Par un arrêt du 5 février 2014, la cour d’appel de Paris a condamné pour maintien frauduleux à un système automatisé de données et vol de fichiers celui qui s’était introduit dans l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses) et y avait récupéré des documents dont l’accès n’était pas protégé. Elle infirme ainsi le jugement du tribunal correctionnel de Créteil qui avait relaxé le prévenu. Ce dernier a décidé de se pouvoir en cassation.

En septembre 2012, l’Anses avait découvert la publication d’un article relatif aux nano-matériaux accompagné d’un document de travail lui appartenant et destiné à un usage restreint. Il est ressorti de l’enquête menée par la Direction centrale du renseignement intérieur, car la victime est opérateur d’importance vitale (OIV), que 8 000 documents figurant sur son extranet avaient été exfiltrés vers l’adresse IP d’un VPN (réseau privé virtuel) localisée au Panama. En raison d’une faille de sécurité, leur accès n’avait pas nécessité d’identification. Une erreur de paramétrage du serveur hébergeant l’extranet avait rendu possible, en effet, le téléchargement de l’ensemble des documents. Lors de ces investigations, les enquêteurs avaient découvert un article relatif à la légionellose signé Bluetouff, pseudonyme du prévenu, accompagné d’un fichier compressé provenant de l’extranet de l’Anses. Le prévenu a reconnu avoir découvert ces documents en libre accès après une recherche complexe sur Google. Tout en affirmant être parvenu au cœur de l’extranet par erreur, il a admis avoir parcouru l’arborescence de ses répertoires et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté l’existence de code d’accès. Il a téléchargé 7,7 gigaoctets d’archives sur un serveur hébergeant au Panama une solution VPN de sa société et en avoir fait une extraction pour son article.
Comme le tribunal, la cour a estimé que l’infraction d’accès frauduleux n’était pas caractérisée, en raison de la défaillance technique du système de l’Anses concernant l’identification. En revanche, elle a considéré que le prévenu s’était rendu coupable de maintien frauduleux car il était conscient de sa présence irrégulière dans le système, à partir duquel il a réalisé des téléchargements de données à l’évidence protégées. Pour avoir copié ces fichiers inaccessibles au public et à l’insu de l’Anses, la cour a estimé que le prévenu s’était rendu coupable de « vol de fichiers informatiques ». Cette solution tranche avec la position du tribunal de Créteil qui avait jugé de façon classique qu’« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose. ». La Cour de cassation devrait définitivement trancher ce débat.