| |
"Considérant
que (…) il ne peut être reproché à
un internaute d'accéder ou de se maintenir dans
les parties des sites qui peuvent être atteintes
par la simple utilisation d'un logiciel grand public
de navigation, ces parties de site (…) devant être
réputées non confidentielles à
défaut de toute indication contraire et de tout
obstacle à l'accès …"
C'est le motif principal retenu dans un arrêt
prononcé le 30 octobre 2002 par la 12ème
Chambre Correctionnelle de la Cour d'Appel de Paris.
La Cour relaxe ainsi l'animateur du site kiteota.com
des préventions d'accès et/ou de maintien
frauduleux dans un site Internet. Pour mémoire,
ce délit est réprimé par l'article
323-1 du Code Pénal en des termes simples : "Le
fait d'accéder ou de se maintenir, frauduleusement,
dans tout ou partie d'un système de traitement
automatisé de données est puni d'un an
d'emprisonnement et de 15 000 euros d'amende. Lorsqu'il
en est résulté soit la suppression ou
la modification de données contenues dans le
système, soit une altération du fonctionnement
de ce système, la peine est de deux ans d'emprisonnement
et de 30 000 euros d'amende."
En résumé,
les faits étaient les suivants : à l'occasion
de visites sur le site d'une grande société
française, l'animateur du site Kitetoa avait
découvert une faille de sécurité.
Cette faille lui avait permis d'accéder à
une base de données de 4 000 noms. Cette aventure
avait été rapportée par le site
Kiteota.com dans un premier temps. Le magazine New Biz
avait ensuite relaté l'affaire ce qui avait déclenché
une réaction de l'éditeur du site qui
avait porté plainte pour accès et maintien
frauduleux dans un système de traitement automatisé
de données.
En première instance,
les juges avaient considéré l'infraction
réalisée. Pour prendre cette décision,
les premiers juges avaient retenu l'argumentation suivante.
"Attendu que le prévenu a déclaré
qu'une fonction du navigateur Netscape permettait d'afficher
dans le navigateur l'ensemble du contenu du serveur
XXX ; qu'il a indiqué à titre de
démonstration lors de son interrogatoire par
les services de police avoir procédé à
une copie d'écran démontrant qu'à
partir de la page d'accueil du site XXX, il choisissait
les fonctions "communicator," puis "outils
du serveur", puis "service de la page",
fonctionnalités présentes sur tous les
navigateurs Netscape; que dans "services de la
page", l'ensemble du contenu du serveur s'affichait
sous forme d'arborescence; qu'en consultant les liens
HTML, il avait trouvé notamment le listing de
clients apparaissant dans le journal "Newbiz",
fichier de type ".mdb"dans lequel la société
XXX enregistrait le résultat de questionnaires
posés aux internautes, dans lequel apparaissaient
les noms, adresses et autres données personnelles
des visiteurs du site ayant bien voulu répondre
à des questions personnelles, fichier qui comportait
selon lui environ 4000 entrées (…)qu'en
accédant à plusieurs reprises au fichier
litigieux et en le téléchargeant, le prévenu,
qui fait d'ailleurs état dans ses déclarations
de la loi qui fait obligation aux sociétés
de protéger les données nominatives collectées,
avait nécessairement conscience que son accès
et son maintien dans le site de la société
Tati étaient frauduleux; qu'il y a lieu en conséquence
d'entrer en voie de condamnation à son encontre.
Considérant, l'absence
de protections des pages Web auxquelles il avait été
accédé, et l'absence d'agissements caractéristiques
d'une volonté de nuire, le Tribunal avait alors
condamné le prévenu à une somme
de 1 000 euros avec sursis, ce qui constituait une condamnation
très légère.
Mais, sur le plan du principe, le Parquet Général
devait considérer le jugement comme non satisfaisant
et interjetait appel de ce premier jugement le 28 mars
2002. Dans un communiqué de presse daté
du 4 avril 2002, procédure assez peu habituelle,
le Procureur Général expliquait que "cet
appel a pour but de permettre à la Cour d'Appel
de se prononcer sur la définition et la portée
du délit d'accès et de maintien frauduleux
dans un système…".
Or, l'Arrêt, qui
allait être rendu, comportait effectivement une
évolution majeure. Cette évolution intéresse
au premier chef les responsables sécurité
des systèmes d'information, les risk manager,
les administrateurs de réseaux.
Jusqu'à ce jour,
le délit d'accès ou de maintien frauduleux
dans "tout ou partie d'un système de traitement
automatisé de données" était
dans les faits d'une grande simplicité. Etaient
coupables ceux qui pénétraient ou se maintenaient
dans un système sans en respecter les règles
d'accès et de maintien. Il suffisait que l'auteur
de l'infraction ait eu conscience de l'irrégularité
de ses actes par l'accès ou le maintien dans
un système dans lequel il n'avait pas le droit
de se trouver. Les juridictions avaient plusieurs fois
eu l'occasion de dire que la présence ou non
d'un système de sécurité était
indifférent : même en cas d'absence par
exemple d'un code d'accès et mot de passe, même
en présence d'une faille de sécurité
manifeste qui amenait un quidam à se retrouver
par hasard là où il n'aurait pas du être,
le délit était réalisé.
Ainsi, la doctrine justifiait cette position en rappelant
que "même une porte ouverte dans un domicile,
ne doit pas donner droit d'accès et de maintien
dans ce domicile".
Cependant, avec l'avènement
d'Internet, la typologie des actes couverts par ce délit
se trouvait élargie. Un site Internet peut voir
se côtoyer sur une même machine et dans
un environnement proche, des parties de site qui ne
sont pas destinés au public et qui pourtant se
trouvent, par erreur ou incompétence, en accès
libre avec d'autres parties tout à fait public.
Fallait-il pour autant considérer l'internaute
comme le délinquant de l'article 323-1 du Code
Pénal lorsqu'il accède à une partie
du site non sécurisé par erreur ?
La Cour d'Appel vient de
répondre par la négative et elle donne
trois critères à cette nouvelle situation.
Tout d'abord, l'internaute a accédé à
des parties de site qui ne lui étaient pas destinées
au moyen d'un simple logiciel de navigation, sans utilisation
d'outils particuliers venant forcer un passage ou une
entrée. Ensuite, il y a bien faille de sécurité.
En quelque sorte, la Cour entend faire peser la responsabilité
de cette "erreur" non sur l'internaute lui
même mais sur l'éditeur du site défaillant.
Enfin, rien n'indiquait que ces parties du site visité
lui étaient interdites, aucune "indication
contraire" ne figurait ni "aucun obstacle
à l'accès". Par cette dernière
condition, les juges semblent bien considérer
que le défaut de sécurité au site
fait perdre à son éditeur la protection
par la loi.
Le droit confronté
à l'Internet se précise chaque jour. Cette
dernière décision de la Cour d'Appel de
Paris en est une nouvelle illustration. C'est peut être
la meilleure preuve que l'Internet arrive tout doucement
à l'âge de raison…
|
