Stricte interprétation pour le salarié lanceur d’alerte

Stricte interprétation pour le salarié lanceur d’alertePar jugement du 4 décembre 2015, le Tribunal correctionnel d’Annecy refuse le statut de lanceur d’alerte à un salarié.

Ce dernier est alors reconnu coupable d’accès et maintien frauduleux dans le système de traitement automatisé de données de son employeur, ainsi que d’atteinte au secret des correspondances émises par voie électronique (1).

En l’occurrence, le salarié est l’un des administrateurs du réseau de la société. Rencontrant des difficultés avec les Ressources humaines de la société, le salarié prétend avoir découvert de manière fortuite un document prouvant qu’on cherchait à le licencier de manière déloyale.

Grâce à ses accès administrateurs, il recherche alors sur les serveurs de l’entreprise, et plus particulièrement des Ressources humaines, ce même document, et réalise à cette occasion des copies d’écran de certains courriers électroniques concernant une inspectrice du travail.

Il envoie ces documents à l’inspectrice, qui les transmet à son tour à différentes organisations syndicales, lesquelles décident de publier les documents.

Le tribunal reconnaît le salarié coupable d’atteinte au secret des correspondances émises par voie électronique (2), ainsi que d’accès et de maintien frauduleux dans un système de traitement automatisé de données (3). Le tribunal déclare également l’inspectrice coupable de recel en raison des documents transmis (4), et également de violation du secret professionnel (5).

Cette décision est intéressante à double titre :

  • elle rappelle, d’une part, aux employeurs qu’ils peuvent pénalement agir contre un salarié qui s’introduirait dans le système informatique de l’entreprise.

Le premier argument choisi par le tribunal retient particulièrement l’attention puisque, fait marquant, les juges rappellent les termes de la « charte d’utilisation des systèmes d’information et de communication du groupe (…) », pour ensuite conclure que les recherches du salarié ont été faites « en violation de la charte d’utilisation des systèmes d’information et de communication annexe au règlement intérieur de la société (.) ».

Le tribunal recourt donc, pour caractériser le vol de correspondances, à un « contrat » privé passé entre l’entreprise et le salarié quant à l’utilisation des données numériques. Cette circonstance montre l’importance toujours plus forte accordée par les juges à ce type de documents d’entreprise.

Il est ainsi crucial pour toute entreprise de se doter de chartes parfaitement à jour et suffisamment claires pour que des magistrats puissent y avoir recours sans hésitation, afin de faciliter l’engagement de la responsabilité d’un salarié ou d’un tiers en cas de litige.

  • cette décision constitue également une application de la récente introduction dans le droit français des dispositions relatives au salarié lanceur d’alerte, inspiré du système de whistleblowing du droit anglo-saxon.

Afin de protéger les salariés contre les mesures de rétorsion de l’employeur en cas de dénonciation de certains faits, l’article L.1132-3-3 du Code du travail, créé par une loi du 6 décembre 2013, protège ainsi les employés de toute sanction, licenciement ou autre mesure discriminatoire (6).

C’est précisément cette disposition qui était invoquée tant par le salarié que l’inspectrice du travail, lesquels estimaient que les documents trouvés démontraient la préparation d’un crime ou d’un délit (notamment le licenciement abusif du salarié).

Le tribunal rejette toutefois l’argument pour deux motifs différents :

  • ni le salarié ni l’inspectrice n’avait eu connaissance des documents dans « l’exercice de [leurs] fonctions », condition explicitement prévue par l’article L.1132-3-3 du Code du travail. Pour ce seul motif, la protection du lanceur d’alerte ne leur était pas applicable ;
  • le tribunal ajoute que les documents ne concernaient pas personnellement le salarié et que l’inspectrice ne les avait pas utilisés « dans le strict exercice de sa défense » et qu’il n’était pas « établi qu’ils constituent un crime ou un délit », fondement même du système du lanceur d’alerte.

