité qu'il a reconnue.

A- La reconnaissance d'un accès aisé au site par le biais d'un moteur de recherche

1- Élément légal et intentionnel

Art 323-1 cp "Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données".

Art 121-3 al 1 cp "Il n'y a point de crime ou de délit sans intention de le commettre".

Accéder au système en l'absence de protection par défaillance peut-il faire présumer une intention frauduleuse ?

2- Élément matériel : accès et maintien frauduleux

Le prévenu alléguait qu'il s'était introduit par le biais d'un moteur de recherche par erreur. Le caractère frauduleux peut-il alors s'appliquer ? Étudions la jurisprudence.

Accès ou maintien frauduleux : vise tous les modes de pénétration irréguliers dans un STAD.

Dans une décision du 5 avril 1994, la Cour d'appel de Paris avait considéré que pour être punissable, "cet accès ou ce maintien doit être fait sans droit et en pleine connaissance de cause, étant précisé à cet égard qu'il n'est pas nécessaire pour que l'infraction existe que l'accès soit limité par un dispositif de protection".

Pour autant, le maître doit avoir "manifesté l'intention d'en restreindre l'accès aux seules personnes autorisées" pour être en conformité avec l'art 34 de la loi du 6 janvier 1978 qui énonce que "Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

D'ailleurs, l'art 226-17 cp sanctionne le manquement à cette obligation de sécurité "Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'art 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende".

C'est pourquoi, dans l'affaire Tati, la Cour d'appel relaxe le journaliste qui avait été condamné par le TGI de Paris. Les premiers juges avaient considéré que l'existence de failles de sécurité ne constituait "en aucun cas une excuse ou un prétexte pour le prévenu d'accéder de manière consciente et délibérée à des données dont la non protection pouvait être constitutive d'une infraction pénale".

Pour les second juges du fond la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, présume de la non confidentialité, à défaut de toute indication contraire et de tout obstacle à l'accès. "La détermination du caractère confidentiel et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevant de l'initiative de l'exploitant du site ou de son mandataire ".

B- La reconnaissance de l'existence de failles de sécurité par le prévenu

1- La sanction de la conscience d'enfreindre une interdiction

Le prévenu avait bénéficié de la défaillance d'une sécurité pour s'introduire et se maintenir au coeur de l'extranet de l'agence Y. Il avait reconnu être arrivé par erreur et avoir "constaté la présence de contrôles d'accès et la nécessité d'une authentification par identifiant et mot de passe". En conséquence, l'existence d'une limitation de l'accès du site aurait dû lui imposer de sortir du système.
Absence d'autorisation
Son maintien, malgré le caractère personnel des données démontre la conscience de vouloir enfreindre une loi pénale. Le consentement du propriétaire, de l'auteur des fichiers était nécessaire à l'obtention des données à caractère personnel comme le démontre un procédé d'accès limité au site entravé par une défaillance technique.
Art 121-3 cp "Il n'y a point de crime ou de délit sans intention de le commettre".
Le caractère intentionnel est donc caractérisé par la conscience d'enfreindre une règle pénale. Seules les personnes ayant le mot de passe peuvent accéder au site les autres en sont exclues.

2- Répression

En principe, la répression est assez sévère :

  • 2 ans d'empris. et de 60 000 € d'amende
  • al 2 si intrusion avec dommages : 3 ans d'empris. et de 10 000 € d'amende
  • al 3 si STAD à caractère personnel mis en oeuvre par l'Etat : 5 ans d'empris + 150 000 € d'amende

L'art 323-5 cp prévoit des peines complémentaires et l'art 323-7 prévoit que la tentative est punissable.

Si l'infraction du maintien frauduleux est constituée en l'espèce, l'infraction de vol d'information mérite de s'interroger au regard de la nécessité de la dépossession de l'objet par un tiers.

II- L'incrimination de la soustraction d'information d'autrui

Pour constituer l'infraction de vol, la soustraction doit pouvoir être matérialisée. Un déplacement doit être caractérisé. Le propriétaire doit être dépossédé de la chose volée par le tiers. Ce qui n'est pas le cas en l'espèce. Pourrions-nous alors considérer sans discussion que la règle d'interprétation stricte de la loi pénale et le principe de la légalité des incriminations et des peines seraient respectés ?

A- L'absence de soustraction de la chose d'autrui

Aux termes de l’art 111-3 cp "nul ne peut être puni pour un crime ou pour un délit dont les éléments ne sont pas définis par la loi, ou pour une contravention dont les éléments ne sont pas définis par le règlement (al 1). Nul ne peut être puni d’une peine qui n’est pas prévue par la loi, si l’infraction est un crime ou un délit, ou par le règlement si l’infraction est une contravention (al 2)".

