« La liberté, ce bien qui fait jouir des autres biens », écrivait Montesquieu. Et Tocqueville : « Qui cherche dans la liberté autre chose qu’elle même est fait pour servir ». Qui s’intéresse aujourd’hui à la liberté ? A celle qui ne se confond pas avec le libéralisme économique, dont on mesure combien il peut être source de prospérité mais aussi d’inégalités et de contraintes sociales ? A celle qui fonde le respect de la vie privée et la participation authentique à la vie publique ? La liberté devrait être au cœur de la démocratie et de l’Etat de droit. En même temps, elle ne peut être maintenue et garantie que par la vigilance et l’action des individus. Ils ne sauraient en être simples bénéficiaires ou rentiers, ils doivent non seulement l’exercer mais encore surveiller attentivement ses conditions d’exercice. Tâche d’autant plus nécessaire dans une période où les atteintes qui lui sont portées sont aussi insidieuses que multiples.


dimanche 9 février 2014

Télécharger, c'est tromper ?

La décision rendue par la Cour d'appel de Paris le 5 février 2014 suscite beaucoup de réactions d'étonnement, voire d'irritation, sur internet. Un blogueur n'est-il pas condamné à une amende de 3 000 € pour avoir téléchargé et communiqué des données parfaitement accessibles et d'ailleurs indexées sur Google ? Certes, le simple rappel des faits montre que l'intéressé a d'abord bénéficié d'une faille de sécurité, qui permettait d'accéder à des espaces conçus comme confidentiels. La lecture de la décision montre cependant que la situation juridique du blogueur n'est pas aussi simple que la présentation quelque peu caricaturale qui a en été faite sur internet.

Une faille de sécurité


En l'espèce, le blogueur Bluetouff était parvenu, grâce au moteur de recherche, sur le serveur extranet de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (Anses), serveur utilisé par les chercheurs de l'Agence pour stocker et échanger leurs documents. Il y avait trouvé et téléchargé  huit mille documents, par l'intermédiaire d'un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l'opération soit passée inaperçue. Certaines de ces données ont cependant été utilisées par un autre blogueur, proche de Bluetouff. C'est ainsi que dans un article publié sur le net et consacré à la dangerosité des nano-matériaux, l'Anses a  découvert un beau jour une présentation PowerPoint faite par l'un de ses employés. 

Ce second blogueur n'a pas été poursuivi, car il ignorait que les documents qui lui avaient transmis par Bluetouff n'étaient pas publics. Dès qu'il en a été informé, il a  retiré de son site les données litigieuses. Dans le cas de Bluetouff, le juge aurait pu rendre une décision identique, car l'intéressé s'est rendu de bonne foi sur la page indiquée par Google, sans savoir qu'il accédait à un espace privé. Il a en quelque sorte bénéficié d'une faille de sécurité du système. Le TGI de Créteil avait d'ailleurs relaxé l'intéressé dans un jugement du 23 avril 2013, et l'Anses n'avait pas fait appel, consciente qu'elle était en partie responsable de la fuite. C'est donc le seul recours du parquet que Bluetouff qui a suscité la présente décision de la Cour d'appel. 

Les trois infractions


Le responsable de Bluetouff est poursuivi pour trois infractions. La première est prévue par l'article 323-1 c. pén. et réside dans l'accès frauduleux à un système informatique, la seconde, prévue par le même article, est le maintien dans ce système, une fois que l'on a appris qu'il était de nature privée. Dans les deux cas, la peine encourue est de deux ans d'emprisonnement et 30 000 € d'amende. Enfin, la troisième infraction est constituée par le téléchargement et la conservation de données extraites d'un site privé. Celle-ci est tout simplement réprimée par l'article 311-1 du code pénal, celui là même qui définit le vol comme "la soustraction frauduleuse de la chose d'autrui". 

La Cour d'appel distingue entre les trois infractions. Elle confirme la relaxe dans le cas de la première infraction, celle relative à l'accès frauduleux. Le blogueur a en effet bénéficié d'une défaillance technique dont il n'est pas responsable. Et c'est évidemment cette faille de sécurité qui est à l'origine de l'indexation des données sur les moteurs de recherches. 

En revanche, elle considère comme constituées les deux infractions suivantes, la seconde conditionnant la troisième. En effet, Bluetouff a reconnu, durant ses trente heures de garde à vue, qu'il a largement circulé dans le site, et qu'il a parfaitement vu qu'il était demandé un identifiant et un mot de passe sur la page d'accueil. Il a donc rapidement su qu'il était sur un espace privé, et il s'est donc frauduleusement "maintenu dans le système", au sens de l'article 323-1 du code pénal. Au moment du téléchargement, il ne pouvait donc ignorer le caractère privé des informations qu'il s'appropriait frauduleusement, à l'insu de leur propriétaire.

Bluetouff est il un "Whisleblower" ?


