Affaire Bluetouff : la Cour de cassation consacre le vol de fichiers informatiques

Télécharger, c'est voler, sauf en matière de propriété intellectuelle 104
Accès libre
image dediée
Crédits : Xavier Berne
Justice
Par
le vendredi 22 mai 2015 à 08:20
Marc Rees

Comme prévu, la Cour de cassation a finalement rejeté le pourvoi en cassation d’Olivier Laurelli (plus connu sous son pseudo Bluetouff). Next INpact diffuse l’arrêt mais également de larges extraits de l’avis de l’avocat général, bien plus éclairants sur cette décision.

Le 5 février 2014, Olivier Laurelli est reconnu coupable de piratage informatique par la cour d’appel de Paris, laquelle renversait le jugement du tribunal de Créteil. Plus précisément, la justice le condamne pour maintien frauduleux dans un système de traitement automatisé de données, mais également de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES).

Pourquoi ? Deux ans plus tôt, notre confrère, fondateur de Reflets.info, avait diffusé dans un de ses articles un PowerPoint confidentiel, issu de l’ANSES et relatif aux nano-substances. Flairant un piratage, cet acteur, qui est un opérateur d’importance vitale, porte plainte. Le dossier est confié à la Direction centrale du renseignement intérieur (DCRI), bien aguichée de lire un commentaire de Bluetouff où celui-ci affirme détenir 7,7 Go de documents traitant de santé publique. Lors de l’enquête, ce dernier explique son mode opératoire : il est tombé sur ces données en utilisant non un logiciel très intrusif... mais avec Google, un simple moteur de recherche. Et pour cause, le site de l’ANSES souffrait d’un défaut de sécurisation.

Lors de sa garde à vue, il a raconté cependant qu’il s’était promené dans l’arborescence des fichiers mal sécurisés. Remontant de plusieurs niveaux, il était alors tombé sur une page d’accueil, protégée par contrôle d’accès (login, mot de passe). Pour les juges, aucun doute : par cet aveu, l’inculpé « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité ». La cour d’appel a, dans sa foulée, consacré l’existence d’un vol de données informatiques. Au final, Bluetouff est condamné à 3 000 euros d’amende pour s’être maintenu frauduleusement dans l’extranet de l’ANSES et d’avoir volé des documents.

L’avocat de Bluetouff, Me Olivier Iteanu, a contre-attaqué cette décision devant la Cour de cassation. Dans son pourvoi, il avance une ribambelle d’arguments :

  • On ne commet pas le délit de maintien frauduleux dans un système de traitement automatisé de données (STAD) quand on utilise un moteur de recherche et un navigateur pour pénétrer un système non protégé.
  • On ne peut déduire de la découverte d’un contrôle d’accès, la conscience d’un maintien irrégulier dans un système informatique.
  • Il revient au responsable du système de manifester clairement et expressément sa volonté d’interdire ou restreindre l’accès.
  • Les informations contenues dans une partie d’un site non protégé sont du coup réputées non confidentielles et publiées avec l’accord des intéressés.
  • Il y a une contradiction évidente à reprocher à un internaute d’avoir « réalisé des opérations de téléchargement de données à l’évidence protégées » et « fait des copies de fichiers informatiques inaccessibles au public » en admettant dans le même temps qu’il a pu accéder librement à ces données.
  • Le vol exige juridiquement la soustraction frauduleuse de la chose d’autrui (tel un individu a une chose, il se la fait voler, il ne l’a plus). Il n’y a donc pas de vol lorsqu’il n’y a pas de dépossession, sauf à violer le Code pénal qui est d’interprétation strict.

Il y a bien piratage via un moteur et vol par téléchargement

Dans son arrêt du 20 mai 2015, la Cour de cassation a balayé d’un revers de main ces arguments : Bluetouff s’est bien « maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire ». Circulez ! La haute juridiction considère donc que la cour d’appel a bien justifié sa décision et rejette donc son pourvoi d’Olivier Laurelli.

Contacté hier, son avocat déplore une telle décision : « La Cour de cassation n'a pas traité la demande, n'a pas réagi à l'enjeu que représente cette affaire. On envisage un recours devant la Cour européenne des droits de l'homme car cette décision fait peser sur tout internaute, le risque d'être en délit de maintien frauduleux dans un système de traitement automatisé de données ». Des remarques appuyées par le principal intéressé dans un billet publié sur Reflets.Info. Dans le Parisien, premier à avoir évoqué cette décision, son avocat insiste : pour lui, cette décision revient à faire payer son client pour des écrits « mettant en cause des entreprises et des services français ». Elle pourrait en effet mettre en danger la liberté d'information.

Télécharger, c’est donc voler

Cet arrêt est pour le moins ambitieux puisqu’il consacre le fait que télécharger, c’est finalement voler. C'est une décision d'intérêt historique en ce sens que la question du vol informatique a été tranchée depuis la loi contre le terrorisme de novembre 2014. Désormais, le Code pénal réprime non seulement l’introduction, la modification et la suppression frauduleuses de données mais tout autant l’extraction, la détention, la reproduction et la transmission frauduleuses de ces données.

