Jurisprudence : Responsabilité
Cour de cassation, chambre criminelle, arrêt du 20 mai 2015
O. L.
code pénal - contrôle d’accès - fraude informatique - information - maintien dans un système automatisé de données - mesure de protection - soustraction de données - vol
La cour de cassation, chambre criminelle, en son audience publique tenue au Palais de Justice à PARIS, a rendu l’arrêt suivant :
Statuant sur le pourvoi formé par :
– O. L.,
contre l’arrêt de la cour d’appel de PARIS, chambre 4-10, en date du 5 février 2014, qui, pour maintien frauduleux dans un système de traitement automatisé de données et vol, l’a condamné à 3 000 euros d’amende ;
La COUR, statuant après débats en l’audience publique du 11 mars 2015 où étaient présents dans la formation prévue à l’article 567-1-1 du code de procédure pénale : M. Guérin, président, Mme Chaubon, conseiller rapporteur, Mme Nocquet, conseiller de la chambre ;
Greffier de chambre : M. Bétron ;
Sur le rapport de Mme le conseiller Chaubon, les observations de la société civile professionnelle Piwnica et Molinié, avocat à la Cour, et les conclusions de M. l’avocat général Desportes, l’avocat du demandeur a eu la parole en dernier ;
Vu le mémoire produit ;
Sur le premier moyen de cassation, pris de la violation des articles 323-1 et 323-5 du code pénal, 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
“en ce que l’arrêt infirmatif attaqué a déclaré O. L. coupable des faits qui lui sont reprochés de maintien frauduleux dans un système de traitement automatisé de données et l’a condamné à une amende délictuelle de 3 000 euros ;
“aux motifs qu’il n’est pas établi par les pièces de procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données ; que l’accès qu’il ne conteste pas, lui a, en fait, été permis en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ; que dans ces conditions, l’infraction n’est pas caractérisée ; qu’il y aura lieu de confirmer le fondement de ce chef ; que pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée ; que le prévenu a parfaitement reconnu qu’après être arrivé par erreur au coeur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système des traitement automatisé de données visitées où il a réalisé des opérations de téléchargement de données à l’évidence protégées, que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers, qu’il est en tout état de cause établi que O. L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles, à l’insu et contre le gré de son propriétaire ; que la culpabilité de O. L. sera donc retenu des chefs de maintien frauduleux dans un système de traitement automatisé de données et de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) ; que tenant compte de la gravité des faits commis, de l’absence d’antécédents judiciaires du prévenu et des éléments connus et sa personnalité, la cour prononcera à son encontre une peine délictuelle de 3 000 euros ; que la demande du prévenu de non inscription au casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense ;
“et aux motifs enfin que lors de ses auditions par les enquêteurs, O. L. reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’ANSES ; qu’il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google ; que s’il affirmait être arrivé par erreur au coeur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celle-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la prestance de contrôle d’accès (authentification par identifiant et mot de passe) ; qu’il précisait ne pas avoir diffusé l’archive de 7,7 Go qu’il avait généré et en avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisés pour argumenter son article sur la légionellose ; qu’il admettait avoir communiqué des documents à un autre rédacteur du site reflet info à savoir M. Y M identifié comme étant M. P.H. ;
“1°) alors que ne commet pas le délit de maintien frauduleux dans un système automatisé de données, l’internaute qui utilise un logiciel grand public pour pénétrer dans un système non protégé ; qu’en reprochant à O. L. de s’être maintenu frauduleusement dans le système automatisé de l’ANSES, après avoir admis que ce dernier avait pu accéder librement aux données non protégées qu’il avait ensuite téléchargées au moyen d’une recherche sur le site grand public Google, la cour d’appel a violé l’article L. 323-1 du code pénal ;
