Par Gérard Haas, Anne Charlotte Andrieux et Magali Lorsin-Cadoret
En 2015, la Cour de cassation avait eu à répondre à une épineuse question : l’exploitation d’une faille pour télécharger et diffuser des données soumises à authentification constitue-t-elle un maintien frauduleux dans un système de traitement automatisé de données (STAD) ainsi qu’un vol de données ?
Le rappel de l’affaire Bluetouff
Une réponse positive a été apportée à cette question dans l’affaire Bluetouff.
Dans cette affaire, un blogueur avait pu accéder au système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) à la suite d’une défaillance technique concernant les certificats existants dans le système de cette dernière. Il avait alors téléchargé et diffusé des données à des tiers.
Les réactions et évolutions suscitées par l’arrêt Bluetouff
De nombreuses controverses ont eu lieu autour de l’application de la notion de vol aux données puisque le code pénal définit le vol comme « la soustraction frauduleuse de la chose d’autrui[1] ».
Le premier motif à controverse portait sur la notion de chose qui renvoie nécessairement à un objet tangible, ce qui n’est pas le cas d’une donnée qui est immatérielle donc, par définition, intangible. Il ne serait donc pas possible de parler de vol pour une donnée informatique car l’élément matériel de l’infraction ne serait pas caractérisé.
Le second motif à controverse portait sur la notion d’appropriation qui ne paraît pas possible pour un élément immatériel puisqu’on ne peut pas s’en emparer alors que dans l’infraction de vol, le propriétaire ne doit plus être en possession de la chose.
Dans l’affaire Bluetouff, la Cour de cassation ne tient pas compte de ces controverses et applique l’infraction de vol à des données. L’avocat général justifiait de l’application de l’infraction de vol aux données informatiques par le fait que la notion de chose est suffisamment compréhensible pour inclure des données et que le fait de copier constitue une soustraction frauduleuse, même en l’absence de dépossession.
Depuis l’affaire Bluetouff, l’infraction de vol appliquée aux données informatiques a évolué sur plusieurs points.
En effet, la loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre la contrefaçon est venue modifier l’article 323-3 du code pénal afin de créer un délit spécifique au vol de données en prévoyant la reproduction frauduleuse de données.
Cependant, l’apparition de cette loi a amené de nouvelles interrogations et controverses sur le fait de savoir s’il est possible de cumuler les infractions de vol et d’atteinte aux STAD. Une partie de la doctrine plaide pour une impossibilité du cumul des deux infractions en arguant que « la notion d’extraction permet de sanctionner celui qui réalise une simple copie de données qui demeurent à la disposition de leur légitime propriétaire contrairement à la qualification de vol (C. pén., art. 311-1) [qui] suppose la « soustraction frauduleuse de la chose d’autrui »[2] ».
Il convient de souligner la forte multiplication des cyberattaques ces dernières années, en particulier depuis les années 2010. En effet, selon une étude du cabinet d’audit et de conseil PwC, en 2014 le nombre d’incidents a augmenté de 48% pour un total d’environ 117.339 attaques par jour.
Cette augmentation des cyberattaques a eu pour effet une multiplication de la jurisprudence autour de l’intrusion dans les STAD. Se pose alors la question de savoir si ces dernières années la tendance de la jurisprudence est plutôt de retenir le cumul des infractions de vol et d’atteinte aux STAD ou plutôt de ne retenir qu’une seule des deux infractions.
Les controverses existantes n’ont pas empêché la Cour de cassation de confirmer la possibilité d’un vol de données informatiques dans le cadre d’une extraction frauduleuse de ces dernières du réseau interne d’une entreprise dans un arrêt du 28 juin 2017. En l’espèce, un employé copiait des correspondances librement accessibles sur ce réseau et la Cour de cassation vient préciser que « le libre accès à des informations personnelles sur un réseau informatique d’une entreprise n’est pas exclusif de leur appropriation frauduleuse par tout moyen de reproduction ».
La Cour de cassation a réaffirmé sa solution dans un arrêt du 7 novembre 2018 où elle a retenu que lorsque des documents informatiques n’apparaissent pas strictement nécessaires à l’exercice des droits de sa défense, leur copie constitue un vol. En l’espèce, un salarié avait copié des fichiers informatiques de l’entreprise en justifiant son acte par la crainte d’un hypothétique litige.
***
Le département cyber sécurité du Cabinet Haas Avocats, Cabinet spécialisé depuis plus de 25 ans en droit des nouvelles technologies et de la communication et en droit de la propriété intellectuelle, se tient à votre disposition pour répondre à vos questions et vous assister dans le pilotage juridique de la gestion des cyber risques. Pour nous contacter, cliquez ici.
[1] Article 311-1 du code pénal
[2] F. Chopin, Cybercriminalité – Systèmes et réseaux numériques, objets de l’infraction – Répertoire IP/IT et Communication – Janvier 2020
