Le vol de données est possible sur le réseau local d’une entreprise

Le vol de données est possible sur le réseau local d’une entreprise

vol de données / fichiers informatiques | Bluetouff - Robin Hood Toy - Par Carmenlith (Travail personnel) [CC BY-SA 4.0 (http://creativecommons.org/licenses/by-sa/4.0)], via Wikimedia Commons

La Cour de cassation a confirmé, dans un arrêt du 28 juin 2017, la notion de « vol de données informatiques ». Notion qu’elle avait préalablement dégagée dans un autre arrêt récent du 20 mai 2015, mais qui concernait « seulement » la sphère Internet. Ainsi, deux ans plus tard, elle l’a étendue au réseau local d’entreprise (RLE).

Retour sur un concept novateur et désormais bien ancré dans le droit positif.

 

Le vol de fichiers informatiques, notion dégagée lors de l’affaire « Bluetouff »

Pour comprendre ce dont il est question, il est nécessaire de remonter cinq ans en arrière. En effet, en 2012, Olivier Laurelli, alias « Bluetouff », fondateur de Reflets.info, avait réussi à récupérer plus de 7 Go de données issues de l’extranet mal sécurisé de l’ANSES et portant sur des sujets confidentiels. Il avait ensuite relayé sa « trouvaille » sur son site. L’agence sanitaire, criant au piratage, avait assigné Laurelli en justice.

Mais quel avait été le mode opératoire de « Bluetouff » pour télécharger les documents de l’ANSES ? Simplement Google… Rendus disponibles sur l’Internet, ces contenus avaient été logiquement trouvés par les robots du moteur de recherche et référencés. Ainsi, en 2013, le tribunal correctionnel de Créteil a donné raison à Olivier Laurelli et relaxé, estimant que l’accès aux données avait été fait sans contourner les mesures de sécurité.

Cependant l’affaire, portée en appel, a pris une toute autre tournure. La cour d’appel de Paris a estimé que « Bluetouff » ne pouvait ignorer « son maintien irrégulier dans le système de traitement automatisé de données visité ». Et a, dans la foulée, consacré la notion de vol de données informatiques.

 

Le vol dans la vie réelle et dans la vie virtuelle

Olivier Laurelli, via son avocat Olivier Iteanu, s’est pourvu en cassation. Ce dernier est notamment revenu dans son argumentaire sur la notion juridique du vol.

Le vol est en droit pénal la « soustraction frauduleuse de la chose d’autrui ». Ainsi, vous dépossédez quelqu’un de quelque chose, vous la récupérez et lui ne l’a plus. S’il est simple de se figurer la situation dans la vie réelle, il est plus ardu de le faire dans la vie virtuelle où le numérique, par définition, duplique (et non déplace) les contenus à l’identique et potentiellement à l’infini.

Surtout, si l’on reprend à la lettre le Code pénal, il n’y a pas vol s’il n’y a pas dépossession. Or, les 7 Go de documents de l’ANSES étaient toujours en possession de cette dernière après « l’intervention » de « Bluetouff ».

Les juges suprêmes de l’ordre judiciaire ont finalement suivi la cour d’appel et rejeté le pourvoi de Laurelli en 2015. « Bluetouff » a bien « découvert que le STAD était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ».

Donc, dans certaines circonstances, le téléchargement peut être constitutif d’un vol. Mais pas en droit de la propriété intellectuelle, où le piratage d’œuvres est considéré comme une contrefaçon. Par le mécanisme du droit spécial dérogeant au droit général.

 

Le vol de données informatiques appliqué au RLE

Un cas similaire a donc été porté de nouveau devant la Cour de cassation. Mais cette fois-ci, les données avaient été extraites d’un réseau local interne. L’accès aux fichiers ne nécessitait pas de mot de passe et ils étaient librement accessibles des utilisateurs du réseau privé.

La juridiction suprême a confirmé sa jurisprudence « Bluetouff » et l’a appliqué à cette autre affaire. L’avocat général a précisé après coup sa position : le vol « est caractérisé par le fait de se comporter sur la chose comme son propriétaire en se l’appropriant contre le gré de celui qui la possède. C’est très exactement ainsi que se comporte celui qui copie frauduleusement des données informatiques. Il n’importe que la victime ne soit pas dépossédée de ces données de même qu’il n’importe, en cas de photocopie frauduleuse d’un document, que l’original reste entre les mains de son propriétaire.

L’ ‘extraction’ est en réalité une forme de ‘soustraction’ ».

 

L’agence web A Vos Sites Pros informe les entreprises sur les récentes jurisprudences dans son blog juridique.