Du maintien frauduleux dans internet: the Bluetouff’s case

1. L’article 323-1 réprime deux faits distincts, l’accès frauduleux d’une part, le maintien frauduleux d’autre part. Par un arrêt du 5 février 2014, la Cour d’appel de Paris condamne un internaute sur ce second chef, en retenant « qu’il est constant que le système extranet de l’ANSES n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données à l’évidence protégées ». La Cour retient ensuite le vol de document informatique, notion brillamment démontée par Maître Eolas, je n’y reviendrai donc pas.
2. La Cour retient l’existence de l’élément intentionnel de l’infraction de maintien frauduleux dans un STAD en se fondant sur le fait qu’ayant remonté l’architecture du site, un extranet, et constaté l’existence d’un contrôle d’accès, il ne pouvait ignorer la volonté du maître du système d’en interdire l’accès. Dès lors, le  téléchargement de 8 Go de données ne pouvait pas être innocent. Je ne connais pas les moyens du pourvoi, mais je pense qu’il est de l’intérêt de tout internaute (y compris les utilisateurs profanes comme moi) de voir la Cour de cassation censurer pareil raisonnement, pour les raisons ci-dessous exposées (pour ceux qui ne s’intéressent pas à la procédure et à la construction juridique de l’argumentation devant la Cour de cassation, allez directement au §.7). 
3. Précisons que l’affaire en est au stade du pourvoi en cassation, c’est-à-dire que les arguments ne peuvent plus porter sur les faits, qui ont été établis par les constatations des juges du fond (1re instance et appel)⁽¹⁾Code de l’organisation judiciaire, art. L. 411-2: « La Cour de cassation statue sur les pourvois en cassation formés contre les jugements rendus en dernier ressort par les juridictions de l’ordre judiciaire. La Cour de cassation ne connaît pas du fond des affaires, sauf disposition législative contraire » et art. L. 311-1, al. 2 du même Code: « Les cours d’appel statuent souverainement sur le fond des affaires ».. Précisons également que le très court délai imparti pour se pourvoir en cassation⁽²⁾Cf. art.568 CPP al.1er: 5 jours francs, décomptés à partir du lendemain du prononcé de l’arrêt attaqué, soit ici du 6 février minuit au 11 février à minuit, pour un ex. de décompte, v. Cass. crim. 7 février 1989, n°88-84512, Bull. n°50 p. 138. entraîne, comme en l’espèce, le problème d’interjeter un recours sans connaître exactement ses chances de succès puisque les motifs de la décision n’ont été communiqués que par après⁽³⁾Situation qui contribue à l’engorgement de la Cour de cassation, cf. Jacques Boré, Dalloz action, La cassation en matière pénale, titre 4, n°40.09.. L’argumentation juridique proprement dite (les « moyens » de cassation) résultera du mémoire, déposé dans les dix jours du pourvoi au greffe de la juridiction ayant rendu la décision attaquée ou au greffe de la Cour de cassation dans le délai d’un mois à compter du dépôt du pourvoi (articles 584 et 585 du CPP).
4. Le débat est donc exclusivement juridique, sans possibilité de modifier les constatations de fait de la Cour d’appel (mais les faits ne sont pas contestés), comme le soulignent les articles 567 et article 591 du CPP : les décisions pénales « revêtus des formes prescrites par la loi, ne peuvent être cassés que pour violation de la loi ». La violation de la loi peut prendre différentes formes. Ainsi, Maître Eolas relève l’insuffisance de motifs, visé par l’article 593 du CPP: un juge ne peut pas condamner quelqu’un sans expliquer pourquoi et sans que ses motifs ne soient ceux prévus par la loi⁽⁴⁾« Parce que » ou « na » n’est évidemment pas un motif prévu par la loi.. Comme l’explique un auteur, « Un moyen de cassation est l’application concrète à l’espèce du cas d’ouverture à cassation invoqué par le demandeur : il désigne à la cour régulatrice du droit l’illégalité de la décision attaquée qu’il lui demande de censurer »⁽⁵⁾Jacques BORÉ et Louis BORÉ, Cassation (Pourvoi en), Enc. dalloz de procédure pénale, avril 2013, n°163..