“2°) alors que seul le maintien sans droit et en parfaite connaissance de cause de son absence de possibilité d’accès dans un système de traitement automatisé de données est frauduleux ; qu’en décidant que la seule découverte par O. L. de la présence d’un contrôle d’accès sur la page d’accueil suffisait à établir que ce dernier avait conscience de son maintien irrégulier dans le système à l’insu et contre le gré de son propriétaire, la cour d’appel a violé l’article 323-1 du code pénal ;
“3°) alors qu’en l’absence de dispositif de protection des données, la maître du système doit manifester clairement et expressément manifester, par une mise en garde spéciale, sa volonté d’interdire ou de restreindre l’accès aux données ; qu’en déduisant de la seule présence d’un contrôle d’accès sur la page d’accueil du site de l’ANSES que O. L. s’était irrégulièrement maintenu dans le système contre le gré de son propriétaire, la cour d’appel a violé l’article 323-1 du code pénal ;
“4°) alors que les informations contenues dans une partie d’un site non protégé sont réputées non confidentielles et publiées avec l’accord des intéressés ; qu’en décidant que la seule découverte par O. L. de la présence d’un contrôle d’accès sur la page d’accueil suffisait à établir que ce dernier avait conscience de son maintien irrégulier dans le système à l’insu et contre le gré de son propriétaire, la cour d’appel qui a statué par des motifs impropres à démontrer les documents rendus librement accessibles par l’ANSES et téléchargés par O. L., étaient, eux aussi confidentiels, la cour d’appel n’a pas légalement justifié sa décision au regard de l’article 323-1 du code pénal ;
“5°) alors qu’en reprochant à O. L. d’avoir « réalisé des opérations de téléchargement de données à l’évidence protégées » et « fait des copies de fichiers informatiques inaccessibles au public » après avoir admis que ce dernier avait pu accéder librement à ces données à la suite d’une défaillance avérée du système de protection de l’ANSES, la cour d’appel a entaché sa décision d’une contradiction de motifs” ;
Sur le second moyen de cassation, pris de la violation des articles 111-4, 311-1, 311-3 et 311-14 1o 2o 3o 4o 6o du code pénal, 591 et 593 du code de procédure pénale, défaut de motifs, manque de base légale ;
“en ce que l’arrêt infirmatif attaqué a déclaré O. L. coupable des faits qui lui sont reprochés de vol dans les termes de la prévention et l’a condamné à une amende délictuelle de 3 000 euros ;
“aux motifs qu’il n’est pas établi par les pièces de procédure que le prévenu s’est rendu coupable d’accès frauduleux dans un système de traitement automatisé de données ; que l’accès qu’il ne conteste pas, lui a, en fait, été permis en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ; que dans ces conditions, l’infraction n’est pas caractérisée ; qu’il y aura lieu de confirmer le fondement de ce chef ; que pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée ; que le prévenu a parfaitement reconnu qu’après être arrivé par erreur au coeur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système des traitement automatisé de données visitées où il a réalisé des opérations de téléchargement de données à l’évidence protégées, que les investigations ont démontré que ces données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers, qu’il est en tout état de cause établi que O. L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles, à l’insu et contre le gré de son propriétaire ; que la culpabilité de O. L. sera donc retenu des chefs de maintien frauduleux dans un système de traitement automatisé de données et de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) ; que tenant compte de la gravité des faits commis, de l’absence d’antécédents judiciaires du prévenu et des éléments connus et sa personnalité, la cour prononcera à son encontre une peine délictuelle de 3 000 euros ; que la demande du prévenu de non inscription au casier judiciaire de la condamnation sera rejetée, ce dernier ne justifiant pas actuellement de la nécessité d’une telle dispense ;
