conditions d’application de la loi Godfrain

Internet contentieux

Pénal numérique

La protection d’un système informatique par un dispositif de sécurité n’est pas une condition d’application de la loi Godfrain

Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende« . La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition de l’incrimination. C’est ce que vient de rappeler la 31ème chambre correctionnelle du Tribunal de grande instance de Paris dans un jugement du 18 septembre 2008.

Dans cette affaire, un internaute avait accédé sans autorisation à la partie confidentielle de la base de données d’un site d’annonces immobilières de particuliers. Le tribunal a jugé qu' »il est de jurisprudence constante que le délit [d’accès frauduleux dans un système de traitement automatisé de données] est constitué dès lors qu’une personne non autorisée pénètre dans un système informatique que celui-ci soit ou non protégé« , il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées.

Au cours des travaux préparatoires à la loi sur la fraude informatique du 5 janvier 1988, dite « loi Godfrain« , les parlementaires ont en effet refusé de retenir, comme condition de l’incrimination, la violation d’un dispositif de sécurité. En effet, la prise en compte d’un système de sécurité conduirait à apprécier la commission de l’élément matériel à partir des caractéristiques du système de traitement automatisé de données. Or, cette appréciation doit intervenir à partir du seul acte accompli par l’auteur, lequel peut être frauduleux alors même que le maître du système n’a pas prévu de dispositif de sécurité. La jurisprudence va très clairement en ce sens :

  • la Cour d’appel de Paris, dans un arrêt du 5 avril 1994, a jugé qu’ »il n’est pas nécessaire, pour que l’infraction existe, que l’accès soit limité par un dispositif de protection » ;
  • la Cour d’appel de Toulouse, dans un arrêt du 21 janvier 1999, a jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder ; la présence d’un dispositif de sécurité n’est pas nécessaire » ;
  • dans son arrêt du 30 octobre 2002 , infirmant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris a considéré qu’ »il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…), devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès« .

    L’accès dans un système de traitement automatisé de données est donc frauduleux lorsqu’il s’effectue contre la volonté du maître du système, c’est-à-dire sans son autorisation. Ainsi, la Cour d’appel de Paris, dans l’arrêt du 5 avril 1994, a jugé qu’ »il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées« . La Cour d’appel de Toulouse, dans l’arrêt du 21 janvier 1999, a également jugé que « l’accès à un système informatisé de données tombe sous le coup de la loi pénale dès lors qu’il est le fait d’une personne qui n’a pas le droit d’y accéder (…) l’absence de droit résulte de l’absence d’autorisation (…) du maître du système« . Dans son arrêt du 30 octobre 2002, la Cour d’appel de Paris a encore considéré l’absence « de toute indication contraire« .

    TGI Paris 18 septembre 2008

    (Mise en ligne Novembre 2008)