Pourquoi la cour d’appel de Paris a condamné Bluetouff

Laurelli hardi 213

L’affaire « Bluetouff » a fait couler beaucoup d’encre la semaine dernière, y compris en dehors des seuls médias spécialisés. Maintenant que l’arrêt de la cour d’appel est connu, PC INpact vous propose une lecture plus approfondie de cette décision.

justice palais tgi paris

Commençons par un rappel des faits. Le 3 septembre 2012, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES) se rend compte qu’un document PowerPoint, réalisé par une de ses employés, figure dans un article de nos confères de « Reflets.info ». Sauf que le fichier en question, qui parlait de nano-substances, n’était pas censé franchir l’enceinte de l’institution... Pensant avoir été victime d’un piratage informatique, l’ANSES se rend trois jours plus tard au commissariat de Maisons-Alfort afin de déposer plainte.

De premières investigations techniques sont alors réalisées par l’ANSES, lesquelles permettent d’établir que c’est en raison d’une faille de sécurité sur l’extranet de l’institution que ce fichier a été rendu accessible sans identification préalable, de même que de nombreux autres documents. Au total, ce sont près de 8 Go de données qui étaient ainsi téléchargeables, sans aucune protection.

Mais l’ANSES étant un « Opérateur d’importance vitale », c’est à la Direction centrale du renseignement intérieur (DCRI) que l’enquête est rapidement confiée. Cette dernière découvre alors sur Reflets un second article contenant d’autres documents provenant du serveur extranet de l’ANSES. Signé par « Bluetouff », le papier en question comportait également un commentaire dans lequel l’auteur indiquait être en possession de 7,7 Go de documents traitant de santé publique.

Après être remonté jusqu’à Olivier Laurelli, alias « Bluetouff », grâce aux journaux de connexions du serveur extranet et du firewall de l’ANSES, la DCRI procède à une perquisition ainsi qu’à l’interpellation de l’intéressé. Durant sa garde à vue, prolongée une fois de 24 heures, le rédacteur de Reflets explique aux autorités que c’est suite à une simple recherche Google qu’il a pu accéder à un répertoire lui permettant de télécharger ces données. Et ce sans qu’il n’y ait eu quelconque notification de l’appartenance ou de la confidentialité des informations en question.

Bluetouff a par la même occasion signalé aux enquêteurs que l’ANSES n’avait jamais pris contact avec lui afin de réclamer la suppression des données téléchargées. D’ailleurs, l’institution ne s’est même pas portée civile dans cette affaire.

Un seul prévenu, trois chefs d’accusation

Quoi qu’il en soit, Bluetouff devait répondre de trois chefs d’accusation :

  1. D’avoir accédé frauduleusement à l’extranet de l’ANSES,
  2. De s’y être maintenu frauduleusement,
  3. D’avoir soustrait frauduleusement les documents stockés sur cet extranet, en les téléchargeant sur plusieurs supports (dont un disque dur).

En clair, il était accusé d’avoir volé ces près de 8 Go de fichiers. Le tout en ayant accédé aux données en question au moyen d'actes de piratage, et en s’y maintenant de manière tout aussi illicite. Sauf que le tribunal correctionnel de Créteil a décidé en avril 2013 d’innocenter totalement Olivier Laurelli (voir notre article, et la décision sur Legalis).

cour appel paris justice tgi

L’affaire s’est néanmoins poursuivie devant la cour d’appel de Paris, après que le Parquet a choisi d’interjeter appel de cette décision. Après une audience publique ayant eu lieu courant décembre 2013, la cour a finalement rendu son verdict mercredi dernier (l'arrêt). Et là, surprise : Bluetouff a été relaxé du premier chef d’accusation, celui d’accès frauduleux, mais pas des deux autres. Pourquoi ?

Pas d’accès frauduleux, du fait de la défaillance technique de l'extranet de l'ANSES

Tout d'abord, les magistrats ont estimé qu’il n’y avait pas assez d’éléments permettant de prouver que Bluetouff avait piraté l’extranet de l’ANSES. La cour d’appel a d’ailleurs bien relevé que cet accès « lui a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système ». Il a donc été innocenté de ce chef d'accusation.

Pour les juges, Bluetouff savait qu’il se maintenait frauduleusement sur cet extranet

Le point le plus délicat concerne le maintien frauduleux dans ce système automatisé de données. En effet, dès lors que cet accès était reconnu comme licite, difficile de comprendre pourquoi s’y maintenir devenait illégal... Les juges s’en sont sortis ici avec une motivation assez simple : ils ont considéré qu’Olivier Laurelli savait qu’il ne devait pas avoir accès à cet espace.

