Plan du site | Mentions légales | Crédits | Espace rédacteur

Chargé de mission Direction Centrale de la Sécurité des Systèmes d’Information, Service du Premier Ministre

Nos mots-clefs

Signes distinctifs   Brevet   Au jour le jour   Bases de données   Conférences et colloques   Régulation   Contrats   Contenu illicite   Marques   Consommateurs   Lettre du Cejem   Professions   Noms de domaine   Vie privée   Droit d’auteur  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Accès frauduleux et recel de fichiers informatiques : gare aux anciens employés indiscrets

Mots-clefs : Contenu illicite |

par Thiebaut Devergranne , le jeudi 27 novembre 2008

1. L’affaire jugée par la 12ème chambre du TGI de Paris le 1er juin 2007 illustre une fois encore les fraudes informatiques dont peuvent être victimes les entreprises, en particulier celles commises par d’anciens salariés indélicats.

Les faits sont révélateurs : à la fin de l’année 2005, le directeur informatique de la société O. dépose plainte après avoir découvert la publication d’informations confidentielles concernant la société dans le journal la Tribune. Les premières recherches effectuées amènent à constater que les boîtes de messagerie de deux membres du comité exécutif de la société ont été piratées. L’enquête de police permettra de déterminer que les accès frauduleux - réalisés pendant près de deux ans à l’insu de l’entreprise - furent en réalité le fait d’un ancien employé de la société. Opérés en partie pour le compte de son propre frère qui travaillait dans une entreprise concurrente, ils visaient à obtenir des renseignements financiers sur l’évolution d’une opération potentielle de rachat de l’entreprise O.

Les deux protagonistes furent condamnés par le tribunal : le premier à six mois d’emprisonnement avec sursis pour accès frauduleux à un système de traitement automatisé de données (Art. 323-1 al. 1 du Code pénal : « Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30.000 euros d’amende (...) ») et pour atteinte au secret ou suppression d’une correspondance adressée à un tiers (art. 226-15 c. pén. : « Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende ») ; le second, pour recel de biens provenant d’un délit puni d’une peine n’excédant pas cinq ans d’emprisonnement (art. 321-1 c. pen.). L’action civile aboutissait quant à elle à quelques milliers d’euros de dommages et intérêts.

2. Cette décision illustre une fois encore la récurrence des fraudes d’origine « interne » aux organisations, qui sont sans doute la source de contentieux la plus abondante sur le fondement des dispositions des articles 323-1 et suivants du Code pénal. Nombre d’affaires, en effet, mettent en cause d’anciens employés qui profitent des codes d’accès qui leur avaient été attribués pour user frauduleusement des systèmes informatiques de leurs précédents employeurs (V. not. Toulouse, 3e ch. corr., 21 janv. 1999, JurisData n° 040054 et TGI Lyon, 20 fév. 2001, Gaz. Pal. 2001. 2. Somm. 1686, note A. Blanchot, pour deux exemples impliquant d’anciens employés).

L’oubli de désactivation de ces codes n’est pas - fort heureusement - un obstacle à la qualification d’accès frauduleux (V. par ex. Paris 5 avril 1994 : D. 1994. IR. 130), la négligence dans la mise en œuvre de mesures de sécurité ne privant pas la victime du bénéfice de ces dispositions pénales. Ce qui importe n’est pas véritablement que le système soit protégé techniquement par son propriétaire, mais que les limites de son usage soient clairement identifiables (Même si une mesure technique de sécurité peut effectivement participer à cette finalité. A contrario v. la motivation intéressante de Paris 8 déc. 1997, Gaz. Pal. 1998. 1, chron. Crim. 54 : « En l’absence de mise en place d’une protection ou de manifestation de volonté, par les dirigeants d’une entreprise, de restreindre l’accès au système informatisé de données, le délit de l’article 323-1 C. pén. n’est pas constitué » ; v. également Paris 15 déc. 1999 : D. 2000. IR. 44 : « (...) le maintien dans tout ou partie d’un système de traitement automatisé de données doit être frauduleux, ce qui suppose la conscience pour les contrevenants de l’irrégularité de leurs actes »). La fraude résulte de la conscience chez l’agent de l’absence d’autorisation d’accès au système, ce que rappelle fort bien la présente décision : « (...) l’utilisation d’un code d’accès à une messagerie par un ancien salarié constitue bien une manœuvre, l’intéressé ayant parfaitement conscience qu’il n’a plus le droit d’utiliser ce code et qu’il ne fait plus partie de la liste des personnes autorisées ».