Cette décision renseigne donc sur l’interprétation par les magistrats du système du lanceur d’alerte, le Tribunal correctionnel d’Annecy faisant en l’occurrence une interprétation particulièrement strict de ce système.

En cas de recours à cet article par un salarié, il faudra donc que celui-ci démontre effectivement que les informations révélées ont été obtenues dans l’exercice de ses fonctions. La parade est dès lors d’anticiper ce risque en définissant dès l’embauche et de manière précise les fonctions du salarié.

Virginie Bensoussan-Brulé
Pierre Chaffenet
Lexing Droit pénal numérique

(1) T. corr. Annecy, 4-12-2015, Société Tefal et Autres / M. M. C. et Mme J. L.
(2) C. pén. art. 226-15.
(3) C. pén. art. 323-1.
(4) C. pén. art. 321-1.
(5) C. pén. art. 226-13.
(6) C. trav. art. L.1132-3-3.




Phreaking : comment protéger son installation téléphonique ?

Phreaking : comment protéger son installation téléphonique ?Virginie Bensoussan-Brulé précise pour IT-expert Magazine, les enjeux en matière de phreaking en entreprise.

Comment protéger son installation téléphonique contre le phreaking ? Une fois que le mal est fait, quels sont les moyens mis à disposition des victimes pour identifier les auteurs et obtenir réparation du préjudice subi ?

En s’attaquant à leurs infrastructures téléphoniques et en exploitant ainsi de manière malveillante leurs commutateurs privés (PABX ou IPBX), les pirates utilisent l’abonnement téléphonique des entreprises, générant pour leurs victimes des surfacturations importantes, pouvant aller, suivant les hypothèses, jusqu’à menacer l’existence de la société elle-même.

Les PABX ou IPBX sont des dispositifs chargés d’assurer la commutation d’un réseau téléphonique privé. Ils permettent d’offrir un grand nombre de fonctionnalités comme une messagerie vocale, un standard téléphonique intégré, une redirection d’appels, ou un accès distant au poste.

Le développement technologique de la téléphonie s’appuie sur le développement et l’implémentation de composants identiques aux systèmes informatiques. Ainsi les équipements téléphoniques deviennent des systèmes informatiques à part entière, ce qui explique que les attaques perpétrées par les pirates se soient multipliées.

Les actes malveillants poursuivent des objectifs distincts selon les types d’attaques perpétrées : blocage des systèmes, écoute des conversations téléphoniques, destruction de données ou encore détournement de la ligne pour passer des appels téléphoniques à l’international.

Comme pour les systèmes informatiques, la téléphonie permet aujourd’hui aux pirates de commettre des attaques par déni de service et des usurpations d’identité. L’explosion des smartphones sur le marché a entrainé de nouveaux types de fraudes, comme le Telephony Denial of Service (TDos) qui permet l’envoi massif d’appels sur un téléphone pour en bloquer l’accès.

Les fraudes à la téléphonie représentent des pertes considérables pour les entreprises, qui victimes du détournement de leur ligne téléphonique se voient facturer des appels surtaxés ou internationaux. En outre, les conséquences occasionnées par la destruction de données peuvent s’avérer considérables.

Il est pourtant possible d’agir de manière préventive pour empêcher ces attaques en mettant en pratiques certaines mesures. Lorsque le mal est fait, l’entreprise victime de la fraude doit réagir et mettre en œuvre un plan d’action pour lutter contre la fraude.

Virginie Bensoussan-Brulé pour IT-expert Magazine, « Phreaking quand les pirates s’attaquent aux lignes téléphoniques », le 10 décembre 2015.




Vol de données : modification de l’article 323-3 du Code pénal

Vol de données : modification de l’article 323-3 du Code pénalLa loi n°2014-1353 du 13 novembre 2014, renforçant les dispositions relatives à la lutte contre le terrorisme opère, par son article 16, un changement de rédaction de l’article 323-3 du Code pénal, permettant de réprimer le vol de données, sans toutefois recourir à la qualification de vol.