Cette disposition fait écho à Portalis pour qui "le législateur ne doit pas frapper sans avertir : s’il en est autrement, la loi, contre son objet essentiel, ne se proposerait donc pas de rendre les hommes meilleurs, mais seulement de les rendre malheureux ; ce qui serait contraire à l’essence même des choses"

1- Élément légal et intentionnel 

Art 311-1 cp "Le vol est la soustraction frauduleuse de la chose d'autrui".

L'art 121-3 cp exige un dol général : l'intention délictuelle. Un dol spécial est aussi nécessaire : dans le but de s'approprier la chose d'autrui.

A la suite du transfert des données de l'agence Y sur les supports, M X les a faites circuler vers des tiers sans le consentement de l'auteur. Il s'est bien approprié l'information d'autrui à des fins personnelles tout en sachant qu'elle aurait dû être protégée puisqu'il a constaté la défaillance technique. Il a eu conscience d'utiliser ces données dans l'interdiction. Pour autant, l'agence Y en était-elle dépossédée ?

2- Élément matériel dématérialisé: un téléchargement de données

La chose exigée :

Le prévenu soutenait que le seul téléchargement de fichiers informatiques même à l'insu du propriétaire n'était pas constitutif de vol excepté lorsqu'il était accompagné de l'appropriation frauduleuse de la chose appartenant à autrui.

Il est vrai qu'en principe, le vol suppose une appréhension physique de la chose, bien corporel. Autrui doit être dépossédé de son objet, il est alors dans l'impossibilité de l'utiliser. C'est la solution que retient le tribunal correctionnel de Paris pour relaxer le prévenu. L'agence Y n'a jamais été dépossédée des fichiers informatiques puisqu'ils lui sont accessibles.

Dans un arrêt du 12 janvier 1989 "N'encourt pas la cassation l'arrêt qui déclare les prévenus coupables, d'une part, de vol d'un certain nombre de " disquettes ", et, d'autre part, du vol du contenu informationnel de certaines de ces disquettes, durant le temps nécessaire à la reproduction des informations" (Cass crim 12 janv 1989 n° 87-82265).

Nous pouvons en déduire qu'en tant que tel, l'information n'est pas un bien corporel caractérisant l'élément matériel de l'infraction de vol. Toutefois la jurisprudence considère que le vol est constitué en cas d'appréhension du support contenant ladite information.

La soustraction exigée :

En l'espèce, le téléchargement de données et leur fixation sur des supports permettent de supposer une copie de l'information pour la fixer sur un bien corporel qui devient alors la chose "physique". Mais cette chose physique est-elle l'information elle-même ?

Pourrait-on alors parler de perte pécuniaire ? Patrimoniale ? De droit de propriété incorporelle exclusif et opposables, art L 111-1 cpi ... Piste oubliée en l'espèce.

Cette solution est à rapprocher de celle proposée par la chambre criminelle le 3 août 1912 sur le vol d'énergie. Partant du constat que "l'électricité est livrée par celui qui le produit à l'abonné qui la reçoit, qu'elle passe par l'effet d'une transmission qui peut être matériellement constater, de la possession du premier dans la possession du second", la Cour de cassation avait estimé qu'il fallait considéré l'électricité comme une chose au sens de l'art 379 (art 311-1 nouveau) pouvant faire l'objet d'une appréhension.

Soulignons toutefois que l'art 311-2 est venu préciser que "La soustraction frauduleuse d'énergie au préjudice d'autrui est assimilée au vol" en considération de la règle fondamentale d'interprétation stricte de la loi pénale issue du principe de la légalité des incriminations et des peines.

B- Une jurisprudence fragile liée à une interprétation téléologique

Selon Beccaria (1738-1794) "Pour que toute peine ne soit pas une violence d’un seul ou de plusieurs contre un citoyen privé, elle doit être essentiellement publique, prompte, nécessaire, et la plus petite parmi celles possibles dans des circonstances données, proportionnées au délit, dictée par les lois". L'un des points cardinaux : la légalité des délits et des peines.

1- Contraire à la légalité des délits et des peines

En vertu des art 1 et 5 de la DDHC de 1789 :

  • "Les hommes naissent et demeurent libres et égaux en droits…
  • "La loi n’a le droit de défendre que les actions nuisibles à la Société. Tout ce qui n’est pas défendu par la loi ne peut être empêché, et nul, ne peut être contraint à faire ce qu’elle n’ordonne pas".

Art 8 DDHC « La loi ne doit établir que des peines strictement et évidemment nécessaires, et nul ne peut être puni qu’en vertu d’une loi établie et promulguée antérieurement au délit, et légalement appliquée ».
Dans sa décision du 19 et 20 janvier 1981, le Conseil Constitutionnel a conféré au principe de la légalité pleine valeur constitutionnelle.

