Google et l’article 323-1 du Code pénal

Edit du 5 février 2014: … je vais renouveler mon abonnement à Mediapart.

ou du droit, des magistrats et des ignares

Une certaine presse s’est récemment émue de ce que les magistrats de la Cour d’appel de Paris ne maîtriseraient pas suffisamment l’informatique pour appliquer le droit (Rue89, Mediapart).

Ce que n’a pas compris la presse qui assistait à l’audience, c’est que la compétence du juge ne repose pas sur sa connaissance technique des faits, mais sur sa compétence technique du droit (laquelle fait d’ailleurs souvent défaut à la presse elle-même, les juristes ayant souvent l’occasion de s’amuser du manque de culture juridique élémentaire d’une certaine presse).

En l’espèce, était en cause l’article 323-1 du Code pénal(1)Pour être précis, la prévention retenue en première instance visait l’accès et le maintien frauduleux, 323-1 et s., ainsi que le vol de documents sur l’extranet de l’Agence de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail, art. 311-1 et s. du Code pénal. réprimant l’accès ou le maintien frauduleux, dans tout ou partie d’un système de traitement automatisé de données (STAD), texte issu de la loi n°88-19 du 5 janvier 1988 dite « Godfrain ».

En très résumé, il était reproché à un internaute d’avoir pris connaissance de documents se trouvant sur un serveur à la suite d’une recherche sur Google, documents dont l’accès aurait dû se trouver interdit si l’administrateur du serveur en question avait fait son travail correctement. Précisons que le navigateur comme le VPN ne constituent pas des outils de piratage, mais seulement de protection des échanges sur internet. Il convient également de préciser que la Cour d’appel a été saisie sur appel du Parquet, les premiers juges étant quant à eux entrés en voie de relaxe car l’internaute n’avait pas utilisé d’outil de piratage, avait pu légitimement penser que lesdits documents étaient en libre accès(2)Trib. Corr. de Créteil, jugement du 23 avril 2013. V. ici pour un bref commentaire de la décision sur www.legalis.net; Éric A. CAPRIOLI, Le caractère frauduleux de l’accès et du maintien dans un STAD non protégé, comm., Communication Commerce électronique n° 9, Septembre 2013, comm. 96. Agathe Lepage, Un an de droit pénal des nouvelles technologies, Droit pénal n° 12, Décembre 2013, chron. 11, spéc. n°13. et que le fait d’en réaliser des copies numériques ne pouvait être assimilé à un vol(3)Il suffit de lire l’article 311-2 du Code pénal pour s’en convaincre, qui « assimile » le vol d’énergie au vol de chose. En raison du principe d’interprétation stricte qui domine le droit pénal, les magistrats ne pouvaient étendre la notion de vol au-delà du texte. Ceci explique que le « vol d’information » n’existe pas en droit français, comme l’explique depuis longtemps la doctrine, v. par ex. M. Vivant et A. Lucas : JCP 1993, éd. E, I, 246, n° 24. Au demeurant, il serait inutile d’édicter une infraction nouvelle car les règles actuelles, en réprimant l’accès frauduleux, permettent déjà de sanctionner ce type d’agissement..

Le législateur n’a pas voulu soustraire le droit pénal de l’informatique au droit commun. Bien au contraire, la philosophie de la loi Godfrain était de « s’insérer autant que possible dans le droit pénal commun déjà existant« (4)Cité par le Lamy, droit du numérique 2014: JO rapp. AN, 3e sess. 1985-1986, Exposé des motifs, p. 1 et 2.. Les incriminations visées sont spécifiques mais les principes généraux du droit pénal s’appliquent : interprétation stricte, etc. Or, le principe, en matière d’infraction pénale, est qu’elle n’est constituée que lorsque trois éléments sont cumulativement réunis : légal, matériel et moral. L’élément légal résulte du texte de l’article 323-1 : un accès frauduleux(5)La Cour de Paris ne dit pas autre chose (CA Paris, 11e ch., 5 avr. 1994, JCP E 1995, n° 18, I, n°461, obs Vivant et Le Stanc, LPA 1995, n°80, p. 13, obs. Alvarez) : « L’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de télécommunication« . Ce terme s’entend au sens de « toute action de pénétration ou d’intrusion : connexion pirate, tant physique que logique, appel d’un programme alors qu’on ne dispose pas de l’habilitation, interrogation d’un fichier sans autorisation« : Bensoussan, n°2520, p.811. à un STAD, notion qui recouvre aussi bien l’ensemble d’internet que chaque serveur ou ordinateur personnel, voir même un simple site internet. En l’espèce, au moins deux STAD étaient en cause : l’internet, entendu comme l’ensemble des ordinateurs connectés au réseau, et le serveur en cause, tant dans sa partie publique que dans sa partie privée, l’extranet réservé aux employés.