Institués par la loi dite « Godfrain », les articles 323-1 à 323-4 du Code pénal (1) prévoyaient cinq atteintes aux systèmes de traitement automatisé de données (bien connus sous l’appellation « STAD »), lesquelles sont :

  • l’accès ou le maintien frauduleux dans le STAD ;
  • l’action d’entraver ou de fausser le fonctionnement du STAD ;
  • l’introduction frauduleuse de données dans un STAD ou la modification des données qu’il contient ;
  • l’importation, la détention, l’offre, la cession ou la mise à disposition d’un équipement, d’un instrument, d’un programme informatique ou de toute donnée conçus ou spécialement adaptés pour commettre des infractions au STAD ;
  • enfin, la participation à un groupement de pirates informatiques.

Cette troisième atteinte a été modifiée en novembre dernier afin d’intégrer dans son champ de répression l’inquiétant et récurrent vol de données, qui y échappait jusqu’alors.

L’ancien texte permettait, en effet, uniquement de condamner l’introduction, la suppression ou la modification frauduleuse de données dans un STAD… mais nullement leur copie. Pour combler ce vide juridique, plusieurs voies avaient été envisagées, parmi lesquelles la contrefaçon ou l’abus de confiance.

La qualification de vol qui semblait correspondre au mieux à la copie de données avait été, quant à elle, écartée, tant il était considéré (sans doute à juste titre) qu’il n’y avait pas soustraction frauduleuse d’une chose appartenant à autrui (2) :

  • absence de soustraction, d’une part, puisque le légitime propriétaire des données les conserve et n’en est à aucun moment dépossédé (sauf hypothèse du vol de disque dur) ;
  • absence de chose à proprement parler, d’autre part, puisque la soustraction vise un bien matériel pouvant être saisi physiquement (là où les données sont des biens immatériels).

Or, la loi pénale est d’interprétation stricte et la règle est d’or. Malgré les tentatives de la jurisprudence (3), la répression du « vol » de données se fait donc au détour de la qualification de vol (et de celle de recel), par l’ajout de quatre mots au texte de l’article 323-3 du Code pénal, en vigueur depuis le 15 novembre 2014, lequel réprime désormais, outre le fait d’introduire, de modifier et de supprimer, le fait « d’extraire, de détenir, de reproduire, de transmettre » frauduleusement des données dans un STAD.

La loi du 13 novembre 2014 vient ainsi sanctionner la copie frauduleuse de données, dans une optique de protection accrue de « l’économie de la connaissance ».

Virginie Bensoussan-Brulé
Annabelle Divoy
Lexing Droit pénal numérique

(1) L. n°88-19 du 5-1-1988 relative à la fraude informatique, insérant les articles 323-1 à 323-4 dans le Code pénal, en son Livre II « Des crimes et des délits contre les biens », Titre II « Des autres atteintes aux biens ».
(2) Comme l’exige l’article 311-1 du Code pénal, définissant l’infraction de vol.
(3) Cass. crim. 4-3-2008 n°07-84.002 Jean-Paul X Sté Graphibus.




A quand une législation protégeant le secret des affaires ?

A quand une législation protégeant le secret des affaires ?Le projet de loi pour la croissance, porté par Emmanuel Macron, ne comportera pas de volet sur le secret des affaires. 

La législation sur le secret des affaires a en effet été retirée du projet de loi Macron actuellement en discussion à l’Assemblée nationale car jugée attentatoire à la liberté de la presse et aux lanceurs d’alerte.

La France ne disposera pas d’une législation nationale protégeant le secret des affaires, contrairement aux préconisations de l’article 39 du traité ADPIC issu la convention de Marrakech de 1994 qui a institué l’Organisation mondiale du commerce (OMC).

Cette législation prévoyait de punir quiconque prend connaissance, révèle sans autorisation ou détourne toute information protégée à ce titre d’une peine de trois ans d’emprisonnement et de 375 000 euros d’amende.