5. La doctrine classe les cas d’ouverture à cassation en cinq catégories⁽⁶⁾Jacques BORÉ et Louis BORÉ, La cassation en matière pénale, Dalloz action, n° 60.00 et s. : la constitution irrégulière de la juridiction, la violation des règles de procédure, la violation de l’obligation de motiver (y compris l’insuffisance de motifs soulevée par Me Eolas), la violation des règles de compétence et la violation des règles de fond. Certains moyens découlent directement des éléments du dossier, que je n’ai pas (par ex. le défaut de réponse à conclusion, qui entre dans la catégorie du défaut de motif).
6. Le cas d’ouverture à cassation de violation de la loi comprend trois formes: la fausse interprétation, la fausse application et le refus d’application. Comme l’indique la doctrine, « Le refus d’application consiste à ne pas appliquer une loi claire et formelle à la situation de fait qu’elle devait régir. La fausse application consiste au contraire à appliquer une loi claire à une situation de fait qu’elle ne devait pas régir. La fausse interprétation, enfin, suppose qu’une loi prêtant à controverse ait été mal interprétée par les juges du fond, qui en ont étendu ou restreint arbitrairement les termes ou la portée »⁽⁷⁾Jacques BORÉ et Louis BORÉ, Cassation (Pourvoi en), Enc. dalloz de procédure pénale, avril 2013, n°215 et s.. Il me semble que c’est bien sur la deuxième forme de violation de la loi que l’arrêt de la Cour d’appel de Paris est critiquable en ce qu’il déduit l’intention de l’infraction de maintien frauduleux des circonstances de l’espèce. En effet, comme le souligne la doctrine⁽⁸⁾Ibidem., « la fausse qualification des faits constatés est tantôt une fausse interprétation de la loi, lorsque le juge a commis une erreur dans la définition du concept qualificateur, tantôt et plus fréquemment une fausse application, le juge ayant attribué à tort aux faits une qualification qu’ils ne pouvaient pas recevoir ». Contrairement à ce que j’ai pu lire ici ou là, je pense que la loi Godfrain est bien rédigée, de façon abstraite de sorte qu’elle peut s’appliquer même en présence de l’évolution de la technique, mais, de ce fait, elle impose au juge un important travail de concrétisation. Les faits et l’appréciation de leur sens exact doivent donc faire l’objet d’un examen approfondi.
7. En l’espèce, la Cour d’appel de Paris a considéré que l’intention délictueuse⁽⁹⁾Aussi appelée « dol criminel » par les juristes. requise pour que soit constituée l’infraction de maintien frauduleux au sens de l’article 323-1 du Code pénal résultait de la connaissance par le prévenu de ce qu’il s’agissait d’un extranet et de l’existence d’un contrôle de l’accès à une partie du site, ce qui  impliquait nécessairement, toujours selon la Cour d’appel, sa conscience de ce que l’ensemble du contenu du serveur aurait dû être protégé. Pour la Cour d’appel, Wikipedia et les ingénieurs en informatique, il y a une différence très nette entre un extranet et un site internet, le premier devant comprendre systématiquement un accès contrôlé, le second comportant une partie privée et une partie en accès public. En pratique, un extranet peut avoir tant une partie privée qu’une partie publique⁽¹⁰⁾Pour un exemple, voir le commentaire de Marcel, sous le billet d’Eolas, qui indique: « En l’espèce, l’état de l’art sur internet, la façon dont les choses se font, interdisent très clairement de partir du principe que l’interdiction était manifeste. Beaucoup de choses pouvaient laisser croire qu’il n’y avait pas d’interdiction. Quand la justice dit en substance que “à partir du moment où il est tombé sur une page de login, l’interdiction était manifeste”, c’est fondamentalement inexact. Là tout de suite, je peux vous prouver le contraire, et sur un site d’une administration de l’État en plus. Regardez : http://extranet.csa.fr/Extranet_TNT… Oh mais que vois-je, un “Extranet”. Je clique dessus… Oh mais que vois-je, une page m’informant que l’endroit est privé, avec un bouton et un formulaire de connexion. Et pourtant… http://extranet.csa.fr/Extranet_TNT… Oh mais que vois-je ? Des documents en accès public ! Encore une faille de sécurité ? Perdu ! Le responsable de l’extranet a confirmé que l’accès public de ces documents était volontaire, et qu’il était tout à fait permis d’y accéder »..
