Commentaire d'arrêt, Bluetoof
Commentaire d'arrêt : Commentaire d'arrêt, Bluetoof. Recherche parmi 300 000+ dissertationsPar Julien Vasselin • 26 Janvier 2018 • Commentaire d'arrêt • 2 069 Mots (9 Pages) • 1 151 Vues
"Il est absolument indispensable, face à ces différents types de menaces (...), d'être acteur, de comprendre ces menaces, de comprendre le numérique, pour mieux s'en protéger" Guillaume Poupard, directeur de l’ANSSI. L’arrêt rendu par la Chambre criminelle de la Cour de cassation le 20 mai 2015 vient apporter des précisions en matière de vol de données informatiques. En l’espèce, le journaliste/blogueur Olivier Laurelli, connu sous le pseudonyme “Bluetouff” utilisait un VPN lui fournissant une adresse IP au Panama. En utilisant les fonctionnalités du moteur de recherche Google, Bluetouff est tombé sur l’extranet de l’Agence Nationale de Sécurité Sanitaire de l’alimentation, de l’environnement et du travail (ANSES). Cette faille manifeste de sécurité a permis au journaliste d'accéder aux documents qui y sont stockés et d’en télécharger pour près de 8 Go (soit près de 8000 fichiers). Ces fichiers lui ont permis d’alimenter son travail, car il a utilisé près de 250 Mo pour ses articles. L’ANSES s’est aperçu du problème et a porté plainte pour “intrusion dans un système informatique et vol de données informatique”. Cependant l’ANSES est un opérateur d’importance vitale (OIV), c’est donc la Direction Centrale du Renseignement Intérieur qui est chargée de l'enquête. Pendant l’enquête, Bluetouff déclarait avoir découvert tous ces documents en libre accès après une recherche complexe sur Google et qu’il était arrivé par erreur dans l’extranet de l’ANSES. En première instance, le Tribunal correctionnel de Créteil a relaxé Bluetouff au motif que l’intention de restreindre l’accès au serveur extranet par l’ANSES n’était pas manifeste. En effet, M. Laurelli a pensé que ces données étaient en libre accès car elle ne nécessitait pas de code d’accès, ni de mot de passe et qu’il pouvait allègrement se maintenir dans le système. De plus, le vol ne peut pas être qualifié car selon l’article 311-1 du code pénal, le vol est la soustraction frauduleuse de la chose d’autrui. En l’espèce, la dépossession n’a pas été constaté et le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques ne peut constituer l’élément matériel du vol. M. Laurelli a pu légitimement penser que ces documents étaient librement téléchargeables car non protégés par un quelconque système. Il n’y a pas eu de sa part une volonté d’appropriation frauduleuse de ces fichiers informatiques et donc il n’y a pas d’élément intentionnel de l’infraction. Le parquet de Paris interjette appel de cette décision. La Cour d’appel de Paris a condamné Bluetouff au motif du maintien frauduleux des données. En effet, l’accès à ces données n’était pas en l’espèce frauduleux car l’accès aux données était dû à une faille technique mais M. Laurelli a reconnu la présence d’un contrôle d’accès et la nécessité d’une authentification et donc, aurait dû se déconnecter de l’extranet. Pour la qualification de vol, la Cour d’appel s’appuie sur l’arrêt Société Graphibus rendu par la Cour de cassation qui avait qualifié de vol, une copie de données. De plus, la Loi n°2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, a modifié le code pénal dans l’article 323-3 qui sanctionne désormais l’extraction de données. Elle ne peut s’appliquer car elle n’agit pas rétroactivement mais la Cour de cassation va grandement s’appuyer sur cette nouveauté. En ce sens, la Cour d’appel a condamné M. Laurelli pour maintien frauduleux dans un STAD (Système de Traitement
Automatisé des Données) et vol de données à une peine délictuelle de 3000 €
...