D’autres pays disposent déjà d’un dispositif juridique comparable. Il en est ainsi aux Etats-Unis où le « Economic Espionage Act » de 1996, plus connu sous le nom de Cohen Act de 1996, répond à ces exigences, tandis que pour l’Union européenne, une proposition de directive sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, devrait être examinée au Parlement européen.

Le volet sur le secret des affaires qui figurait dans le projet de loi pour la croissance, porté par Emmanuel Macron, avait pourtant été amendé lors de la discussion parlementaire pour apporter des garanties aux journalistes craignant pour la liberté de la presse.

Un amendement précisait en effet que le secret des affaires ne s’appliquait pas à la révélation d’une information « strictement nécessaire à la sauvegarde d’un intérêt supérieur, tel que l’exercice légitime de la liberté d’expression ou d’information ou la révélation d’un acte illégal ».

De plus, un autre amendement prévoyait d’insérer la notion de secret des affaires dans la loi sur la presse de 1881, la plaçant au même niveau que celle de « secret professionnel ». Ainsi, les lanceurs d’alerte auraient été protégés.

Mais ces amendements n’ont pas calmé les craintes des journalistes et des lanceurs d’alerte, qui critiquent une définition trop large du secret des affaires et des garde-fous insuffisants.

Le député Richard Ferrand suggère que « ce qui doit être protégé dans la vie des entreprises » soit rediscuté dans le cadre du projet de loi dont il est le rapporteur sur la protection des sources des journalistes et qui doit être débattu cette année à l’Assemblée nationale (1).

Rien n’est moins sûr car le projet de texte n’a pas bougé depuis plus d’un an. En outre, le texte a pour ambition de conférer un niveau élevé de protection du secret des sources, ce qui n’est pas facilement conciliable avec le secret des affaires….

Pour l’heure, il n’y a pas en France de secret des affaires faute d’une législation protégeant les entreprises de l’espionnage industriel.

Didier Gazagne
Lexing Droit Intelligence économique
Isabelle Pottier
Lexing Droit informatique

(1) Projet de loi 1127, déposé le 12 juin 2013.




Fraude informatique : décryptage de l’affaire Bluetouff

Fraude informatique : décryptage de l'affaire BluetouffFraude informatique – Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder (…), frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende » (ancienne loi Godfrain sur la fraude informatique).

L’auteur doit avoir eu conscience d’accéder anormalement dans le système de traitement automatisée de données. Pour que ce délit de fraude informatique soit constitué, il n’est en revanche pas nécessaire qu’il ait eu l’intention de nuire.

Le délit de maintien frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait (…) de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ». Comme pour le délit d’accès frauduleux, le maintien doit être volontaire et l’auteur doit avoir eu conscience qu’il se maintenait anormalement dans le système.

La protection du système par un dispositif de sécurité n’est pas une condition des incriminations d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées pour que les dispositions pénales relatives à la fraude informatique s’appliquent.

Ayant constaté un accès frauduleux sur son serveur extranet, et la diffusion sur internet d’information confidentielles provenant de fichiers disponibles sur ce seul extranet, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), opérateur d’importance vitale (OIV), a déposé plainte devant le procureur de la République de Créteil.

Les services enquêteurs ont constaté que certains des contenus avaient été publiés sous le pseudonyme « Bluetouff », identifié comme étant Monsieur Olivier L., ce dernier était renvoyé devant le tribunal correctionnel des chefs d’accès et de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques.

Dans son jugement du 23 avril 2013, la 11e chambre correctionnelle du Tribunal de grande instance de Créteil a jugé qu’aucune des trois infractions poursuivies n’étaient constituées en l’espèce et a, en conséquence, relaxé le prévenu des fins de la poursuite. Le tribunal a en effet considéré que dès lors que l’Anses n’avait pas pris de mesure pour sécuriser son système informatique et n’avait pas « manifesté clairement l’intention de restreindre l’accès aux données (…) aux seules personnes autorisées », l’accès et le maintien frauduleux dans un système de traitement automatisé de données ne pouvaient être caractérisés.