8. Pour qu’un délit soit constitué (et donc punissable), il faut que soient réunis trois éléments: un texte pénal (ici, 323-1), un élément matériel, ici les faits sont établis et d’ailleurs non contestés, et un élément intentionnel, la « volonté  de commettre un acte que l’on sait interdit ou, autrement dit, (…) l’intention de violer la loi pénale« ⁽¹¹⁾Frédéric Desportes et Francis Le Gunehec, Droit pénal général, 8e éd., Economica, 2001, p.406 et s. n°470 et s.. Il faut donc ici que soit démontrée l’intention du prévenu de se maintenir dans un STAD dont il sait l’accès interdit.
9. La charge de la preuve de cette intention délictuelle incombe au Ministère public. Cependant, la commission de certains actes peut faire présumer cette volonté délictuelle, à charge alors pour le prévenu de démontrer que son intention était tout autre. La Cour d’appel de Paris procède ainsi puisqu’elle retient les éléments de fait que sont l’accès à un extranet et la connaissance de l’existence de contrôle d’accès pour en déduire la conscience du caractère frauduleux du maintien dans le système. Il est possible de déduire l’intention délictuelle « de la nature même du comportement matériel, lorsque celui-ci ne présente pas d’équivoque« ⁽¹²⁾Ibidem..
10. Toutefois, en l’espèce, ce comportement tel qu’il est caractérisé par la Cour d’appel est équivoque et ne peut suffire à caractériser l’intention de se maintenir frauduleusement dans le système. En effet, si un extranet n’est pas tout-à-fait la même chose qu’un site internet, il n’en demeure pas moins qu’il est accessible depuis internet, parfois sans aucun contrôle, et parfois avec une partie en accès restreint et une partie en accès public. La seule qualification d’extranet ne suffit donc pas à déterminer si l’accès doit ou non en être contrôlé, ni dans quelle mesure⁽¹³⁾Sur la notion d’extranet, cf. Wikipedia. . De la même façon, l’existence d’un contrôle d’accès sur une partie du serveur ne permet pas de conclure que l’ensemble du site est privé ou alors, quittez vite ce site, car il comporte 2-3 pages en accès privé (cf. le wiki par ex.). L’accès à l’interface d’administration de ce blog est soumis à identification et à fourniture d’un mot de passe, il n’en demeure pas moins que les billets sont quasiment tous publics et accessibles à l’ensemble d’internet. Le fait que l’exigence d’une authentification figure sur la page d’accueil n’implique pas que l’ensemble du site ou de l’extranet est en accès restreint, comme le montre l’exemple de l’extranet du CSA cité plus haut. Cette  réalité technique explique le cyber tollé qui a accueilli la diffusion de l’arrêt de la Cour d’appel de Paris.
11. Un autre élément de fait non visé aux motifs mais qui a pu peser sur le délibéré de la Cour d’appel est le volume de documents téléchargé (8 Go) ainsi que le recours à un logiciel gestionnaire de téléchargement⁽¹⁴⁾Ou « download manager« , logiciel courant existant pour tous les systèmes d’exploitation, cf. ici pour Mac, ici pour Windows. La seule différence est que Wget est en ligne de commande et fait partie des outils des systèmes d’exploitation Unix-Linux, cf. ici et ici. L’intérêt de ces logiciels est de fonctionner en tâche de fond et de « ménager » la connexion internet en égalisant le volume du téléchargement. Wikipedia précise que « Wget a été conçu pour être robuste si la connexion réseau est lente ou instable ; si un téléchargement échoue à cause d’un problème de réseau, il va réessayer jusqu’à ce que tout le fichier soit récupéré, en reprenant là où il s’était arrêté« . . Cependant, là encore, ces seuls éléments ne sont pas suffisants pour caractériser une intention frauduleuse. Lorsque j’effectue une recherche, il m’arrive de faire en parallèle d’autres choses, et de remettre à plus tard l’examen des documents trouvés. Il est alors plus simple pour moi de placer ces documents sur mon disque dur, où ils seront indexés par mon système d’exploitation, que de conserver la trace de ma recherche par l’intermédiaire du moteur de recherche. Les mots-clefs ayant conduits à ce résultat font l’objet d’un traitement par les algorithmes du moteur de recherche, ce qui induit une variabilité du résultat d’un jour à l’autre. Donc, pour avoir déjà essayé vainement à plusieurs reprises de retrouver LE document vu la veille et disparu dans les méandres d’internet, je préfère aujourd’hui télécharger ce que je trouve, quitte à vider régulièrement mon dossier de téléchargement. Il est vrai que le volume de données peut interroger. Toutefois, dès lors qu’un téléchargeur comme wget collecte tout ce que le serveur accepte de lui donner et tourne en tâche de fond sans qu’il soit nécessaire de cliquer sur les différents liens, il est facile de télécharger une masse considérable de documents. Internet et les capacités de stockage des ordinateurs permettent de se constituer une bibliothèque sur son disque dur, accessible même en l’absence de connexion, et le droit reconnaît le droit de copie privée sans distinguer selon qu’il s’exerce avec un photocopieur ou avec un téléchargeur.