Et pour cause : la cour d’appel explique que l’intéressé a reconnu durant sa garde à vue « qu’après être arrivé "par erreur" au cœur de l’extranet de l’ANSES, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ». De cet aveu, les juges retiennent qu’il est ainsi démontré que Bluetouff « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité ». En somme, le prévenu aurait dû - selon eux - faire immédiatement demi-tour en voyant que l’accès semblait habituellement restreint.

anses

L’on se souviendra à cet égard de la réponse apportée en 2002 par la même cour d’appel de Paris, qui tranchait alors un litige dans lequel comparaissait un autre membre de la rédaction de Reflets : Kitetoa. Pour relaxer l’intéressé, les juges avaient retenu qu’« il ne peut être reproché à un internaute d'accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d'un logiciel grand public de navigation, ces parties de site, qui ne font par définition l'objet d'aucune protection de la part de l'exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l'accès » (voir l’arrêt). La cour s’était ici appuyée sur la bonne foi du prévenu. Douze ans plus tard, c’est ce même élément intentionnel qui a été pris en considération par les magistrats, jouant cette fois contre son collègue Bluetouff.

Le vol caractérisé par la copie de fichiers, contre le gré de l’ANSES

Enfin, s’agissant du chef d’accusation de vol de ces données informatiques, la cour d’appel retient « qu’il est, en tout état de cause, établi qu’Olivier Laurelli a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ». C’est sur cette base que le chef d’accusation de « vol de données informatiques » au préjudice de l’ANSES a été retenu, le vol étant juridiquement défini comme « la soustraction frauduleuse de la chose d'autrui » (voir l’article 311-1 du Code pénal).

L'affaire se poursuivra devant la Cour de cassation

Résultat des courses : Olivier Laurelli a écopé d'une amende de 3 000 euros, avec inscription de cette peine au casier judiciaire. Si Bluetouff et son avocat ont d'ores et déjà annoncé la semaine dernière qu’ils formaient un pourvoi en cassation, les commentaires relatifs à cette décision ont fleuri ces derniers jours sur la toile. Maître Eolas a ainsi publié un billet dans lequel il explique pourquoi le seul aspect qui le choque vraiment dans cette décision est celui concernant la condamnation pour vol. Extrait :

« Sur le vol, la cour est moins diserte, et c’est à mon humble avis le point sur lequel l’arrêt est juridiquement le plus critiquable, et justifie la décision du prévenu de se pourvoir en cassation. La cour estime le vol constitué par le fait d’avoir réalisé des copies des fichiers de l’ANSES à l’insu et contre le gré de l’agence. Sans vouloir souffler aux conseillers de la chambre criminelle, il y a à mon sens une insuffisance de motifs.

 

Le vol est la soustraction frauduleuse de la chose d’autrui. La loi pénale est d’interprétation stricte. On entend par soustraction une appréhension, une appropriation : il faut se comporter en propriétaire de la chose, dépossédant ainsi le véritable propriétaire. La soustraction doit être frauduleuse, c’est à dire en ayant conscience que l’on n’est pas propriétaire de la chose. Or s’agissant d’un fichier informatique, on peut le copier sans jamais déposséder le propriétaire. (...) On peut voler un support informatique (disquette, clef USB, disque dur, CD-ROM…), mais en aucun cas le contenu de cette mémoire. Cette dernière condamnation ne tient pas à mon sens, et on peut espérer que la Cour de cassation y mette bon ordre (même si en cas de renvoi devant une autre cour d’appel, une requalification en contrefaçon n’est pas impossible, auquel cas une condamnation serait envisageable). »

La professeur de droit public Roseline Letteron, qui publie régulièrement des billets sur son blog « Liberté, Libertés Chéries », s’est également montrée peu surprise par la décision de la cour d’appel de Paris. L'intéressée a d'ailleurs lancé une pique contre les conclusions un peu trop hâtives. Extrait :

« On ne peut que déplorer une vision extrêmement simplificatrice de la "blogosphère" [vis-à-vis de cet arrêt, ndlr]. Bon nombre de commentateurs très présents sur les réseaux sociaux ont feint de croire que la décision ouvrait la porte à une jurisprudence nouvelle. Tout internaute téléchargeant des données indexées par Google serait donc menacé de poursuites pénales, interprétation pour le moins caricaturale de la décision. Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des "Whistleblowers". À sa manière, Bluetouff est un lanceur d'alerte, et les données téléchargées méritaient peut être d'entrer dans le débat public. Mais c'est une autre question, hélas. »

Rappelons enfin la réaction d’Olivier Iteanu, l’avocat de Bluetouff, quelques heures après que la cour d’appel de Paris a rendu son délibéré : « Il y a peut-être un avertissement à tous ceux qui sont dans l'investigation, dans la recherche d'informations sur Internet. C’est quelque part un appel à l'auto-censure. Si on est poursuivi parce qu’on a trouvé une information et qu’on est condamné, je trouve que c’est grave » nous avait-il expliqué jeudi.

Restera maintenant à voir ce qu'en pense la Cour de cassation. Cette dernière ne se prononcera cependant pas sur le fond de l'affaire, la haute juridiction étant simplement là pour vérifier que les juges de la cour d'appel ont correctement appliqué le droit. 


chargement
Chargement des commentaires...