Le but d’internet a toujours été d’échanger des informations, des documents, des données. Il en résulte que tout élément mis en ligne a par principe vocation à être public. Pour faciliter l’accès du public à cette masse d’informations, des logiciels spécifiques, appelés moteur de recherche, (dont le Google en question dans cette affaire, mais ce n’est pas le seul) sont utilisés. Comme l’indique Mme la professeure Marino, « Google est le moteur de recherche le plus utilisé au monde. Comme tous les moteurs de recherche, il indexe les ressources sur le web grâce à des robots crawlers et crée des caches, c’est-à-dire des copies temporaires pour optimiser l’affichage des résultats. Il offre ainsi un puissant outil de localisation des informations« (6)Laure Marino, Google et la machine à effacer le passé, JCP EG, n°39, 23 Septembre 2013, 978.. Ils indexent les informations mises en ligne et les restituent en cas de recherche. Métaphoriquement, internet est comparable à une voie publique, sur laquelle tous les documents seraient des « res communes » dont chacun pourrait trouver en utilisant une carte fourni par Google et user selon son besoin(7)François Terré, Philippe Simler, Les biens, Précis Dalloz, 2010, 8e édition, p. 8 : « Reconnues en tant que choses communes du droit, les choses communes – res communes – relèvent en droit écrit, tout d’abord de manière générale de l’article 714 du Code civil : « Il est des choses qui n’appartiennent à personne et dont l’usage est commun à tous », al. 1er. « Des lois de police règlent la manière d’en jouir », al. 2»..

Par exception au principe d’accessibilité, l’administrateur d’un STAD, peut en interdire l’accès, ce qui a pour effet d’interdire à Google de procéder au référencement du contenu du serveur. Il est aussi possible de restreindre l’accès non à la totalité du serveur, mais seulement à certains éléments, lesquels ne seront alors pas indexés par Google. Pour reprendre l’image de la voie publique, l’administrateur du serveur a la possibilité d’en interdire l’accès en tout ou partie, encore faut-il que des éléments visibles le manifestent aux yeux des badeauds, qui sans cela, pourraient légitimement penser se trouver toujours sur la voie publique. Dès lors qu’une telle interdiction existe, Google ne procède plus au référencement des éléments considérés. La jurisprudence a déjà eu l’occasion de distinguer l’accès de celui qui exploite consciemment une faille logicielle et celui qui accède normalement à un STAD accessible au public(8)Lamy Droit du numérique 2013, n°2972.. Ainsi, il a été jugé que ne constituait pas une intrusion l’accès à l’annuaire électronique de France Télécom par le numéro 11 accessible au public(9)CA Rennes, 3e ch., 6 févr. 1996, Juris-Data, n°042141., ni le fait d’avoir accédé à un site en utilisant un navigateur Netscape, « logiciel grand public de navigation »(10)CA Paris, 12e ch., 30 oct. 2002, <www-kitetoa.com>.. Si l’accès a été licite, le maintien peut ne pas l’être. Encore faut-il que son auteur acquiert la conscience de ce que l’administrateur a entendu interdire l’accès à tout ou partie du site. A défaut de quoi, la jurisprudence a déjà eu l’occasion d’indiquer qu’un accès licite, répété, qui permet de naviguer dans le système gratuitement selon les conditions fixées de connexion, comme tel est le cas de l’annuaire électronique, ne saurait être qualifié de maintien indu (11)CA Rennes, arrêt précité. .

L’indexation du contenu d’un site, des documents qui s’y trouvent, par un moteur de recherche fait présumer l’intention de l’administrateur du STAD d’en autoriser l’accès, à charge pour celui-ci de démontrer que ce n’est pas le cas, et surtout, que l’internaute ayant accédé au contenu pouvait avoir conscience de son caractère confidentiel. De plus, la simple mention « confidentielle » figurant sur un document ne suffit pas à assurer l’information de l’internaute car de nombreux documents ainsi étiquetés circulent sur la toile et ont perdu ce caractère. Comme le souligne le Lamy Droit du numérique(12)Michel Vivant (dir.), Lamy droit du numérique 2013, n°2930 et s. , « Ne sont punissables que les accès et maintiens accomplis « frauduleusement ». C’est souligner que les auteurs de ces délits doivent avoir eu conscience de l’irrégularité de leurs actes« .

