Du fait de plusieurs principes propres au Droit Pénal traditionnel et à la nature très moderne de la subtilisation de données hébergées sur un serveur, la qualification de vol a pendant longtemps été refusée à de tels actes. Face aux occurrences croissantes de ce type de situation les juridictions françaises sont obligées de modifier leur façon de penser mais aussi leur Droit pénal en vue de l’adapter aux besoins actuels et donc aux besoins de la technologie.

Bibliothèque Photos


Dans un arrêt du 20 mai 2015 de la Chambre criminelle de la Cour de cassation, une personne accède à l’extranet d’une association du fait de défaillances de sécurité. Sachant pertinemment qu’il n’avait pas de droit d’accès réel à cette interface, il copie différents fichiers sensibles et les diffusera à des tiers.
Les juges du fond poursuivent le prévenu mais le relaxe. En effet, ils considèrent qu’il n’y a pas de maintien frauduleux dans un système de traitement automatisé de données (STAD) car l’individu avait pu pénétrer sur le site en passant par un moteur de recherche grand public et sans inscrire un identifiant et un mot de passe. Le vol de donnée n’est donc pas non plus caractérisé dans cette affaire puisqu’il n’y a pas de soustraction frauduleuse de chose au sens des juges du fond.
La Cour d’appel condamnera cependant l’individu sur ces 2 chefs d’accusation. La Cour de cassation validera cette décision par la formule suivante : «en l’état de ces énonciations, dépourvues d’insuffisance comme de contradiction, et d’où il résulte que M. X… s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision…»
 
 
La qualification de vol, reprise à l’article 311-1 du Code Pénal, est la soustraction frauduleuse de la chose d’autrui. La Loi pénale étant d’interprétation stricte et la chose étant forcément un bien corporel au sens de cette même loi ; la soustraction d’information n’a jamais été réellement reconnue au rang de cette infraction.
 
Il a même fallut rédiger un article spécial pour incriminer le vol d’électricité et l’assimiler au vol traditionnel. Le vol de données, encore plus problématique que celui de l’énergie attire l’attention des juges et est de plus en plus pratiqué et donc gagne à être reconnu. De nombreuses barrières légales et interprétationnelles apparaissent cependant.
 
Le vol est une soustraction frauduleuse…
 
Depuis toujours,  la soustraction d’une chose se matérialise par la prise de possession d’un objet, privant sont propriétaire de l’usage de ce dernier. Dans le cadre d’un vol d’information -sur support informatique-, il n’y a que rarement dépossession du propriétaire réel. L’individu mal intentionné camouflera son méfait en effectuant des copier/coller et non en supprimant l’information de son support originel. Ici on peut parler de duplication.
La loi pénale étant d’interprétation stricte, principe rappelé à l’article 111-4 du Code pénal, le raisonnement par analogie entre la soustraction et la duplication ne sera que peu probable.
Malgré cela, les juges, dans la décision étudiée pourront conclure à ladite qualification. Il faudra cependant un complément pour qualifier la soustraction frauduleuse. Ce complément sera mis en avant par la diffusion en toute conscience, de l’information à des personnes n’y ayant pas accès en théorie. Cette preuve subsidiaire peut largement s’apparenter à du recel et renforce la nécessité probatoire de l’élément matériel du vol. Malgré cette légère ombre au tableau, les juges ont tout de même marqués une certaine rupture par rapport à la jurisprudence antérieure en admettant dans cette espèce que l’élément matériel du vol était présent en cas de duplication de l’information. Cependant, il est aussi nécessaire qu’une chose soit volée.
 
…de la chose d’autrui.
 
La chose a pendant de nombreuses années été reconnue comme un objet physique, quantifiable et mesurable. Il est peu aisé de définir la quantité d’information prélevée dans le cadre du vol d’information. L’évolution des technologies et la dématérialisation croissante ont tout de même rendu plus aisée l’assimilation d’un objet physique et d’une information ayant un caractère hautement immatériel, mais comme nous avons pu le constater le chemin a été long et l’information n’a pas encore été clairement réifiée.
 
L’intention coupable.
 
La décision de la Cour est aussi appuyée par la mise en valeur de l’intention criminelle de l’auteur : « qu’en décidant que la seule découverte par M. X… de la présence d’un contrôle d’accès sur la page d’accueil suffisait à établir que ce dernier avait conscience de son maintien irrégulier dans le système à l’insu et contre le gré de son propriétaire, la cour d’appel qui a statué par des motifs impropres à démontrer les documents rendus librement accessibles par l’ANSES et téléchargés par M. X…, étaient, eux aussi confidentiels, la cour d’appel n’a pas légalement justifié sa décision au regard de l’article 323-1 du code pénal… ». En effet le prévenu avait réellement conscience de s’introduire sans droit dans un système de données. Il a en outre soustrait des informations confidentielles. Il ne faisait donc pas de doute que la personne avait l’intention ferme de capter des informations auxquelles il n’avait pas droit.
 
En somme la Cour de Cassation rejette sa demande et le valide les juges d’appel sur leur condamnation des 2 chefs d’accusation.
Le Droit pénal amorce donc une phase de modernisation et de prise en compte du volet immatériel. Il fallut tout de même attendre que l’année 2013 soit sacrée l’année du vol de données pour que les juridictions commencent à abonder dans ce sens.
 
MSbyNBMaxime SALAUN
Étudiant en M2 Droit des nouvelles technologies à l’Université de Strasbourg, je suis en attente perpétuelle des innovations aux services de l’Humain et contribuant à l’évolution raisonnée
logo Twitter couleurLinkedIn couleur Logo mail couleur
 

A propos de Maxime SALAUN