Si le responsable d’un système d’information ne le sécurise pas contre les intrusions, le délit d’accès et de maintien frauduleux n’est pas constitué. Par un jugement du 23 avril 2013, le tribunal correctionnel de Créteil a donc relaxé celui qui s’était introduit dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail et y avait récupéré des documents dont l’accès n’était pas protégé par un code d’accès et un mot de passe. Ce jugement va dans le sens de la jurisprudence Kitetoa de 2002 et met ainsi à la charge du responsable d’un traitement une obligation de sécurité.

En septembre 2012, l’Anses découvre que son serveur extranet a fait l’objet d’un accès frauduleux et parallèlement la publication en ligne d’un article sur les nano-matériaux accompagné d’un document en powerpoint de l’Agence. Il ressort de l’enquête menée par la Direction centrale du renseignement intérieur, car la victime est opérateur d’importance vitale (OIV), que de nombreux documents ont été exflitrés depuis une adresse IP située au Panama. En raison d’une faille de sécurité, leur accès ne nécessitait pas d’identification. Une erreur de paramétrage du serveur hébergeant l’extranet permettait, en effet, le téléchargement de l’ensemble des documents depuis une adresse IP d’un réseau privé virtuel (VPN), situé au Panama, appartenant à la société du prévenu. Ce dernier avait découvert ces fichiers après une recherche complexe sur Google. « Même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données récupérées par [ndlr le prévenu] aux seules personnes autorisées », a conclu le tribunal. Il a donc pu penser que faute d’exigence de code d’accès et de mot de passe, les données étaient en libre accès et qu’il pouvait se maintenir dans le système.

Par ailleurs, le tribunal adopte une position tout à fait classique sur le vol de données. Il estime qu’il n’y pas eu soustraction matérielle des documents, l’Anses n’en ayant pas été dépossédée, puisqu’ils restaient disponibles et accessibles à tous sur le serveur. Par ailleurs, le prévenu a pu légitimement penser qu’ils étaient librement téléchargeables.
Le parquet a interjeté appel.