Précisions autour de la notion de vol de données informatiques

Le 5 février 2014, M. Olivier X a été condamné à 3.000 euros d’amende par la Cour d’Appel de Paris pour maintien frauduleux dans un système de traitement automatisé de données et vol de données.

Sa condamnation a été fondée sur l’article L.323-1 du Code Pénal qui dispose que « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende […] » . Mais aussi sur le fondement de l’article L.323-5 du même code qui prévoit les peines complémentaires pour les atteintes aux systèmes de traitement automatisé de données.

Suite à cette décision, M. Olivier X a formé un pourvoi en cassation. Les juges de la Haute juridiction ont rejeté le pourvoi dans une décision rendue le 20 mai 2015. Cette jurisprudence s’inscrit dans la jurisprudence actuelle de la Chambre criminelle de la Cour de cassation qui avait reconnu que la copie frauduleuse de fichiers sur une disquettes constituait un vol (Crim. 12 janvier 1989 B n°14), même en l’absence de soustraction de tout support matériel (Crim. 9 sept.2003 n°02-87.089, Crim. 27 avril 2011 n°10-86.233; http://www.legalis.net/spip.php?article3241).

En l’espèce, M. Olivier X avait pu s’introduire dans le système de traitement automatisé de données de l’Agence nationale de sécurité sanitaire de l’alimentation (ANSES) « en raison d’une défaillance technique concernant les certificats existants dans le système, défaillance que reconnaît » l’ANSES.

Il estimait qu’il n’avait pas lieu de le condamner pour son acte au regard des conditions dans lesquelles il avait pu s’introduire dans le système. Il se fondait notamment sur le fait qu’ « en l’absence de mise en place d’une protection ou de manifestation de volonté, par les dirigeants d’une entreprise, de restreindre l’accès au système informatisé de données, le délit de l’art. 323-1 C. pén. n’est pas constitué. » (CA Paris, 8 déc. 1997: Gaz. Pal. 1998. 1, chron. crim. 54). Il contestait ainsi son accès défini comme « frauduleux ».

La Cour de cassation va d’ailleurs considérer à ce sujet « qu’en déduisant de la seule présence d’un contrôle d’accès sur la page d’accueil du site de l’ANSES que M. X… s’était irrégulièrement maintenu dans le système contre le gré de son propriétaire, la cour d’appel a violé l’article 323-1 du code pénal ».

Mais la Cour d’Appel a relevé que non seulement M.Olivier X  » avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe » mais aussi au regard des investigations, qu’il avait conscience qu’il n’avait pas l’autorisation de se maintenir dans le système et d’en télécharger les données qui étaient « à l’évidence protégées ». De plus, l’enquête avait révélé que les « données avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers, qu’il est en tout état de cause établi que M. X… a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles, à l’insu et contre le gré de son propriétaire ». Ainsi, pour les juges de la Cour d’Appel, M. Olivier X a bien commis une atteinte aux systèmes de traitement automatisé de données de l’ANSES.

Raisonnement que la Cour de Cassation ne va pas remettre en cause.

Il en sera de même pour la qualification de vol des données. En effet, Monsieur Olivier X contestait également cette condamnation.

En l’espèce, la Cour de Cassation relève bien que « le seul téléchargement de fichiers informatiques même à l’insu et contre la volonté de leur propriétaire, n’est pas constitutif de vol sauf lorsqu’il est accompagné de l’appropriation frauduleuse d’une chose appartenant à autrui ». Si Olivier X est condamné pour vol c’est parce qu’il « s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ».

D’après l’avocat général, la notion de « chose » au sens de l’article 311-1 du Code pénal « est suffisamment compréhensive pour qu’y soient incluses ces données qui nous apparaissent ni plus ni moins immatérielles que l’électricité ». Le fait de copier frauduleusement des données informatiques constitue une soustraction frauduleuse, même si la victime n’est pas dépossédée desdites données.

De plus, au regard du principe d’autonomie du droit pénal, la qualification de vol n’implique pas l’existence d’un droit de propriété sur les données.

Une décision donc intéressante car elle met en avant la possibilité offerte aux propriétaires de données de se défendre d’un vol de données quand bien même la soustraction n’entraine pas dépossession. Le vol est une qualification pénale à ne pas négliger pour les propriétaires de données.

Par Jessica Sababady

Cass. Crim. 20 mai 2015 n° 14-81.336