Fraude informatique : décryptage de l’affaire Bluetouff
Fraude informatique – Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder (…), frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende » (ancienne loi Godfrain sur la fraude informatique).
L’auteur doit avoir eu conscience d’accéder anormalement dans le système de traitement automatisée de données. Pour que ce délit de fraude informatique soit constitué, il n’est en revanche pas nécessaire qu’il ait eu l’intention de nuire.
Le délit de maintien frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait (…) de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ». Comme pour le délit d’accès frauduleux, le maintien doit être volontaire et l’auteur doit avoir eu conscience qu’il se maintenait anormalement dans le système.
La protection du système par un dispositif de sécurité n’est pas une condition des incriminations d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées pour que les dispositions pénales relatives à la fraude informatique s’appliquent.
Ayant constaté un accès frauduleux sur son serveur extranet, et la diffusion sur internet d’information confidentielles provenant de fichiers disponibles sur ce seul extranet, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), opérateur d’importance vitale (OIV), a déposé plainte devant le procureur de la République de Créteil.
Les services enquêteurs ont constaté que certains des contenus avaient été publiés sous le pseudonyme « Bluetouff », identifié comme étant Monsieur Olivier L., ce dernier était renvoyé devant le tribunal correctionnel des chefs d’accès et de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques.
Dans son jugement du 23 avril 2013, la 11e chambre correctionnelle du Tribunal de grande instance de Créteil a jugé qu’aucune des trois infractions poursuivies n’étaient constituées en l’espèce et a, en conséquence, relaxé le prévenu des fins de la poursuite. Le tribunal a en effet considéré que dès lors que l’Anses n’avait pas pris de mesure pour sécuriser son système informatique et n’avait pas « manifesté clairement l’intention de restreindre l’accès aux données (…) aux seules personnes autorisées », l’accès et le maintien frauduleux dans un système de traitement automatisé de données ne pouvaient être caractérisés.
Hormis la fraude informatique, le tribunal a également jugé le vol de fichiers informatiques. Il a considéré qu’« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». Le parquet a fait appel du jugement.
Si, dans son arrêt du 5 février 2014, la Cour d’appel de Paris a confirmé le jugement du Tribunal de grande instance de Créteil du 23 avril 2013 en ce qu’il a jugé que le délit d’accès frauduleux dans un système de traitement automatisé de données n’était pas constitué en l’espèce, aux motifs que « l’accès (…) a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail », elle a, en revanche, infirmé le jugement en ce qu’il a jugé que les délits de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques n’étaient pas constitués en l’espèce.
La Cour a en effet considéré que « pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, (…) il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données informatiques à l’évidence protégées ; que les investigations ont démontré que ces données informatiques avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ».
L’incrimination de vol de fichiers informatiques a donc été reconnue par la Cour d’appel de Paris même en l’absence de « dépossession » du propriétaire des fichiers. Le vol de fichiers informatiques, longtemps rejeté par les juridictions françaises, est une infraction aujourd’hui reconnue sur le fondement de l’article 311-1 du Code pénal disposant que le vol constitue la soustraction frauduleuse de la chose d’autrui.
Le prévenu s’est pourvu en cassation.