Caractère frauduleux de l’accès et du maintien dans un STAD non protégé et vol de fichiers informatiques

Citation : Cabinet Caprioli & Associés, Le caractère frauduleux de l’accès et du maintien dans un STAD non protégé et vol de fichiers informatiques, www.caprioli-avocats.comDate de mise en ligne : 28 mars 2014.

Dans un arrêt du 5 février 2014, la Cour d’appel de Paris a statué dans l'affaire de « l'exfiltration » de documents des serveurs de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES) qui est un Opérateur d’importance vitale (OIV).

A la suite d’une recherche sur Google, M. Olivier L. avait pu accéder et télécharger des données confidentielles sur un serveur extranet de l'ANSES dont la sécurité des paramètres d’identification était à cet instant défaillante. L’ANSES avait découvert cette attaque à la suite de la publication d’un article sur un site d’information accompagné des documents confidentiels. L’enquête avait permis de révéler l’existence d’un second article accompagné de documents publiés sous le nom de « Bluetouff » qui affirmait détenir 7,7 gigaoctets de documents traitant de questions de santé public. Les documents avaient été « exfiltrés » vers une adresse IP au Panama qui provenait d’un serveur informatique hébergeant une solution VPN d’une société fondée et dirigée par M. Olivier L.

Si le Tribunal correctionnel de Créteil dans un jugement du 23 avril 2013 avait prononcé la relaxe pour l’ensemble des chefs d’accusation (TGI Créteil, 11e ch. corr., 23 avr. 2013 : http://www.legalis.net ; Comm. com. électr. 2013, comm. 96, obs. Éric A. Caprioli), la Cour d’appel a condamné le prévenu à une amende de 3.000 € pour maintien frauduleux dans un STAD et vol de fichiers informatiques. En revanche la relaxe pour accès au STAD a été confirmée.

Sur l’accès sur le STAD, le Tribunal correctionnel avait retenu que « même s’il n’est pas nécessaire pour que l’infraction existe que l’accès soit limité par un dispositif de protection, le maître du système, l’Anses, en raison de la défaillance technique, n’a pas manifesté clairement l’intention de restreindre l’accès aux données ». A quelques mots près, le jugement reprenait les principes issus de deux décisions qui faisaient prévaloir le critère de la volonté de restreindre l’accès au STAD par son propriétaire (CA Paris, 5 avr. 1994 : D. 1994, inf. rap. p. 130 ; JCP E 1995, I, 461, obs. M. Vivant et C. Le Stanc. ; TGI Paris, 17e ch. corr., 26 janv. 2009, Forever Living Products c/ Damien B. : www.legalis.net et CA Paris, 9 sept. 2009, Damien B. c/ Forever Living Products France : Comm. com. électr. 2009, comm. 120, obs. Éric A. Caprioli).

De façon plus sommaire, la Cour d’appel a relevé un manque d’éléments suffisamment probants et le fait que cet accès a été permis par une « défaillance technique concernant l’identification existant dans le système ». Cette motivation semble aller dans le sens de la décision Kitetoa de 2002 (TGI Paris, 12 février 2002 et CA Paris, 12e ch., sect. A, 30 oct. 2002, Antoine C. c/ Min. public, Sté Tati : JurisData n° 2002-204096 ; Comm. com. électr. 2003, comm. 5, obs. L. Grynbaum ; Expertises des systèmes d'information, n° 266, janv. 2003, p. 27-31, C. Morel) où un journaliste qui avait accédé et s'était maintenu dans un STAD par la simple utilisation d'un logiciel grand public de navigation avait été relaxé, les juges estimant que les parties de site accessibles par un logiciel de navigation grand public « ne font par définition l’objet d’aucune protection » et doivent-être « réputées non confidentielles à défaut de tout indication contraire et tout obstacle à l’accès ».

En revanche, s’agissant du maintien sur le STAD, si pour le Tribunal correctionnel, la découverte par M. Olivier L. du contrôle d’accès signifiait qu’il pouvait penser que certaines données étaient protégées mais pas celles qu’il était en train de consulter, la Cour d’appel considère au contraire que cela démontrait la « conscience de son maintien irrégulier ».

Enfin, le Tribunal correctionnel avait conclu qu’il n’y avait pas vol de fichiers informatiques au motif que l’ANSES n’avait pas été dépossédée des données, éléments immatériels qui restaient accessibles. En l’absence d’appréhension d’une chose, l’élément matériel du délit n’était pas constitué. Cette décision suivait la jurisprudence classique qui considère que le vol ne porte pas sur l'information elle-même mais sur l'appropriation du support matériel de l'information (Cass. crim., 20 oct. 2010, n° 09-88.387 : Comm. com. électr. 2011, comm. 30, obs. Éric A. Caprioli). En revanche, la qualification de recel est souvent admise, le recel consistant notamment à bénéficier du produit d'un crime ou d'un délit (en l'occurrence du vol).

La Cour d’appel invalide cette position et retient que le fait de télécharger des données et de réaliser des copies sur différents supports de fichiers informatiques inaccessibles au public à des fins personnelles, à l’insu et contre le gré de leur propriétaire est constitutif de « vol de fichiers informatiques ». Cette décision rappelle le jugement du Tribunal correctionnel de Clermont-Ferrand du 26 septembre 2011 qui a condamné pour vol de données informatiques et abus de confiance une ancienne salariée qui avait reproduit sur une clé USB, le jour de son départ de l'entreprise, des données confidentielles (TGI Clermont-Ferrand, 26 sept. 2011, Stés X. et Y. c/ Mme Rose : Comm. com. électr. 2012, comm. 36, obs. Éric A. Caprioli). Ce vol-reproduction, plus adapté aux infractions dans le numérique, reposerait sur le téléchargement et la fixation sur différents supports de l’information à l’encontre de la volonté du leur propriétaire. En l’absence d’une jurisprudence plus abondante ou d’une décision de la Cour de cassation, il est encore difficile de considérer qu’il s’agit d’un principe établi.

En pratique, l’existence d’un dispositif de protection, qu’il soit technique ou informationnel est le moyen le plus simple de protéger l’accès au système d’information mais également de faire la preuve du caractère irrégulier de l'intrusion et du vol des fichiers qui pourraient en découler.

Pour conclure, il est à signaler qu’une telle défaillance serait aujourd’hui susceptible de faire l’objet d’une notification à l’ANSSI. En effet, l’article L. 1332-6-2 du Code de la défense inséré par la loi de programmation militaire du 18 décembre 2013, impose une notification des incidents « affectant le fonctionnement ou la sécurité des systèmes d’information » à destination des OIV mais également des « opérateurs publics ou privés qui participent à ces systèmes ». Les modalités de cette notification devraient être précisées au sein d’un décret à paraître courant 2014.

Il a été annoncé qu’un pourvoi en cassation devrait être formé à l’encontre de cette décision.

Source : Arrêt de la Cour d'appel de Paris du 5 février 2014