3. Si l’infraction de l’article 323-1 du Code pénal était bien constituée, celle-ci n’était cependant pas la seule atteinte réalisée puisque l’ancien consultant avait en outre entrepris de lire les correspondances de membres du comité exécutif de la société. Sans surprise, le tribunal sanctionna cette atteinte sur le fondement de l’article 226-15 du Code pénal, balayant par la même occasion le moyen de défense fondé sur le caractère professionnel et non privé des correspondances : « Il est soutenu que la violation du secret des correspondances ne saurait englober des correspondances de nature professionnelle. En l’espèce les correspondances litigieuses sont certes de nature professionnelle mais elles étaient à l’évidence identifiées comme étant personnelles puisqu’elles figuraient dans la messagerie personnelle des plaignants ». Si les faits d’espèce semblent consacrer le caractère personnel des correspondances auxquelles il était porté atteinte, le moyen de défense pose la question de la possibilité pour les correspondances professionnelles de bénéficier de la même protection. Même s’il est traditionnel d’appliquer les dispositions de l’article 226-15 aux correspondances privées, une lecture littérale de cet article ne semble pas restreindre par principe son champ d’application, puisqu’il se borne à sanctionner les atteintes « aux correspondances (...) adressées à des tiers » (A ce sujet v. le commentaire de la décision par E. A. Caprioli, « Le « recel » d’informations et des correspondances sanctionné », Comm. Com.-Elec., n°3, Mars 2008, comm. 46, n°6, et P. Malibert, Jurisclasseur Pénal Code, Art. 226-15, Atteintes au secret des correspondances commises par des particuliers, n°12 s) et non spécifiquement les atteintes aux correspondances privées. Gageons que de futures applications permettront d’éclaircir ce point.

4. Au-delà des accès frauduleux aux systèmes de la société O., sans doute la plus grande originalité de la décision tient à la qualification de recel pour les actes commis par le frère de l’auteur de ces infractions ; en effet, il lui était reproché d’avoir sciemment recélé les « informations » provenant des délits réalisés par son frère. Les faits sont sanctionnés par deux alinéas de l’art. 321-1, le premier ; définissant le recel, comme « le fait de dissimuler, de détenir ou de transmettre une chose, ou de faire office d’intermédiaire afin de la transmettre, en sachant que cette chose provient d’un crime ou d’un délit » et le second opérant une extension de l’infraction : « Constitue également un recel le fait, en connaissance de cause, de bénéficier, par tout moyen, du produit d’un crime ou d’un délit ». S’il est probable que la motivation vise le seconde alinéa, on peut se demander dans quelle mesure les informations tirées des délits d’accès frauduleux pourraient être qualifiées de chose au sens de l’alinéa premier ( Sur la question v. M. Culioli, Jurisclasseur Pénal Code, Art. 321-1 à 321-5, Recel - Infractions assimilées ou voisines - constitution - Biens recelés, n°153 s. et en particulier Crim. 3 avr. 1995 : Bull. crim. 142). Si traditionnellement l’information ne semble pas pouvoir revêtir cette qualification, les fichiers échangés entre les protagonistes entrent bien eux dans le champ de l’alinéa premier : parce qu’ils sont individualisés et qu’ils procèdent du monde physique ce sont des choses et des biens susceptibles de propriété (T. Devergranne, La propriété informatique, Thèse de doctorat, Université Paris II, 2007). A ce titre alors, il conviendrait de suivre le tribunal dans cette qualification.

Thiébaut Devergranne

Docteur en droit