La Cour de cassation rendra fin mai son arrêt dit « Bluetouff », du nom de notre confrère de Reflets.info, poursuivi et condamné pour avoir copié des données mal sécurisées et disponibles sur Internet.
En 2012, notre confrère de Reflets.Info avait diffusé dans un article un PowerPoint de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Ce document relatif aux nano-substances n’était pas censé être diffusé aux quatre vents. L’ANSES craint un piratage et dépose plainte. Cet opérateur étant « d’importance vitale » (OIV), la Direction centrale du renseignement intérieur (DCRI) prend l’enquête sous le bras, d’autant que Bluetouff affirme dans un commentaire disposer de 7,7 Go de documents traitant de santé publique.
Mis en garde à vue, il explique avoir mis la main sur ces données tout simplement via le moteur Google. Il est cependant accusé d’avoir accédé frauduleusement à l’extranet de l’ANSES, de s’y être maintenu frauduleusement, et d’avoir soustrait frauduleusement les documents stockés sur cet extranet, en les téléchargeant sur plusieurs supports.
Maintien frauduleux dans un système
Si Olivier Laurelli était innocenté par le tribunal correctionnel de Créteil, la Cour d’appel a malgré tout conclu à sa culpabilité en 2014, avec à la clef 3 000 euros d’amende et une inscription sur le casier judiciaire (l'arrêt). Relaxé sur le terrain de l’accès frauduleux, il a en effet été condamné ainsi pour s’être maintenu frauduleusement sur l’extranet de l’ANSES. Pourquoi ? Car lors de sa garde à vue, l’inculpé a reconnu qu’en se promenant sur l’arborescence des fichiers mal sécurisés il était tombé sur la page d’accueil source, protégée par contrôle d’accès (login, mot de passe). Du coup, pour les juges, pas de doute : Bluetouff « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité. »
Vol de données informatiques (sans soustraction)
Autre chose, en ayant copié les fichiers normalement inaccessibles, le même confrère s’est rendu coupable de vol de données informatiques, selon la Cour d’appel. Ce point a été particulièrement commenté en ce sens que le vol suppose juridiquement la soustraction frauduleuse de la chose d’autrui (le tiers avait quelque chose, il ne l’a plus, suite à un vol). Or, si en informatique on peut copier, on ne peut réaliser ce tour de passe-passe. C’est justement cette impossibilité physique qui a conduit le législateur à dépoussiérer le droit pénal informatique lors de la dernière loi sur le terrorisme, fin 2014. Le texte actuel punit en effet celui qui détient, extrait, reproduit ou transmet une donnée acquise suite à la pénétration dans un système informatique.
Devant la Cour de cassation, « l’avocat général a sans surprise conclu au rejet du pourvoi », nous a indiqué Me Olivier Iteanu, avocat de Bluetouff. Les points de droit soulevés seront juridiquement tranchés autour du 20 mai prochain par la Cour de cassation.