Contrairement à ce que semble penser une certaine presse, les juristes sont parfaitement à même d’appliquer le droit à l’internet, les juges de première instance ne s’y sont d’ailleurs pas trompé et ont donc en conséquence prononcé une relaxe. Au demeurant, la solution est heureuse, car sinon, il faudrait poursuivre tout internaute utilisant Google, parce qu’un jour ou l’autre, tout le monde finit par tomber sur une page d’un site mal configuré. ça m’est arrivé, et pourtant je connais rien à l’informatique, si ce n’est qu’il s’agit d’une histoire de 0 et 1.

Bibliographie indicative

  • Christine Feral-Schuhl, Cyberdroit, le droit à l’épreuve de l’internet, 4e édition, Dalloz 2006
  • Céline Castets-Renard, Droit de l’internet, Montchrestien 2010
  • Michel Vivant (dir.), Lamy droit du numérique 2013, n°2930 et s.
  • Alain Bensoussan (dir.), Informatique Télécoms Internet, Mémento Lefebvre, 4e édition, 2008
Cette entrée a été publiée dans Droit de l’informatique, Droit pénal, et marquée avec Accès frauduleux, Article 323-1 du Code pénal, Google, STAD, Système de traitement automatisé de données, le par matringe.
Print Friendly, PDF & Email

References

References
1 Pour être précis, la prévention retenue en première instance visait l’accès et le maintien frauduleux, 323-1 et s., ainsi que le vol de documents sur l’extranet de l’Agence de Sécurité Sanitaire de l’Alimentation, de l’Environnement et du Travail, art. 311-1 et s. du Code pénal.
2 Trib. Corr. de Créteil, jugement du 23 avril 2013. V. ici pour un bref commentaire de la décision sur www.legalis.net; Éric A. CAPRIOLI, Le caractère frauduleux de l’accès et du maintien dans un STAD non protégé, comm., Communication Commerce électronique n° 9, Septembre 2013, comm. 96. Agathe Lepage, Un an de droit pénal des nouvelles technologies, Droit pénal n° 12, Décembre 2013, chron. 11, spéc. n°13.
3 Il suffit de lire l’article 311-2 du Code pénal pour s’en convaincre, qui « assimile » le vol d’énergie au vol de chose. En raison du principe d’interprétation stricte qui domine le droit pénal, les magistrats ne pouvaient étendre la notion de vol au-delà du texte. Ceci explique que le « vol d’information » n’existe pas en droit français, comme l’explique depuis longtemps la doctrine, v. par ex. M. Vivant et A. Lucas : JCP 1993, éd. E, I, 246, n° 24. Au demeurant, il serait inutile d’édicter une infraction nouvelle car les règles actuelles, en réprimant l’accès frauduleux, permettent déjà de sanctionner ce type d’agissement.
4 Cité par le Lamy, droit du numérique 2014: JO rapp. AN, 3e sess. 1985-1986, Exposé des motifs, p. 1 et 2.
5 La Cour de Paris ne dit pas autre chose (CA Paris, 11e ch., 5 avr. 1994, JCP E 1995, n° 18, I, n°461, obs Vivant et Le Stanc, LPA 1995, n°80, p. 13, obs. Alvarez) : « L’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de télécommunication« . Ce terme s’entend au sens de « toute action de pénétration ou d’intrusion : connexion pirate, tant physique que logique, appel d’un programme alors qu’on ne dispose pas de l’habilitation, interrogation d’un fichier sans autorisation« : Bensoussan, n°2520, p.811.
6 Laure Marino, Google et la machine à effacer le passé, JCP EG, n°39, 23 Septembre 2013, 978.
7 François Terré, Philippe Simler, Les biens, Précis Dalloz, 2010, 8e édition, p. 8 : « Reconnues en tant que choses communes du droit, les choses communes – res communes – relèvent en droit écrit, tout d’abord de manière générale de l’article 714 du Code civil : « Il est des choses qui n’appartiennent à personne et dont l’usage est commun à tous », al. 1er. « Des lois de police règlent la manière d’en jouir », al. 2».
8 Lamy Droit du numérique 2013, n°2972.
9 CA Rennes, 3e ch., 6 févr. 1996, Juris-Data, n°042141.
10 CA Paris, 12e ch., 30 oct. 2002, <www-kitetoa.com>.
11 CA Rennes, arrêt précité.
12 Michel Vivant (dir.), Lamy droit du numérique 2013, n°2930 et s.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *