Parallèlement, l'accès non autorisé à un système informatique est un délit sanctionné par une peine d'un an d'emprisonnement et 15 000 euros d'amende (article 323-1 du Code pénal). L'exigence de protection du système ne fait pas partie des conditions de l'incrimination du délit d'intrusion frauduleuse.

Régulièrement, de nouvelles failles de sécurité affectant tel ou tel logiciels sont divulguées, avec en principe les moyens de corriger la faille. En pratique, on constate que les entreprises ne prennent pas toujours la peine de corriger les failles de sécurité qui sont signalées.

La dénonciation des faiblesses d'un système informatique mal sécurisé : une pratique à risque ?
Le site Kitetoa.com dénonce régulièrement les sites commerciaux qui sécurisent mal les données personnelles concernant leurs clients. Ainsi, en 1999, l'animateur du site, Antoine C. a signalé à l'hébergeur du site des magasins Tati une faille de sécurité permettant d'accéder au contenu des bases de données clients du serveur grâce à un simple navigateur.
Constatant près d'un an après que les failles détectées et signalées existaient toujours, il publiait sur Kitetoa.com un article relatant la faille du site de Tati. L'information était reprise dans un magazine spécialisé, ce qui amenait la société Tati à porter plainte pour introduction non autorisée dans un système informatique.

La 13e chambre du Tribunal de Grande Instance de Paris a reconnu dans une décision en date du 13 février 2002 que la société Tati ne semblait pas avoir respecté l'obligation de sécuriser un fichier de données nominatives, mais a néanmoins condamné le webmestre de Kitetoa à une amende de 1000 euros avec sursis, pour accès et maintien frauduleux dans un système de traitement automatisé de données. La société Tati a été déboutée de sa demande en dommages et intérêts.

Suite à un appel du Parquet général en vue de solliciter la relaxe du prévenu, démarche dont il convient de souligner au passage le caractère inhabituel, Antoine C. a été relaxé par décision en date du 30 octobre 2002 de la 12ème Chambre de la Cour d'appel de Paris.

Le Tribunal avait reconnu que Monsieur Antoine C. avait seulement utilisé les fonctionnalités de son navigateur, sans effectuer de manipulations frauduleuses. Il avait toutefois considéré que l'accès de manière consciente et délibérée à des données que l'on sait être confidentielles, s'agissant de données nominatives protégées par la loi, constituait le délit pénal considéré.

Cependant, l'utilisation d'un simple navigateur pour accéder dans un système mal protégé méritait-il une sanction ?

Comme le soulignait le Parquet dans ses réquisitions, " il semble inenvisageable d'instaurer une jurisprudence répressive dont il résulterait une véritable insécurité permanente, juridique et judiciaire, pour les internautes, certes avisés, mais de bonne foi, qui découvrent les failles de systèmes informatiques manifestement non sécurisés ".

Le Parquet considérait que lorsqu'une base de données est, par la faute de celui qui l'exploite, en accès libre par le biais de l'utilisation d'un logiciel de navigation grand public ne nécessitant pas de connaissances particulières ou de manipulations à la limite du piratage, le seul fait d'en prendre connaissance, et même pour un journaliste, un testeur mandaté ou non, d'en réaliser une copie (…), sans intention malveillante (..) ne saurait constituer une infraction.
Le Parquet considérait donc que l'intention frauduleuse n'était pas caractérisée en l'espèce.

Les sites sans protection sont réputés non confidentiels à défaut d'obstacle à l'accès
La Cour d'appel dans sa décision du 30 octobre 2002 a relaxé le webmestre de Kitetoa, mais sur un autre fondement que ce lui suggéré par le Parquet.
Elle considère qu'on ne peut pas reprocher à un internaute d'accéder ou de se maintenir dans les parties d'un site accessible par la simple utilisation d'un logiciel de navigation, et que " ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès (…). La détermination du caractère confidentiel et des mesures nécessaires à l'indication et à la protection de cette confidentialité relevant de l'initiative de l'exploitant du site ou de son mandataire ".

Au regard de cette jurisprudence, la possibilité d'accéder à des données stockées sur un site avec un simple navigateur, en présence de nombreuses failles de sécurité, n'est pas répréhensible.

Vers un accroissement du contentieux lié au manquement à l'obligation de sécurité ?
Le manquement à l'obligation de sécurité est caractérisé par le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

L'article 226-17 n'a pas donné lieu à un contentieux abondant à ce jour.

Or, le simple fait que les données nominatives soient accessibles sans protection, qu'elle qu'en soit la raison (faille non corrigée, mauvaise configuration) semble caractériser un manquement à l'obligation de protéger les données personnelles.

Au regard de la jurisprudence de la Cour d'appel, il devient possible de faire constater ce manquement, sans risquer de se voir reprocher un accès non autorisé : si les données nominatives sont accessibles sans protection, elle seraient réputées non confidentielles c'est-à-dire que l'accès aux données est présumé non frauduleux.
Si la motivation de la Cour peut sembler manquer de rigueur, cette jurisprudence ouvre de nouvelles possibilités d'action aux victimes dont les données personnelles ont été mal sécurisées.

L'entreprise est responsable de la sécurité et de la confidentialité des données traitées pour son compte en exécution du contrat. Elle doit veiller à ce que son prestataire prenne les mesures nécessaires à cet effet, notamment par des clauses contractuelles appropriées, sous peine d'engager sa responsabilité pénale.
Soulignons enfin que la directive du 24 octobre 1995, qui devrait être transposée en droit français prochainement, traite de la sécurité des traitements automatisés de manière extensive, et définit de manière précise les obligations incombant aux prestataires traitant des données pour le compte de l'entreprise responsable du traitement (articles 16 et 17).

Autant d'éléments qui doivent inciter les entreprises à une vigilance accrue en matière de sécurité du système d'information.

Nouvelles offres d'emploi

sur Emploi Center

Chaine Parlementaire Public Sénat | Michael Page Interim | 1000MERCIS | Mediabrands | Michael Page International