Le principe de la légalité des délits et des peines dresse un rempart à la fois contre l’arbitraire du juge et contre celui du pouvoir exécutif par l’établissement de loi émanant des représentants des citoyens, expression de la volonté générale dans une démocratie autour d’un Pacte social.

Art 111-2 al 1 cp " la loi détermine les crimes et délits et fixe les peines applicables à leurs auteurs ".
Des textes vagues, imprécis remettraient en cause la légitimité de l’incrimination et sa sanction. Le juge serait alors contraint d’interpréter selon son point de vue et non celui de la société.
Ces considérations ont poussé le Cons Const a décidé que les incriminations imprécises sont contraires à l’art 8 DDHC (8 janvier 1985). Ce rempart contre l’arbitraire emporte exigence pour le législateur de légiférer de manière claire et précise, accessible et prévisible pour l’applicabilité du texte pénal. C’est pourquoi, deux possibilités de déférer le texte insuffisamment précis au Conseil Constitutionnel :

  • Avant la promulgation, art 61 C pour vérifier sa constitutionnalité
  • Après la promulgation, art 61-1 C, dans le cadre de la question prioritaire de constitutionnalité (voir harcèlement sexuel).

​Illustration et comparaison :

Art 311-1 cp "Le vol est la soustraction de la chose d'autrui"

​Art L 111-1 cpi "L'auteur d'une oeuvre de l'esprit jouit sur cette oeuvre, du seul fait de sa création, d'un droit de propriété incorporelle exclusif et opposable à tous". 

2- Contraire à l'interprétation stricte de la loi

Les art 111-3 cp et 7 CEDH déclarent que

  • " Nul ne peut être puni pour un crime ou pour un délit dont les éléments ne sont pas définis par la loi,… Nul ne peut être puni d’une peine qui n’est pas prévue par la loi
  • " Nul ne peut être condamné pour une action ou une omission qui, au moment où elle a été commise, ne constituait pas une infraction d’après le droit national ou international. De même il n’est infligé aucune peine plus forte que celle qui était applicable au moment où l’infraction a été commise".

En conséquence, les peines arbitraires et abusives sont interdites. Le juge se doit d'interpréter strictement la loi pénale, art 111-4 cp.

Soulignons la différence avec le juge civil qui peut créer du droit pour combler les lacunes de la loi (Ex : théorie de l’enrichissement sans cause) alors que le juge pénal doit s’en tenir au texte d’incrimination et de sanction prévu afin d’éviter de menacer la liberté du citoyen.

En l'espèce, le juge pénal a eu recours au raisonnement téléologique qui consiste à interpréter la loi en fonction de la finalité. Cette dématérialisation du vol donne une conception trop large de l'infraction qui ne doit sa qualification qu'à l'existence d'un support d'un objet" incorporel lié à l'information.

Par ailleurs, le délit de vol est réputé être instantané. En d'autres termes s'accomplir dans un laps de temps très court et non en continu. Or, en l'espèce, le prévenu s'est comporté comme le maître des données d'autrui au moment de l'extraction mais aussi par la suite en les distribuant à des tiers.

Cette décision sans texte explique-t'elle la sanction mineure du prévenu : 3 000 € d'amende alors que le vol est puni de 3 ans d'emprisonnement et de 45 000 € d'amende ? (voir plus en cas d'aggravation). Seule la conscience d'agir contrairement à l'ordre social est punie.

En conclusion, le législateur est intervenu concernant l'appropriation frauduleuse d'énergie pour en faire une assimilation au vol.

Devrait-il intervenir pour cette appropriation de l'information par autrui pour en faire une autre assimilation au vol ? A défaut de faire application d'autres dispositions ?

A priori la Haute Cour se satisfait de cette décision de 2015 pour confirmer, en 2017 :

"que par le biais du système informatique du cabinet, il a eu accès aux fichiers collectifs à partir du serveur, sans avoir à entrer un quelconque code d'accès propre à Mme Y..., qu'il a pu librement télécharger des documents, que si la SCP a détenu de ce fait des doubles de courriers rédigés par Mme Y..., destinés notamment à des banques et des organismes mutualistes, cette dernière avait seule, en tant que propriétaire, le pouvoir d'en disposer, à raison du caractère personnel des documents, que M. X... a effectué et récupéré des photographies de courriers de la Mutuelle de sa consoeur et édité secrètement des doubles de courriers rédigés par elle contenus dans ses fichiers informatiques consultés officieusement, ce, à l'insu et contre le gré de celle-ci, et à des fins étrangères au fonctionnement de la SCP ; que les juges ajoutent que le prévenu s'était dès lors approprié ces documents, et ce frauduleusement".

Elle précise que "le libre accès à des informations personnelles sur un réseau informatique d'une entreprise n'est pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction"

"Le juge est la bouche qui prononce les paroles de la loi" Montesquieu.

Tag(s) : #Pénal