Hormis la fraude informatique, le tribunal a également jugé le vol de fichiers informatiques. Il a considéré qu’« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». Le parquet a fait appel du jugement.

Si, dans son arrêt du 5 février 2014, la Cour d’appel de Paris a confirmé le jugement du Tribunal de grande instance de Créteil du 23 avril 2013 en ce qu’il a jugé que le délit d’accès frauduleux dans un système de traitement automatisé de données n’était pas constitué en l’espèce, aux motifs que « l’accès (…) a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail », elle a, en revanche, infirmé le jugement en ce qu’il a jugé que les délits de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques n’étaient pas constitués en l’espèce.

La Cour a en effet considéré que « pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, (…) il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données informatiques à l’évidence protégées ; que les investigations ont démontré que ces données informatiques avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ».

L’incrimination de vol de fichiers informatiques a donc été reconnue par la Cour d’appel de Paris même en l’absence de « dépossession » du propriétaire des fichiers. Le vol de fichiers informatiques, longtemps rejeté par les juridictions françaises, est une infraction aujourd’hui reconnue sur le fondement de l’article 311-1 du Code pénal disposant que le vol constitue la soustraction frauduleuse de la chose d’autrui.

Le prévenu s’est pourvu en cassation.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique




Vidéosurveillance : moyen de preuve licite d’un licenciement pour faute

vidéosurveillanceLe fait, pour un salarié, de se livrer à un vol en dehors de ses horaires de travail, agissements dont la preuve a été rapportée par le système de vidéosurveillance mis en œuvre par son employeur sans information préalable du comité d’entreprise et des salariés, peut justifier un licenciement pour faute grave. C’est en tout cas ce que vient de confirmer la Cour de cassation.En l’espèce, un employé d’une société de la grande distribution s’était, à l’issue de sa journée de travail, rendu au guichet billetterie de ce magasin. En découvrant sur le guichet le téléphone portable oublié par une cliente précédente, il l’avait subtilisé. Identifié grâce au dispositif de vidéosurveillance du magasin, le salarié s’est alors vu licencié pour faute grave par son employeur.

Considérant que l’enregistrement vidéo constituait un moyen de preuve illicite de ses agissements, le salarié a saisi la juridiction prud’homale pour contester son licenciement. Il invoquait le fait que le système de vidéosurveillance n’avait pas fait l’objet d’une information et consultation préalable du comité d’entreprise et n’avait pas été porté à la connaissance des salariés dans les conditions prévues par le Code du travail, comme tel doit normalement être le cas lors de la mise en œuvre par l’employeur de moyens de contrôle de l’activité des salariés.

Il invoquait également qu’un fait de la vie personnelle ne pouvait justifier un licenciement disciplinaire, sauf s’il constituait un manquement à une obligation résultant du contrat de travail.

La Cour d’appel ayant considéré le licenciement justifié, la Cour de cassation a été saisie d’un pourvoi. Cette dernière a confirmé la décision de la Cour d’appel confortant son raisonnement selon lequel :

  • le système de vidéosurveillance ayant été installé pour assurer la sécurité du magasin et non pour contrôler le salarié dans l’exercice de ses fonctions, celui-ci ne peut invoquer les dispositions du Code du travail relatives aux conditions de mise en œuvre de moyens et de techniques de contrôle de l’activité des salariés ;
  • le fait que le salarié, lors des agissements fautifs, venait de quitter son poste, encore revêtu de sa tenue de travail, constituait un comportement qui affectait l’obligation de l’employeur d’assurer la sécurité des clients et de leurs biens, et se rattachait à la vie de l’entreprise, constituant ainsi des faits de nature à rendre impossible le maintien du salarié dans l’entreprise et donc constitutif d’une faute grave.