P. Gelück. Le Chat 1999,9999.
Certes, le blogueur n'est finalement condamné qu'à une amende de 3 000 €, peine relativement modeste si on la compare avec les 30 000 € mentionnés dans l'article 323-1 du code pénal. Elle permet cependant au juge pénal de faire oeuvre pédagogique, en insistant sur l'élément moral de l'infraction. C'est parce qu'il ignorait qu'il avait pénétré sur un "extranet", c'est à dire la partie privative d'un site qu'il est relaxé du délai d'accès frauduleux. En revanche, une fois qu'il avait circulé dans l'arborescence et vu les demandes d'identifiant et de mot de passe, il ne pouvait plus l'ignorer, comme il ne pouvait plus ignorer que les données qu'il s'appropriait ne lui étaient pas destinées. 

Reste évidemment à s'interroger sur l'usage que l'internaute a fait de ces données. Il n'en a tiré aucun bénéfice et s'est borné à les transmettre à un auteur qui travaillait sur les dangers des nanomatériaux. Sur ce point, on ne peut que déplorer une vision extrêmement simplificatrice de la "blogosphère". Bon nombre de commentateurs très présents sur les réseaux sociaux ont feint de croire que la décision ouvrait la porte à une jurisprudence nouvelle. Tout internaute téléchargeant des données indexées par Google serait donc menacé de poursuites pénales, interprétation pour le moins caricaturale de la décision. Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des "Whistleblowers". A sa manière, Bluetouff est un lanceur d'alerte, et les données téléchargées méritaient peut être d'entrer dans le débat public. Mais c'est une autre question, hélas.

6 commentaires:

  1. "Le responsable de Bluetouff est poursuivi "
    je ne comprends pas la phrase, ce n'est pas la seule d'ailleurs.
    "espaces conçus comme confidentiels" la justice reconnait que non ;
    "téléchargé huit mille documents," ou 8Go de documents ? ça tombe pile poil ?
    "ce qui explique que l'opération soit passée inaperçue" aucun rapport en fait, comme précisé par la DCRI via le billet dudit blogueur ;
    pour le vol, retenir la copie ou la contrefaçon serait plus juste, l'Anses n'a pas été dépossédé de ces données, ils les ont encore non ?
    un peu approximatif, pour du droit.



    RépondreSupprimer
  2. Le responsable de Bluetouff = "La responsabilité de Bluetouff". Une coquille due probablement à une petite fatigue dominicale ;).
    La Cour d'appel a relevé, dans le cadre de son pouvoir souverain, que Bluetouff a "constaté la présence de contrôle d'accès et la nécessité d'une authentification par identifiant et mot de passe". Tout le reste en découle en ce qui concerne le "maintien frauduleux".
    Pour le "vol de données", le raisonnement de la Cour d'appel est certes un peu rapide.

    RépondreSupprimer
  3. Une faille de sécurité, ce n'est pas une faille dans la mise en application d'une politique de sécurité?

    Et s'il n'y a aucune politique de sécurité, où est la faille?

    RépondreSupprimer
  4. (A) Il faut évidemment approuver les juges du fond sur l’infraction d’introduction frauduleuse dans un STAD : au moment où il a pénétré sur le système, l’intéressé ne savait que l’accès en était interdit.

    (B) Sur l’infraction de maintien dans un STAD, il faut d’abord remarquer que la décision est conforme à la jurisprudence établie, qui n’exige pas qu’un dispositif de protection soit présent pour caractériser le délit. Malgré un hésitation (Paris, 30 octobre 2002), c’est la position de la Cour d’appel de Paris depuis un arrêt du 5 avril 1994.

    Cela étant, on peut se poser des questions (i) sur la motivation de l’arrêt, (ii) sur la ratio legis et (iii) sur l’ANSES ...

    (i) L’arrêt de la Cour d’appel relève en effet que « le prévenu a parfaitement reconnu qu’après être arrivé « par erreur » au coeur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès ». Or, on peut légitimement se demander si au moment où il a téléchargé les documents en question, il avait déjà pris connaissance de l’existence d’une protection. L’ordre des opération a ici une importance déterminante pour la caractérisation du délit, et la cour reste silencieuse sur la question.

    (ii) Du point de vue de la ratio legis, que dire d’autre que « Aux innocents les mains pleines ! » En effet, si le prévenu n’avait pas été en mesure, du fait par exemple d’un manque d’expertise technique, de caractériser la présence d’un système de protection, il n’aurait pu être condamné ! Certes, le droit pénal est coutumier de l’importance de l’élément intentionnel, mais il faut se demander si la différence de traitement subie entre ce particulier, qui encourt les foudres de la répression pénale, et l’impunité dont bénéficie Google, dont les robots, à grande échelle et de manière délibérée, cherchent à pénétrer sur *tous* les serveurs webs de la planète, est bien justifiée au regard du but poursuivi par la loi, à savoir la protection des systèmes d’information.

    (iii) Ainsi l’ANSES est un opérateur d’importance vitale. Et l’ANSES laisse son extranet grand ouvert à Google. Il y a là une faute, et il faut se poser de sérieuses questions sur le professionnalisme avec lequel les agences de l’Etat traitent les problématiques de sécurité informatique. Il conviendrait sans doute de renforcer leurs obligations réglementaires, et de donner un rôle de contrôle à l’ANSSI.