Seulement, les faits de l’affaire Bluetouff sont antérieurs à cette modification législative qui, plus sévère, n’est pas rétroactive. Sur ce point, l’avis de l’avocat général de la Cour de cassation que nous avons pu nous procurer est très éclairant.

Il a replongé son nez dans les travaux parlementaires. D’un côté, il se souvient des propos du rapporteur de la Commission des lois de l’Assemblée nationale, lors de l’examen l'an passé du projet de loi sur le terrorisme :

« L'article 311-1 du Code pénal définissant le vol comme la soustraction frauduleuse de la chose d’autrui pose deux conditions qui s’avèrent aujourd’hui inadaptées au vol de données ; d’une part, une donnée n’est pas une chose, mais un élément immatériel distinct de tout support de stockage ; d’autre part, une donnée extraite d’un STA à la suite d’un accès ou d’un maintien frauduleux n’est pas nécessairement soustraite de celui-ci mais seulement extraite par sa reproduction sur un autre support. »

De l’autre, il a relu les débats parlementaires autour de la loi Godfrain de 1988, laquelle constitue le socle du droit pénal anti-piratage informatique. Selon lui, le législateur n’avait pas alors estimé nécessaire de condamner spécialement le téléchargement de contenu, au motif que « la captation sans droit de données ou programmes enregistrés » pourrait constituer un vol.

Des exemples similaires dans la jurisprudence

En somme, la loi sur le terrorisme n’est venue que clarifier une législation préexistente, peu importe donc que le droit pénal soit d’interprétation stricte… S’adressant à la Cour de cassation, l’avocat général a d’ailleurs mis en avant plusieurs exemples en appui de son analyse : « Tout en respectant le principe d’interprétation stricte de la loi pénale, vous avez toujours su adapter les incriminations aux évolutions technologiques, veillant à ce que soient atteints les objectifs du législateur et donc à ce que la loi soit appliquée conformément à la fois à sa lettre et à son esprit. Cela est particulièrement vrai s’agissant du vol dont la définition a révélé une certaine plasticité. »

Quelques exemples : en 1912, la Cour de cassation jugeait que l’électricité était une chose susceptible de vol. En 1979, elle affirmait que « photocopier un document pouvait caractériser la soustraction constitutive du délit ». « C’est dans le même souci de prendre en compte les nouveaux moyens offerts par le développement de l’informatique que vous avez jugé que la copie frauduleuse de fichiers en était également constitutive ». Dix ans plus tard, la même Cour jugeait que la copie frauduleuse de fichiers sur une disquette caractérisait tout autant un vol. « Vous n’avez pas réduit l’infraction à la soustraction de la disquette constituant le support matériel des fichiers, ce qui n’aurait été qu’un artifice dénaturant les faits reprochés au prévenu. »

Selon lui, donc, « de telles solutions sont tout d’abord opportunes et cohérentes si l’on considère les intérêts de la répression. (…) Il serait paradoxal que la soustraction frauduleuse d’un document papier sans intérêt soit passible de trois ans d’emprisonnement mais non celle de milliers de fichiers stratégiques alors même que ces fichiers ne sont jamais que des documents numériques ou numérisés pouvant à tout moment être imprimés et donc matérialisés. »

Bref, il est opportun de consacrer une telle solution pour le cas Bluetouff non afin d’étendre la répression « à des comportements qui ne seraient pas inclus dans les prévisions » de la répression du vol, mais pour « prendre en compte l’évolution des nouvelles modalités possibles de soustraction. On ne vole pas en effet des données numériques comme on vole un tableau mais cela ne signifie pas que les données numériques ne seraient pas susceptibles de vol. »

En conclusion, la soustraction qu’implique la lettre du texte « est caractérisée par le fait de se comporter sur la chose comme son propriétaire en se l’appropriant contre le gré de celui qui la possède. C’est très exactement ainsi que se comporte celui qui copie frauduleusement des données informatiques. Il n’importe que la victime ne soit pas dépossédée de ces données de même qu’il n’importe, en cas de photocopie frauduleuse d’un document, que l’original reste entre les mains de son propriétaire. L’‘extraction’ est en réalité une forme de ‘soustraction’».  

Mais en droit de la propriété intellectuelle, télécharger n’est pas voler

Fait notable, l’avocat général a souligné que dans un rare cas, télécharger n’est pas voler. C’est en matière de propriété intellectuelle, puisque le droit spécial déroge au droit général.

Il s’est appuyé à ce titre sur les travaux de Mireille Imbert-Quaretta, présidente de la Commission de protection des droits de la Hadopi, spécialement son rapport de 2013 sur les moyens de lutte contre le streaming et le téléchargement direct illicites.

Contrairement à ce qu’ont affirmé les ayants droit lors des débats Hadopi, le téléchargement de MP3 ou de film, « ne constituent pas des vols, [mais] entrent dans les prévisions des textes réprimant la contrefaçon ».


chargement
Chargement des commentaires...