Par Roseline Letteron.
La décision rendue par la Cour d’appel de Paris le 5 février 2014 suscite beaucoup de réactions d’étonnement, voire d’irritation, sur internet. Un blogueur n’est-il pas condamné à une amende de 3.000 € pour avoir téléchargé et communiqué des données parfaitement accessibles et d’ailleurs indexées sur Google ? Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. La lecture de la décision montre cependant que la situation juridique du blogueur n’est pas aussi simple que la présentation quelque peu caricaturale qui a en été faite sur internet.
Une faille de sécurité
En l’espèce, le blogueur Bluetouff était parvenu, grâce au moteur de recherche, sur le serveur extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), serveur utilisé par les chercheurs de l’Agence pour stocker et échanger leurs documents. Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue. Certaines de ces données ont cependant été utilisées par un autre blogueur, proche de Bluetouff. C’est ainsi que dans un article publié sur le net et consacré à la dangerosité des nano-matériaux, l’Anses a découvert un beau jour une présentation PowerPoint faite par l’un de ses employés.
Ce second blogueur n’a pas été poursuivi, car il ignorait que les documents qui lui avaient été transmis par Bluetouff n’étaient pas publics. Dès qu’il en a été informé, il a retiré de son site les données litigieuses. Dans le cas de Bluetouff, le juge aurait pu rendre une décision identique, car l’intéressé s’est rendu de bonne foi sur la page indiquée par Google, sans savoir qu’il accédait à un espace privé. Il a en quelque sorte bénéficié d’une faille de sécurité du système. Le TGI de Créteil avait d’ailleurs relaxé l’intéressé dans un jugement du 23 avril 2013, et l’Anses n’avait pas fait appel, consciente qu’elle était en partie responsable de la fuite. C’est donc le seul recours du parquet que Bluetouff qui a suscité la présente décision de la Cour d’appel.
Les trois infractions
Le responsable de Bluetouff est poursuivi pour trois infractions. La première est prévue par l’article 323-1 c. pén. et réside dans l’accès frauduleux à un système informatique, la seconde, prévue par le même article, est le maintien dans ce système, une fois que l’on a appris qu’il était de nature privée. Dans les deux cas, la peine encourue est de deux ans d’emprisonnement et 30.000 € d’amende. Enfin, la troisième infraction est constituée par le téléchargement et la conservation de données extraites d’un site privé. Celle-ci est tout simplement réprimée par l’article 311-1 du code pénal, celui-là même qui définit le vol comme « la soustraction frauduleuse de la chose d’autrui ».
La Cour d’appel distingue entre les trois infractions. Elle confirme la relaxe dans le cas de la première infraction, celle relative à l’accès frauduleux. Le blogueur a en effet bénéficié d’une défaillance technique dont il n’est pas responsable. Et c’est évidemment cette faille de sécurité qui est à l’origine de l’indexation des données sur les moteurs de recherches.
En revanche, elle considère comme constituées les deux infractions suivantes, la seconde conditionnant la troisième. En effet, Bluetouff a reconnu, durant ses trente heures de garde à vue, qu’il a largement circulé dans le site, et qu’il a parfaitement vu qu’il était demandé un identifiant et un mot de passe sur la page d’accueil. Il a donc rapidement su qu’il était sur un espace privé, et il s’est donc frauduleusement « maintenu dans le système », au sens de l’article 323-1 du code pénal. Au moment du téléchargement, il ne pouvait donc ignorer le caractère privé des informations qu’il s’appropriait frauduleusement, à l’insu de leur propriétaire.
Bluetouff est il un « Whisleblower » ?
Certes, le blogueur n’est finalement condamné qu’à une amende de 3.000 €, peine relativement modeste si on la compare avec les 30.000 € mentionnés dans l’article 323-1 du code pénal. Elle permet cependant au juge pénal de faire œuvre pédagogique, en insistant sur l’élément moral de l’infraction. C’est parce qu’il ignorait qu’il avait pénétré sur un « extranet », c’est-à-dire la partie privative d’un site qu’il est relaxé du délai d’accès frauduleux. En revanche, une fois qu’il avait circulé dans l’arborescence et vu les demandes d’identifiant et de mot de passe, il ne pouvait plus l’ignorer, comme il ne pouvait plus ignorer que les données qu’il s’appropriait ne lui étaient pas destinées.
Reste évidemment à s’interroger sur l’usage que l’internaute a fait de ces données. Il n’en a tiré aucun bénéfice et s’est borné à les transmettre à un auteur qui travaillait sur les dangers des nanomatériaux. Sur ce point, on ne peut que déplorer une vision extrêmement simplificatrice de la « blogosphère ». Bon nombre de commentateurs très présents sur les réseaux sociaux ont feint de croire que la décision ouvrait la porte à une jurisprudence nouvelle. Tout internaute téléchargeant des données indexées par Google serait donc menacé de poursuites pénales, interprétation pour le moins caricaturale de la décision. Sur ce plan, les commentateurs ont perdu une occasion de se placer sur un autre plan, celui de la protection des « Whistleblowers« . À sa manière, Bluetouff est un lanceur d’alerte, et les données téléchargées méritaient peut-être d’entrer dans le débat public. Mais c’est une autre question, hélas.
—
Sur le web.