    (C) Sur le délit de « vol » se pose évidemment la question de la qualification de vol pour une appropriation sans dépossession. D’autant que la qualification concurrent de contrefaçon aurait tout aussi pu être retenue avec succès, et de manière beaucoup plus incontestable. Dans un arrêt du 4 mars 2008, la cour de cassation a approuvé une condamnation pour vol de fichiers; mais ces fichiers étaient dans ce cas sur un support physique (des disques syquest) et l’élément matériel était incontestablement là. Ici, aucune dépossession n’est intervenue, et la qualification retenue devrait être celle de contrefaçon.

    RépondreSupprimer
  5. @L'auteur et @Romain,

    Merci pour ces précisions. Une petite question cependant :)

    Concernant le maintien frauduleux, Romain, vous dites :
    "En effet, si le prévenu n’avait pas été en mesure, du fait par exemple d’un manque d’expertise technique, de caractériser la présence d’un système de protection, il n’aurait pu être condamné !"

    La CA n'aurait-elle pas usé de motifs purement hypothétiques ? Il "aurait dû savoir". Or, l'expertise de Bluetouff lui permet justement de savoir que techniquement il est possible que dans le chemin x/y/privé/lolcat, même s'il y a une barrière à "privé", tous les lolcats ne sont pas nécessairement privés. Ainsi, en arrivant à "lolcat", puis en remontant à "privé", où se trouve la barrière, rien n'indique à un pro que tous les "lolcats" nécessitent un "lojin"/mot de passe (ie, de passer une barrière, et que donc il s'agit de docs privés). explication sur le blog de reflets.info, par Kitetoa himself : http://reflets.info/letrange-confrontation-entre-le-droit-et-la-technique/

    Je cite Kitetoa :

    "Encore une fois, le Droit et la technique sont en confrontation.

    Les droits affectés aux fichiers ne sont pas hérités.

    Vous pouvez très bien interdire l’accès aux documents dans

    /extranet/privé/

    mais pas dans

    /extranet/privé/documents/

    En l’occurrence, qu’un lojin soit nécessaire sur la première URL n’indique en rien que les fichiers contenus dans la seconde soient « protégés » ou interdits au téléchargement.

    C’est aussi pourquoi il me semble que l’analyse de Maître Eolas (pour une fois) ne me semble pas juste."

    Autrement dit, selon certains, la CA se trompe sur le fond en pensant que "lolcat" étant un sous-ensemble de "privé", il est forcément "privé".

    Si je comprends bien, la Cour de cassation ne reviendra pas sur ce point, et jugera "en droit".

    Alors, là, je crois qu'une difficulté se dresse devant les juges de la Haute cour. La CA, pour moi, à raisonné par induction, et a simplement inféré de la qualité d'expert de Bluetouff qu'il avait commis l'infraction de maintien frauduleux.

    N'est ce pas ce que l'on appel un motif hypothétique, ou une insuffisance de motif, ou plus grave un viol caractérisé du principe d'interprétation stricte de la loi pénale ?

    Que les juges déterminent un "sachant moyen" en droit de la conso, ok, ils ont de solides bases jurisprudentielles etc. Mais en droit pénal, je me demande si c'est bien raisonnable au stade de la qualification de l'infraction.

    Que la CA retiennent l'expertise de Bluetouff, comme ses antécédents, pour "doser" la sévérité de la peine, ok, mais c'est autre chose.

    A mon humble avis, la CA est allée trop loin. Ses efforts pour déterminer l'intention de Buetouff finissent par déborder sur la détermination des contours de l'infraction, rôle du législateur non ?


    "Il aurait dû savoir" semble être le principal argument de la CA, pour qualifier l'infraction de maintien à la vue des faits. Or, un Jean-Michel, pompier de son état, qui allume un feu de forêt est il condamnable parce qu'il est pompier, ou parce qu'on a prouvé que Jean-Michel avait réellement allumé ce feu ?

    Concernant le maintien frauduleux, mis à part L 111-4 du code pénal (interprétation stricte), je vois mal quel outils pourraient être utilisés par la Cou de cassation.

    Ne risque-t-on pas de voir la Haute cour, faute de branche auxquelles s'accrocher, faire une sorte d'arrêt de provocation, en demandant au législateur de préciser l'infraction ?




    RépondreSupprimer
  6. Sur l'existence de la protection, c'est à mon sens un motif de pur fait, qui relève de l'appréciation souveraine des juges du fond. Les arguments qui vont tenter de remettre en cause cette appréciation souveraine vont être difficile à faire valoir devant la Cour de cassation - y compris, je le reconnais, l'argument sur la temporalité des faits que j'ai évoqué ... Mais il est éventuellement utile pour de futurs prévenus qui pourraient le faire prospérer devant les juges du fond.

    D'autant que la cour n'a pas "inféré" de la qualité d'expert de bluetouff qu'il avait commis l'infraction. Il n'y a aucune déduction en ce sens. Elle a simplement relevé qu'il avait lui-même dit qu'il avait vu qu'il y avait un système de protection en place.

    RépondreSupprimer