12. Par ailleurs, d’un point de vue plus large, si la Cour de cassation décidait de ne pas censurer cet arrêt sur ce point, cela reviendrait à faire peser sur tout internaute l’obligation de deviner à tout moment l’intention du maître du système, y compris lorsqu’il utilise un moteur de recherche comme Google pour y accéder et y compris lorsque les documents ne comportent pas d’indication quant à leur confidentialité. Dès lors, comment user d’internet sans risquer les foudres de la justice? Ce, alors qu’internet est conçu pour permettre l’échange d’informations, outil si essentiel à notre société moderne et à l’exercice de nos libertés que le Conseil constitutionnel a érigé le droit d’accès au réseau au rang de liberté fondamentale? (clic)⁽¹⁵⁾Si vous avez cliqué sur ce lien, pouvez-vous remonter l’arborescence et me confirmer qu’il est d’un accès public? Je ne l’ai pas fait car s’il s’avère que l’accès en est restreint, alors vous vous êtes rendu coupable d’un maintien frauduleux dans un STAD selon la Cour d’appel de Paris.. Comment un internaute pourrait-il exercer cette liberté fondamentale s’il est sous la menace de poursuite arbitraire pour n’avoir pas su deviner l’intention réelle du maître du système, nonobstant la configuration inappropriée des droits d’accès?
13. En principe, un litige est l’affaire des parties, de sorte qu’il n’appartient pas au juge d’en modifier les termes⁽¹⁶⁾Le Parquet n’est pas un juge au sens technique du terme, il représente les intérêts de la société, de l’Etat et parfois les instructions du Garde des Sceaux, cf. sur ce point ce billet de Me Daniel Soulez Larivière, ici.. Toutefois, en présence de moyen d’ordre public, à condition qu’il s’agisse également d’un moyen de pur droit, la Cour de cassation a la faculté de le soulever d’office⁽¹⁷⁾Jacques BORÉ et Louis BORÉ, La cassation en matière pénale, Dalloz action, nn°112.72 à 112.91.. La fausse application de la loi pénale est un moyen d’ordre public⁽¹⁸⁾Ibidem. Cass. crim. 1er octobre 1987, n°86-96148, Bull. n°323; Cass. crim. 24 octobre 1988, n°87-91203, Bull. n°360. . Encore faut-il qu’il s’agisse d’un moyen de pur droit, c’est-à-dire qu’il ne fait appel à aucun fait qui ne soit constaté par la décision attaquée ou les conclusions des parties. En l’espèce, peut-être y avait-il dans le dossier des éléments factuels qui auraient pu justifier la position de la Cour d’appel, mais ceux mentionnés dans l’arrêt n’y suffisent pas et c’est justement cela qui est critiqué: la mauvaise qualification des faits retenus par la Cour d’appel, qui en tire une conséquence erronée.

Ce billet a été modifié le 13 février 2014, pour ajouter des précisions sur la notion d’extranet et les conclusions factuelles qu’il est possible d’en tirer, ainsi que sur la faculté de la Cour de cassation de soulever un moyen de pur droit.