L’utilisation d’un keylogger, à l’insu de la volonté d’un individu, pour intercepter les mots qu’il tape est un délit.

La Cour de cassation est venue préciser, par un arrêt rendu le 16 janvier 2018 (1), que l’installation sans motif légitime d’un keylogger, ou enregistreur de frappe, qui est un « logiciel espion ou un périphérique qui espionne électroniquement l’utilisateur d’un ordinateur », sur un système de traitement automatisé de données afin d’intercepter les mots tapés par les utilisateurs, constitue une atteinte à ce système.

Keylogger et atteinte au système de traitement de données

Un médecin avait installé un keylogger sur deux ordinateurs d’un hôpital afin de capter les identifiants et mots de passe d’un autre praticien avec lequel il était en conflit devant l’Ordre des médecins.

La présence du keylogger ayant été découverte par le service informatique de l’hôpital, une perquisition a été effectuée au domicile du médecin, où un keylogger a été retrouvé, ainsi que des captures d’écran extraites des deux ordinateurs visés.

La Cour d’appel d’Aix-en-Provence, devant laquelle l’affaire avait été portée, avait considéré que le prévenu avait commis le délit d’accès à un système de traitement de données, délit prévu à l’article 323-1 du Code pénal et réprimé à l’article 323-3 du même code.

Arguant qu’il n’avait pas accédé aux données du système, mais seulement capturé les caractères frappés au clavier, le prévenu a formé un pourvoi. La Cour de cassation a rejeté le pourvoi considérant que « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de donnée ».

La détention sans motif légitime d’un équipement conçus ou spécialement adaptés pour commettre ce délit

La Cour d’appel d’Aix-en-Provence a par ailleurs considéré que le médecin s’était rendu coupable du délit prévu à l’article 323-3-1 du Code pénal qui vise notamment la détention, sans motif légitime, d’« un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre » un délit d’atteinte à un système de traitement automatisé de données.

Le médecin a tenté d’argumenter en mettant en avant le motif légitime qu’il aurait eu à disposer des informations récoltées par le biais de l’utilisation du keylogger, établi selon lui à raison de la nécessité de défendre sa situation professionnelle devant l’Ordre des médecins.

La Cour de cassation n’a pas suivi cet argumentaire, considérant que le motif légitime visé par cet article « se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique ».

Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit pénal numérique

(1) Cass. crim., 16-1-2018, n°16-87168.

La France ne peut pas garder les empreintes d’un individu non condamné dans le fichier automatisé des empreintes digitales (FAED). Ce fichier tenu par les autorités françaises sert à la recherche et à l’identification des auteurs de crimes et de délits. Il contient l’état civil des personnes mises en cause dans une procédure pénale ou condamnées à une peine privative de libertés, le motif, la date et le lieu de signalisation, des éléments de signalement, des clichés anthropométriques et les caractéristiques d’empreintes digitales. Ces dernières sont conservées pendant vingt-cinq ans.

En l’espèce, un ressortissant français a fait l’objet de deux procédures judiciaires pour vol à l’issue desquelles il fut soit relaxé, soit non poursuivi (classement sans suite). Au cours des enquêtes, ses empreintes digitales ont été enregistrées au FAED. Sa culpabilité n’ayant pas été prouvée, il a sollicité auprès du ministère de l’Intérieur leur effacement, ce qui lui a été partiellement refusé. Il a par la suite saisi le Cour européenne des droits de l’homme  sur le fondement de l’article 8 de la Convention européenne des droits de l’homme relatif au droit au respect de la vie privée et familiale.

Dans un arrêt du 18 avril 2013, la Cour a estimé que la conservation des empreintes digitales par les autorités nationales a constitué une ingérence dans le droit au respect de la vie privée.

Elle a considéré que la conservation au FAED des empreintes digitales d’un individu ayant fait l’objet d’une procédure pénale mais n’ayant jamais été condamné, constituait une atteinte disproportionnée au droit au respect de la vie privée garanti par l’article 8 de la Convention européenne des droits de l’homme aux motifs que le régime de conservation des empreintes digitales ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.

Virginie Bensoussan-Brulé
Lexing Droit Vie privée et Presse numérique

CEDH du 18-4-2013 n° 19522-09, M. K. c. France.