 
Céline Avignon
Alain Bensoussan
Lexing Droit Marketing électronique

Cass. soc. 26-6-2013 n° 12-16564




La France ne peut garder les empreintes d’un individu non condamné

empreintesLa France ne peut pas garder les empreintes d’un individu non condamné dans le fichier automatisé des empreintes digitales (FAED). Ce fichier tenu par les autorités françaises sert à la recherche et à l’identification des auteurs de crimes et de délits. Il contient l’état civil des personnes mises en cause dans une procédure pénale ou condamnées à une peine privative de libertés, le motif, la date et le lieu de signalisation, des éléments de signalement, des clichés anthropométriques et les caractéristiques d’empreintes digitales. Ces dernières sont conservées pendant vingt-cinq ans.

En l’espèce, un ressortissant français a fait l’objet de deux procédures judiciaires pour vol à l’issue desquelles il fut soit relaxé, soit non poursuivi (classement sans suite). Au cours des enquêtes, ses empreintes digitales ont été enregistrées au FAED. Sa culpabilité n’ayant pas été prouvée, il a sollicité auprès du ministère de l’Intérieur leur effacement, ce qui lui a été partiellement refusé. Il a par la suite saisi le Cour européenne des droits de l’homme  sur le fondement de l’article 8 de la Convention européenne des droits de l’homme relatif au droit au respect de la vie privée et familiale.

Dans un arrêt du 18 avril 2013, la Cour a estimé que la conservation des empreintes digitales par les autorités nationales a constitué une ingérence dans le droit au respect de la vie privée.

Elle a considéré que la conservation au FAED des empreintes digitales d’un individu ayant fait l’objet d’une procédure pénale mais n’ayant jamais été condamné, constituait une atteinte disproportionnée au droit au respect de la vie privée garanti par l’article 8 de la Convention européenne des droits de l’homme aux motifs que le régime de conservation des empreintes digitales ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.

Virginie Bensoussan-Brulé
Lexing Droit Vie privée et Presse numérique

CEDH du 18-4-2013 n° 19522-09, M. K. c. France.




Vol de codes sources de logiciel : quelle infraction ?

vol de codes sourcesSur les marchés boursiers, la course aux profits est précédée d’une course technique et informatique, dont les enjeux financiers sont colossaux.

Les logiciels de trading à haute fréquence, développés par les banques d’affaires et les hedge funds, outils décisifs dans la réalisation d’achats et de ventes ultrarapides sur les marchés boursiers, sont devenus des secrets industriels précieux. Basés sur des algorithmes complexes et utilisés sur des machines surpuissantes, ils permettent de spéculer et de réaliser des profits importants, à des vitesses record.

Le vol de codes sources

Dans cette course à « l’armement informatique », les programmeurs de logiciels financiers sont des cartouches fondamentales des banques d’affaires. Un programmeur de la banque Goldman Sachs a été au cœur de cette guerre informatique. En quittant cette célèbre banque d’affaires pour une société financière concurrente, il a emporté avec lui des codes sources de logiciels stratégiques. Pour ce vol de codes sources, le programmeur a été poursuivi sur le fondement de « vol de secret industriel » et « espionnage industriel » (1).

Condamné en première instance à une peine de 97 mois de prison pour vol de secret industriel, le programmeur a interjeté appel de cette décision. Les juges l’ont relaxé en appel des deux chefs d’accusation. Ils ont considéré qu’il ne pouvait y avoir « vol de secret industriel », le vol supposant la soustraction de la chose d’autrui tout en privant la victime de son utilisation. Or, le programmeur avait réalisé une simple copie des codes sources, ceux-ci étant toujours en la possession de Goldman Sachs.

De même, la loi de 1996 sur l’espionnage industriel ne réprime que les faits portant sur des produits destinés à être commercialisés. Or, le logiciel de Goldman Sachs était un produit interne.

