L'Affaire Bluetouff ou l’art de se maintenir frauduleusement dans un système sans y être entré frauduleusement

Le blogueur Bluetouff a été condamné par la Cour d'appel de Paris pour maintien frauduleux dans un système automatisé de données auquel il avait accédé via Google du fait d'une faille de sécurité.

A grands renforts de teasers sur Twitter, la Toile a été secouée par l’affaire d'un blogueur condamné pour avoir eu accès à des données sensément confidentielles mais disponibles sur Google. Il est en effet difficilement imaginable d’être puni pour n’avoir fait que découvrir une faille manifeste d’un système de sécurité laissant des documents en accès libre. Evidemment, ce n’est pas si simple, et l’arrêt de la Cour d’appel de Paris du 5 février 2014 est loin d’être irrationnel. Il pose toutefois des questions cruciales de liberté d’expression.

Olivier Laurelli, alias Bluetouff, est un blogueur spécialisé dans la sécurité informatique. Il a ainsi découvert qu’il était possible, en cherchant tout simplement sur Google, d’accéder à l’extranet de l’Agence Nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) et d’y télécharger moult documents.

Suite à cette recherche, il a téléchargé 7,7 Go de données et publié sur son blog un article accompagné de l’un des documents, relatif aux nano-matériaux.

Poursuivi par l’ANSES au pénal pour accès frauduleux à un système de traitement automatisé de données, pour maintien frauduleux dans un système de traitement automatisé de données et vol de documents, il avait été relaxé en première instance par le Tribunal correctionnel de Créteil qui avait mis en avant l’absence de contournement de mesures de sécurité.

Le Procureur de la République a fait appel, et non l’ANPES elle-même. Par arrêt du 5 février 2014, la Cour d’appel de Paris a condamné Bluetouff à une amende de 3000 euros et a rejeté sa demande de dispense d’inscription de condamnation au casier judiciaire.

La Cour n’a pas retenu la qualification d’accès frauduleux à un système de traitement automatisé de données, parce que cet accès lui a été « permis en raison d’une défaillance technique » reconnue par l’ANSES. En d’autres termes, il n’a pas forcé la porte, elle était ouverte.

En revanche, la Cour a considéré qu’il était coupable de s’être maintenu frauduleusement dans le système. En bon sens, on peut avoir du mal à concevoir comment un maintien peut être frauduleux si l’accès ne l’était pas. Après tout, l’ANSES n’avait qu’à garantir la sécurité de ses accès.

Toutefois, juridiquement, il existe bien deux notions distinctes et alternatives dans l’article 323-1 du Code pénal :  « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende ».

On peut penser que la deuxième notion est en quelque sorte l’aggravation de la première (non seulement j’ai accédé mais encore je suis resté) mais pas forcément. En l’occurrence, Bluetouff a reconnu devant les enquêteurs qu’après avoir remonté l’arborescence, il a constaté la présence de contrôles d’accès et d’authentification. Par conséquent, il connaissait le caractère en réalité confidentiel du contenu et l’existence d’une faille technique. Malgré cela, il s’y était maintenu pour télécharger les données et les diffuser à des tiers.

Ainsi, même si l’accès n’était pas frauduleux parce que le prévenu n’avait pas eu besoin de frauder pour entrer, l’accès restait quand même interdit et donc le maintien devenait frauduleux car le prévenu le savait. En d’autres termes, il est entré par une porte ouverte d’un local qu’il savait interdit d’accès, et il est resté pour farfouiller.

Enfin s’agissant des documents copiés, la Cour retient le vol, défini par l’article 311-1 du Code pénal comme la « soustraction frauduleuse de la chose d’autrui » et puni au maximum de trois ans d’emprisonnement et 45.000 euros d’amende.

Le vol de documents immatériels par téléchargement est un sujet éminemment discuté tant il est malaisé de parler de « soustraction » et de « chose » quand il s’agit de copier des fichiers, c’est-à-dire qu’on ne prive pas le « propriétaire » de sa « chose ». La jurisprudence ne l’admet que du bout des lèvres (Cass. Crim, 4 mars 2008).

Confrontés à la difficulté de cette analogie avec le vol pur et simple, on pourrait penser au délit de contrefaçon, qui peut effectivement avoir pour objet une copie immatérielle (par exemple, le téléchargement illicite de musique et la campagne « le piratage c’est du vol » qui n’était pas très à cheval sur les termes…).

Toutefois, comparaison n’est pas raison. La contrefaçon n’a pas été conçue pour être l’équivalent, pour l’ « immatériel », du vol dans le monde physique. Il s’agit d’un délit autonome qui vise à sanctionner le détournement ou l’exploitation d’un apport ou d'un actif intellectuel justifiant une protection spécifique  (œuvre, brevet, marque …), que ce soit dans le monde physique ou immatériel. Il n’est donc pas question de qualifier de contrefaçon toute copie d’un fichier au prétexte qu’il est immatériel, sans justifier la protection éventuelle par un droit de propriété intellectuelle.

En l’occurrence, la Cour d’appel considère que Bluetouff a bien commis un « vol » en réalisant des « copies  de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré du propriétaire » et en les fixant sur différents supports pour les diffuser. En d’autres termes, il est donc entré par une porte ouverte d’un local interdit d’accès, il est resté pour farfouiller et il a fait des photocopies à des fins personnelles.

Outre la notion de soustraction, la question de savoir si les documents étaient vraiment « inaccessibles au public », comme le retient la Cour, se pose, compte tenu du contexte. Cela fondera certainement un argument pour aller devant la Cour de cassation.

En toute hypothèse, et pour protéger des documents, on pourrait plutôt se positionner sur le terrain d’une atteinte à la confidentialité, car tel est bien le problème en réalité, plutôt que sur du vol.

La motivation de la Cour d’appel reste donc somme toute cohérente avec le droit répressif actuel. Selon nous, la véritable question qui se pose n’est pas tant le caractère justifié ou non de cet arrêt en droit, mais la nécessité que la liberté d’expression ait un vrai rôle à jouer dans ce genre d’affaires. 

En effet, l’objectif de Bluetouff, comme les journalistes d’investigation, était manifestement d’informer le public en profitant d’une faille de sécurité, quitte à en assumer les risques juridiques.

On pourrait imaginer, même quand une infraction est matériellement indiscutable, qu’il soit possible de s’exonérer de sa responsabilité pénale en démontrant, dans des conditions strictes, que l’infraction n’a été commise que dans un but légitime d’information, autrement dit de reconnaitre un fait justificatif autonome (comme la légitime défense et l’état de nécessité). Le fait justificatif de la bonne foi existe déjà en matière d’infractions de presse et pourrait donc servir d’inspiration. Effectivement, Bluetouff ne pouvait pas lancer de débat public en se bornant à informer l’ANSES ou la Police qu’une faille existait.

Cela ne signifie pas que Bluetouff aurait nécessairement échappé à toute condamnation, mais la possibilité aurait été ouverte de débattre de la démarche.

Notons d’ailleurs que les « lanceurs d’alerte » connaissent un début de reconnaissance en droit du travail avec la loi du 6 décembre 2013 qui permet aux salariés ayant lancé des alertes, dans des conditions strictes évidemment, d’éviter les représailles.

Le droit de propriété est un principe à valeur constitutionnelle qui doit être mis en balance avec la liberté d’expression, également à valeur constitutionnelle…. Après tout, si le propriétaire d’un document ne veut à aucun prix le voir tomber sur la place publique, c’est à lui de fermer la porte à clé.