“et aux motifs enfin que lors de ses auditions par les enquêteurs, O. L. reconnaissait avoir récupéré via son VPN panaméen l’ensemble des données litigieuses stockées sur le serveur extranet de l’ANSES ; qu’il déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur le moteur de recherche Google ; que s’il affirmait être arrivé par erreur au coeur de l’extranet de l’ANSES, il reconnaissait néanmoins avoir parcouru l’arborescence des répertoires de celle-ci et être remonté jusqu’à la page d’accueil sur laquelle il avait constaté la prestance de contrôle d’accès (authentification par identifiant et mot de passe) ; qu’il précisait ne pas avoir diffusé l’archive de 7,7 Go qu’il avait généré et en avoir seulement fait une extraction de 250 mégaoctets qu’il avait utilisés pour argumenter son article sur la légionellose ; qu’il admettait avoir communiqué des documents à un autre rédacteur du site reflet info à savoir M. Y. M. identifié comme étant M. P. H. (p. 4, alinéa 2) ;
“1°) alors que la loi pénale et d’interprétation stricte ; que le vol est la soustraction frauduleuse de la chose d’autrui ; que le seul téléchargement de fichiers informatiques même à l’insu et contre la volonté de leur propriétaire, n’est pas constitutif de vol sauf lorsqu’il est accompagné de l’appropriation frauduleuse d’une chose appartenant à autrui ; qu’en se bornant à affirmer, pour caractériser l’élément matériel du vol de fichiers informatiques prétendument commis par O. L., que celui-ci avait téléchargé les données litigieuses puis fixées celle-ci sur différents supports, la cour d’appel qui a statué par des motifs impropres à établir une dépossession quelconque de l’ANSES, n’a pas légalement justifié sa décision au regard des articles 111-4 et 311-1 du code pénal ;
“2°) alors qu’en tout état de cause à défaut de soustraction intentionnelle de la chose d’autrui, le délit de vol n’est pas caractérisé en tous ses éléments ; qu’en déclarant O. L. coupable de vol de fichiers informatiques appartenant à l’ANSES, après avoir admis que ce dernier avait téléchargé sur le site de l’ANSES des données non protégées, et accessibles au moyen d’une simple recherche Google, ce qui excluait toute appréhension frauduleuse de ces documents, la cour d’appel a violé l’article L 311-1 du code pénal ;
“3°) alors que la cour d’appel n’a pu, sans se contredire, pour déclarer O. L. coupable de vol, considérer d’un côté que les données téléchargées étaient accessibles au public et non protégées, et d’un autre côté, qu’elles étaient à l’évidence protégées et inaccessibles au public” ;
Les moyens étant réunis ;
Attendu qu’il résulte de l’arrêt attaqué et des pièces de procédure que O. L., qui s’est introduit sur le site extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail à la suite d’une défaillance technique, s’y est maintenu alors qu’il avait constaté l’existence d’un contrôle d’accès, et a téléchargé des données qu’il a fixées sur différents supports et diffusées à des tiers ; que, poursuivi des chefs d’ accès et de maintien frauduleux dans un système de traitement automatisé et de vol de données, il a été relaxé par le tribunal ; que le procureur de la république a interjeté appel ;
Attendu que, pour déclarer le prévenu coupable de maintien frauduleux dans un tel système et vol, l’arrêt prononce par les motifs repris aux moyens ;
Attendu qu’en l’état de ces énonciations, dépourvues d’insuffisance comme de contradiction, et d’où il résulte que O. L. s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision ;
D’où il suit que les moyens doivent être écartés ;
Et attendu que l’arrêt est régulier en la forme ;
REJETTE le pourvoi ;
Ainsi fait et jugé par la Cour de cassation, chambre criminelle, et prononcé par le président le vingt mai deux mille quinze ;
En foi de quoi le présent arrêt a été signé par le président, le rapporteur et le greffier de chambre.
La Cour : M. Guérin (président), Mme Chaubon (conseiller rapporteur), Mme Nocquet (conseiller de la chambre), M. Bétron (greffier)
Avocats : SCP Piwnica et Molinié, Me Desportes (avocat général)
Notre présentation de la décision
En complément
Maître Desportes est également intervenu(e) dans l'affaire suivante :
En complément
Maître SCP Piwnica et Molinié est également intervenu(e) dans les 75 affaires suivante :
En complément
Le magistrat Bétron est également intervenu(e) dans les 2 affaires suivante :
En complément
Le magistrat Chaubon est également intervenu(e) dans les 3 affaires suivante :
En complément
Le magistrat Guerin est également intervenu(e) dans les 17 affaires suivante :
En complément
Le magistrat Nocquet est également intervenu(e) dans les 4 affaires suivante :
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.