Les lois américaines

Les lois américaines régissant l’espionnage industriel et la violation des secrets industriels ne semblent plus adaptées aux exigences modernes et devraient être aménagées au regard de l’évolution des techniques et notamment de l’informatique.

Comment une telle affaire aurait été jugée en France ? Il n’existe aucun texte pénal qui sanctionne précisément l’appropriation de biens immatériels ou informationnels (à moins que la victime ne soit l’Etat). Toutefois, sur le fondement du vol de droit commun, les cours et tribunaux tendent à reconnaître le vol d’informations en tant que tel, indépendamment du support matériel (2). En tout état de cause, une telle copie des codes sources pourrait être réprimée sur le fondement de la contrefaçon et sur le terrain de la concurrence déloyale permettant au moins une indemnisation financière du préjudice subi.

Une proposition de loi

Une proposition de loi n°3985 visant à sanctionner la violation du secret des affaires a été déposée le 22 novembre 2011, adoptée en première lecture par l’assemblée nationale et transmise au Sénat. Elle vise à définir la notion de « secret des affaires » et crée un nouveau délit d’atteinte au secret des affaires. Un des objectifs de ce texte est de pallier à une protection insuffisante des informations économiques, techniques ou encore stratégiques des entreprises françaises.

(1) PLO AN n° 826 du 23-1-2012 (Petite Loi) ; Le Monde.fr, rubrique Technologies, article du 12-4-2012
(2) Cass, crim. 19-1-1994 n° 93-80633, Cass. crim. 9-9-2003 n° 02-87098, Cass. crim. 4-3-2008 n° 07-84002




Bientôt un nouveau délit de violation du secret des affaires

délit de violation du secret des affairesIl y aura bientôt un nouveau délit de violation du secret des affaires. Les entreprises pourraient bientôt mieux protéger certains secrets, comme des projets stratégiques, des procédés de fabrication ou des technologies non brevetés, des procédés de gestion ou leur fichier clients.

Une proposition de loi relative à la protection des informations économiques du 13 janvier 2011 définit en effet l’information à caractère économique protégée et détermine les infractions s’y reportant.

En ce sens, les députés ont voté en première lecture, le 23 janvier 2012, la création d’un nouveau délit de « violation du secret des affaires », inspiré de législations existantes aux Etats-Unis, au Royaume-Uni et en Allemagne, passible d’une sanction de trois ans d’emprisonnement et de 375.000 euros d’amende.

Jusqu’à présent, dans le cas d’un espionnage économique, les incriminations utilisées étaient celles de vol, d’abus de confiance ou encore de violation de la propriété intellectuelle. Ces incriminations étant jugées inadaptées ou leurs sanctions trop faibles par les acteurs économiques, il convenait de créer un délit spécifique.

Il reviendra donc aux entreprises de déterminer les informations de nature « commerciale, industrielle, financière, scientifique, technique ou stratégique » dont la divulgation pourrait « compromettre gravement [leurs] intérêts », et de les protéger par des mesures de protection spécifiques, afin de garantir leur caractère confidentiel. Une personne qui divulguerait ces informations pourrait être poursuivie sur le fondement de ce nouveau délit.

Les députés ont rappelé qu’il reviendra au juge pénal d’estimer si la mesure protégeant l’information est justifiée ou non, et si la divulgation de cette dernière compromet « gravement » les intérêts de l’entreprise.

Contrairement au secret de la défense nationale, le secret des affaires serait inopposable à la justice, de même qu’aux autorités administratives, dans l’exercice de leur mission de surveillance, de contrôle ou de sanction, ce qui inclut notamment les services de police, des douanes, de renseignement, et les autorités administratives indépendantes, telles que l’Autorité de la concurrence, l’Autorité des marchés financiers ou encore la Cnil, y compris dans l’exercice de leurs pouvoirs d’enquête.

