Dans le but de réprimer la délinquance informatique, le législateur avait dès 1988 adopté le texte suivant: « Quiconque, frauduleusement, aura accédé ou se sera maintenu dans tout ou partie de traitement automatisé de données sera puni d’un emprisonnement de deux mois à un an et d’une amende de 2000 F à 50 000 F ou de l’une de ces deux peines« .
Ce texte a ensuite été quelque peu modifié mais sans altération de sa teneur et placé dans le Code pénal à l’article 323-1: « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende« .
Depuis, la jurisprudence a eu l’occasion de préciser que l’accès frauduleux ne suppose pas un forçage du système mais simplement la conscience, par l’auteur de l’acte d’intrusion, de ce que le maître du système avait entendu en interdire l’accès, fusse avec un dispositif inefficace. Cette interprétation est conforme à l’intention du législateur(1)http://www.alain-bensoussan.com/pages/3031/ . .
Par un arrêt du 21 janvier 2010, la Cour d’appel de Montpellier, rappelle cette solution bien établie. Les faits étaient les suivants: le dirigeant d’une société avait réussi à siphonner la base de données clients d’une société concurrente en y accédant par le site internet de celle-ci; les données collectées lui avaient permis de démarcher lesdits clients en leur faisant des offres plus intéressantes que son concurrent. Il était toutefois démontré que si l’accès était en partie protégé, il demeurait possible d’accéder à la base de données client en se connectant soi-même comme client. Aux dires de l’expert commis par le tribunal, « les règles élémentaires de sécurité et de protection d’un site n’avait pas été respectées ». Le prévenu invoquait donc sa bonne foi et l’absence de piratage de sa part. La suite des investigations établissait qu’à partir de cet accès non protégé, le prévenu avait collecté les données de façon automatisé en utilisant un script.
La Cour relève que « Or, en l’espèce, il est constant et reconnu par le prévenu qu’il a pu accéder au fichier client de la société OXYPAS, ayant découvert que les numéros clients étaient incrémentés et non aléatoires, contrairement aux règles élémentaires de sécurité d’un système automatisé de données.
Les informations relatives aux clients n’étaient pas en libre accès, mais supposait la découverte de ce système de numérotation et une manipulation à savoir la saisie des numéros des clients pour accéder à leurs données personnelles, lesquelles n’étaient pas directement accessibles à l’internaute.
En procédant à cette manipulation, saisie du numéro client pour accéder à l’écran secondaire et aux données du fichier clients, M. X. ne pouvait ignorer qu’il ne respectait pas les règles de navigation posée par le maître système. (…) l’extraction des données personnelles des clients quelqu’en soit le mode suppose une connexion même brève dans la durée et un maintien dans le système de traitement automatisé de données, contre la volonté du maître système. En effet M. X. ne peut valablement soutenir, même en l’absence d’un système de sécurité, que la société OXYPAS autorisait du fait de cette défaillance, le pillage de son fichier clients, lequel est un des éléments immatériels de son patrimoine« .
En résumé, ce n’est pas parce que la maladresse d’un webmestre(2)Etant précisé que j’ignore en l’espèce qui est responsable de la faille: la société qui n’a pas su mettre en œuvre les directives de son prestataire ou le prestataire lui-même? ou encore le fournisseur de la plateforme de e-commerce? rend possible l’accès à un STAD que tout internaute passant par là serait en droit de le consulter et d’en capter les données pour les réutiliser à son profit sans contrepartie.
Il est à noter également que la société victime de cet accès frauduleux voit sa responsabilité civile engagée pour moitié en raison du défaut de sécurité de son site internet, elle n’obtiendra donc réparation que de la moitié de son préjudice, qu’elle chiffre en centaine de milliers d’euros. Il est vraisemblable qu’elle se retournera ensuite contre son prestataire. D’une certaine façon, la responsabilité civile va servir de mécanisme de sélection naturelle pour éliminer soit les entreprises qui négligent ce type de risques et ne veillent pas à appliquer les directives de sécurité, soit les prestataires ne respectant pas les bases de la sécurité informatique.
References