L’affaire « Bluetouff » : condamné pour vol de données librement accessibles

La chambre criminelle de la Cour de Cassation a rendu le 20 mai 2015 un arrêt donnant une réponse définitive dans l’affaire Bluetouff en confirmant la condamnation en appel du blogueur Olivier Laurelli, alias « Bluetouff », à 3.000 € d’amende pour maintien frauduleux dans un système de traitement automatisé de données (STAD) et pour vol, alors que le chef d’accusation d’accès frauduleux à un STAD avait été rejeté.

Cette affaire est intéressante tout d’abord parce qu’elle condamne le fait d’accéder à des documents librement accessibles via son navigateur mais également parce qu’elle utilise la notion de « vol de données ».

·        Le vol de données

« Voler des données » est de plus en plus facile de nos jours parce qu’elles sont parfois simplement mises en ligne par les pirates sur le Darknet[i], ce réseau internet souterrain où règne l’anonymat, ou parce que l’entreprise elle-même les met involontairement en ligne, comme cela a été le cas avec les affaires France Télévisions, Tati et Bluetouff.

La plus récente est la mise en ligne par France Télévisions de toutes les données concernant ses utilisateurs. Il suffisait d’entrer une URL dans son navigateur pour pouvoir y accéder. L’erreur a été modifiée rapidement par le groupe télévisé mais le cache de Google a continué à indexer son contenu pendant plusieurs mois[ii]. La question est donc de savoir si le fait de collecter ces informations librement accessibles est, ou non, condamnable.

Lors de l’affaire Tati, en 1999, la Cour d’Appel de Paris avait répondu négativement. Dans cette affaire un journaliste s’était introduit à de nombreuses reprises et sur une longue période dans la base de données de Tati par le simple intermédiaire de son navigateur, Netscape. Le journaliste, accusé de s’être introduit et maintenu frauduleusement dans un système de traitement automatisé de données[iii], a été relaxé par la Cour d’Appel de Paris. Celle-ci avait en effet considéré que le fait que les données fussent accessibles sur le site par la simple utilisation d’un logiciel grand public ne permettait pas de qualifier les infractions[iv].

Une décision bien différente de celle de l’affaire Bluetouff.

·        L’affaire « Bluetouff »

En 2005, Olivier Laurelli, connu sous le nom de « Bluetouff », a récupéré et publié près de huit giga-octets de données de l’ANSES[v] concernant la santé publique qui lui étaient librement accessibles en naviguant dans l’arborescence des fichiers du site depuis son navigateur ; des faits similaires à l’affaire Tati. Rapidement appréhendé par la DCRI, ex-DGSI, le blogueur « Bluetouff » a été accusé d’accès et de maintien frauduleux dans un STAD et de soustraction frauduleuse de données.

La jurisprudence Tati a, dans un premier temps, été suivie par le Tribunal Correctionnel de Paris[vi] qui a exclu l’accès et le maintien frauduleux dans le STAD de l’ANSES au motif que l’Agence, en raison de la défaillance technique, n’avait « pas manifesté clairement l’intention de restreindre l’accès aux données récupérées » ; ainsi que la soustraction frauduleuse au motif que, selon l’article 311-1 du Code Pénal, le vol est la soustraction frauduleuse de la chose d’autrui et que le juge a constaté qu’il n’y avait ni l’élément matériel, la soustraction, car l’ANSES restait en possession des fichiers, ni l’élément intentionnel du fait qu’Olivier Laurelli pouvait penser que ces documents étaient librement accessibles.

Il a toutefois été condamné en appel pour maintien frauduleux dans un système de traitement automatisé de données et pour vol de données par la Cour d’Appel de Paris[vii] ; un arrêt confirmé par la Cour de Cassation fin mai 2015[viii].

·        Les explications au revirement

Comment expliquer ce revirement ? Plusieurs hypothèses peuvent être avancées.

Tout d’abord il est possible que cela soit lié au désir croissant de protection des données qui ont, de nos jours, une grande valeur économique, qu’il s’agisse de données à caractère personnel ou non, et qui ne sont pourtant pas suffisamment protégées des acquisitions frauduleuses. En effet, en l’absence de protection spécifique du secret des affaires[ix], voler les données d’une administration n’est condamnable qu’en raison du procédé, c’est à dire une intrusion frauduleuse dans le système, ou du vol du support comme un ordinateur ou une clé USB. Accéder à un ordinateur non-protégé par un mot de passe et y copier des données sur sa propre clé USB n’est donc pas condamnable si ces données ne font pas l’objet d’une protection spécifique comme le secret de la Défense Nationale ou celle applicable au Potentiel Scientifique et Technique de la Nation. Condamner « Bluetouff » pour vol de données en plus du maintien frauduleux leur confère donc une protection spécifique, indépendante de la commission concomitante d’une autre infraction. Toutefois, si cette conception permettrait de caractériser l’élément matériel de l’infraction, il resterait à démontrer l’élément intentionnel.

La caractérisation de l’élément intentionnel résulte, pour la Cour d’Appel, des aveux d’Olivier Laurelli dans lesquels il révélait que bien qu’il soit arrivé par erreur au cœur de l’extranet de l’ANSES, il avait toutefois pris conscience en remontant l’arborescence des fichiers que cette partie du site n’aurait pas dû lui être accessible. Il a malgré tout copié les données. La Cour d’Appel considère donc que, si l’intrusion n’était pas frauduleuse, le maintien, lui, l’était.

Enfin, il existe une différence majeure entre Tati et l’ANSES. La première est une entreprise commerciale, la deuxième est, selon l’arrêt, un OIV, un Opérateur d’Importance Vitale, ce qui fait d’elle l’objet d’une protection spécifique[x]. Cela signifie que les données récupérées par le blogueur, qui concernaient la santé publique, étaient d’une bien plus grande importance que celles de Tati, ce qui tend à expliquer une sévérité des juges proportionnelle à la gravité de l’atteinte.