PLO AN n° 826 du 23-1-2012
Assemblée nationale, Dossier législatif




La production en justice par un salarié de documents internes à l’entreprise

Par un arrêt rendu le 16 juin 2011, la Chambre criminelle de la Cour de cassation a jugé que le transfert sur sa messagerie personnelle de documents professionnels par un salarié n’est pas constitutif des délits de vol et d’abus de confiance, dès lors que cette copie est strictement nécessaire à l’exercice des droits de la défense, dans le cadre de la procédure prud’homale qu’il allait engager contre son employeur. Avisé du projet de son employeur de rompre le contrat de travail, le salarié avait appréhendé des documents dont il avait eu connaissance à l’occasion de ses fonctions et les avait transférés sur son adresse électronique personnelle.

Une information avait alors été ouverte des chefs de vol et d’abus de confiance, qui avait été close par ordonnance de non-lieu, confirmée par la chambre de l’instruction. L’employeur a formé un pourvoi en cassation, aux motifs que la Chambre de l’instruction n’avait pas constaté que l’appropriation des documents par le salarié avait pour objectif de transmettre ces documents à un concurrent, et non pour préparer sa défense. La Chambre criminelle a cependant rejeté le pourvoi, au motif que la chambre de l’instruction avait bien justifié que le transfert des documents litigieux était strictement nécessaire à l’exercice des droits de la défense du salarié devant le Conseil des prud’hommes.

La possibilité pour un salarié de produire en justice des documents internes à l’entreprise, pour l’exercice strictement nécessaire des droits de sa défense, était admise par la Chambre sociale et la Chambre criminelle de la Cour de cassation depuis 2004. Toutefois, c’est la première fois que la Cour de cassation adopte cette solution pour l’appropriation de documents électroniques.

Cass. crim. 16-6-2011 n° 10-85079 Centre spécialités pharmaceutiques
Cass.soc. 30-6-2004 n° 02-41720 et 02-41771.
Cass. crim. 11-5-2004 n° 03-85521.




Le vol de documents de l’entreprise par un salarié

La question de la qualification de la production en justice par un salarié de documents appartenant à l’employeur se pose dans le présent arrêt. Dans cette affaire, un salarié était poursuivi du chef de vol à la suite de la remise, lors de son audition par les services de la gendarmerie, dans le cadre d’une plainte en diffamation déposée à son encontre par son employeur, de documents de l’entreprise destinés à établir la vérité des faits qu’il imputait à son employeur. Par arrêt infirmatif du 1er juillet 2008, la Cour d’appel d’Angers a déclaré le salarié coupable de vol aux motifs que :

  • « l’appropriation d’un document dans le but de le photocopier constitue un vol » ;
  • « ces faits ne constitueraient pas un vol si la production des documents en cause était strictement nécessaire à l’exercice des droits de sa défense dans le cadre d’un litige opposant un salarié à son employeur » ;
  • « or (…) la finalité n’était pas d’assurer sa défense dans le cadre d’un litige prud’homal, mais de tenter de prouver que les faits qu’il imputait à son employeur sur l’absence de sécurité des transports qu’il a dénoncés auprès des clients et de l’assureur de l’entreprise, étaient réels » ;
  • « dans ces conditions, le vol par appropriation frauduleuse est constitué ».

Le salarié a formé un pourvoi en cassation. Il soutenait qu’« aucune distinction ne devait être faite selon que le litige en cause avait ou non un caractère prud’homal ».

Par arrêt du 9 juin 2009, la Chambre criminelle de la Cour de cassation n’a pas fait droit à sa demande en considérant qu’ « en l’état de tels motifs (…), la cour d’appel a caractérisé en tous ces éléments, tant matériels qu’intentionnels, les délits dont elle a déclaré le prévenu coupable ».

Il ressort de cette décision que la production en justice, par un salarié, de documents appartenant à son employeur, est qualifiée de vol, si cette production n’avait pas pour finalité d’assurer sa défense dans le cadre d’un litige prud’homal.

Cass. crim. 9-6-2009 n° 08-86843