Les conditions dans lesquelles Olivier Laurelli s’est maintenu dans le STAD et a « volé » les données ont toutefois été prises en compte étant donné que la peine maximale prévue pour le maintien frauduleux est de deux ans d’emprisonnement et de 30.000 € d’amende et que celle pour un vol est de 3 ans d’emprisonnement et de 45.000 € d’amende.

***

Il est également intéressant de s’intéresser au terme de « vol de données » utilisé par la Cour d’Appel de Paris et la Cour de Cassation. L’article 311-1 du Code Pénal dispose que « le vol est la soustraction frauduleuse de la chose d’autrui ».

Or, comme l’a relevé le Tribunal Correctionnel de Créteil, cette disposition est difficilement applicable aux cas de « vol de données ». En effet, dans ces cas, il n’y a pas, à proprement dit, de soustraction, car le fichier est copié et reste donc accessible à la victime. Le vol de bien immatériel n’est donc pas possible sauf exception expressément prévue par la loi comme le vol d’électricité, prévu par l’article 311-2 du Code Pénal.

Cette évolution vers une pénalisation du vol de données, pour tenter, entre autres, de contourner l’absence de protection spécifique du secret des affaires, trouve notamment sa source dans la loi anti-terrorisme de novembre 2014[xi] qui ajoute, parmi la liste des atteintes aux données prévues par l’article 323-3 du Code Pénal le fait « d’extraire […] frauduleusement les données qu’il [le STAD] contient ». L’incrimination de l’extraction frauduleuse de données est donc semblable au vol, bien que le terme de « vol » ne soit pas toujours légalement applicable, celui-ci nécessitant toujours de respecter les critères de l’article 311-1 du Code Pénal. L’utilisation du terme « vol » dans ce type d’affaire n’est toutefois pas nouvelle, même si elle est récente. Déjà, en février 2014, le juge avait considéré que « des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire »[xii] caractérisaient le vol de données[xiii].

Cette affaire illustre la volonté des juges de mieux protéger les données numériques. Cette décision est toutefois contrastée par une solution contestable, élargissant la définition du vol au-delà de ce qui est prévu dans la loi, au risque de porter atteinte au principe de légalité des délits et des peines, bien qu’elle soient conformes aux objectifs politiques et législatifs actuels.

Thomas Graindorge

[i] Le Darknet ou Deepweb est une part d’internet inaccessible depuis les navigateurs classiques, qui y garantir l’anonymat (pas d’adresse IP donc pas de nom ni de localisation) en faisant transiter toutes les requêtes par un de ses routeurs qui fera office d’intermédiaire en étant le seul élément visible par les tiers. Il permet de permettre d’assurer la liberté d’expression dans des pays où a lieu une censure, mais il permet aussi l’exercice dans une globale impunité de nombreuses formes de criminalité comme le terrorisme, la pédopornographie, le trafic de drogues, le vente de données personnelles, bancaires notamment, volées… Il est accessible par des navigateurs comme TOR ou I2P. Pour un aperçu des problématiques liées au Darknet, voir Le Petit Juriste, « La fraude et le Darknet », 14 janvier 2015, https://www.lepetitjuriste.fr/la-fraude-et-le-darknet/, consulté le 15 janvier 2015.

[ii] Nextinpact « France télévisions colmate une énorme fuite de données », le 15 avril 2015, http://www.nextinpact.com/news/93810-france-televisions-colmate-enorme-fuite-donnees.htm, consulté le 18 mai 2015.

[iii] Réprimées par l’article 323-1 du Code Pénal

[iv] CA de Paris, 12ème chambre, section A, 30 octobre 2002, Antoine C. / Ministère Public, société Tati.

[v] L’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et de la santé

[vi] Tribunal de Grande instance de Créteil, 11ème chambre correctionnelle, jugement du 23 avril 2013.

[vii] CA de Paris, Pôle 4, chambre 10, 5 février 2014, n°13/04833.

[viii] Cass. Crim. 20 mai 2015, n°14-81.336.

[ix] Le projet d’instituer une protection du secret des affaires a été rejeté à deux reprises en France, avec la proposition de loi du député Bernard Carayon ( Proposition de loi n°3985 visant à sanctionner la violation du secret des affaires, enregistrée à la Présidence de l’Assemblée Nationale le 22 novembre 2011), puis le projet de loi d’Emmanuel Macron, Ministre de l’Economie, des Finances et de l’Industrie (Projet de loi n° 2447 pour la croissance et l’activité, enregistré à la Présidence de l’Assemblée Nationale le 11 décembre 2014). Ce projet n’a toutefois pas encore totalement disparu, il fait encore l’objet d’une proposition de directive européenne ( Proposition de directive du parlement européen et du conseil sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites du 28 novembre 2013). Sur les dispositifs de protection du secret des affaires : « La protection des informations sensibles des entreprises », Guide pratique du MEDEF, 2013.

[x] Les OIV font l’objet de règles spécifiques. Leur protection est assurée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), elle est notamment chargée de les aider à limiter les risques d’intrusion frauduleuse dans leur système. Voir décret n°2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale et pris pour l’application de la section 2 du chapitre II du titre III du livre III de la première partie de la partie législative du code de la défense.

[xi]  Loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme.

[xii] CA de Paris, 5 février 2014, O. L. / Ministère Public.

[xiii] Pour en savoir plus : J. L. Santoni, « Le vol de données informatiques », Expertises des systèmes d’informations n°399, février 2015, p. 67.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.