Les enseignements de l'affaire Bluetouff

Publié le 11 février 2014 par Pierrotlechroniqueur

Une fois n'est pas coutume, je vais m'éloigner de l'environnement wikimédien pour vous parler, ami lecteur, d'une affaire que j'ai suivie ces derniers jours et qui, à mon sens, pose un certain nombre de questions sur un ensemble de sujets importants (le droit à l'information, l'interprétation extensive de la notion de "piratage", l'applicabilité d'un système juridico-moral ancien à Internet, le contrôle de ce dernier, etc.) : l'affaire Bluetouff. Du pseudonyme d'un blogueur qui a été condamné, le 5 février dernier, par la Cour d'appel de Paris, pour "accès frauduleux dans un système de traitement automatisé de données" et "vol" à une amende de 3 000 euros.

Les faits

Que s'est-il passé exactement ? La lecture de cet article de Numerama vous fournira tous les éléments nécessaires à la compréhension du déroulement des événements. En résumé (pour les flemmards qui ne veulent pas cliquer sur les liens) : Bluetouff a été condamné pour avoir publié sur son blog des documents confidentiels extraits de l'extranet de l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES). Jusque-là, rien d'anormal me direz-vous de prime abord : il pirate, il est donc condamné (même si l'on pourrait tout à fait discuter d'une exception possible qui est celle de l'information délivrée au public. Là n'est pas la question cependant). Sauf qu'en fait de piratage, Bluetouff a simplement su se servir ... de Google. Les documents méga-confidentiels (limite secret d'État à en croire la très importante et secrète ANSES) étaient tout simplement indexés par le moteur de recherche, et Bluetouff n'avait plus qu'à cliquer sur les liens pour accéder à leur contenu. Sans cracker des mots de passe, sans passer en force brute, sans faire quoi que ce soit qui pourrait s'apparenter à l'œuvre d'un hackeur ... Autrement dit, le site extranet de l'ANSES n'avait tout bonnement aucune sécurité digne de ce nom. Les questions qui se posent dès lors sont : faut-il condamner Bluetouff pour avoir délivré des informations d'intérêt public auxquelles il a eu accès rien qu'en tapant quelques mots dans Google ? Ne faut-il d'ailleurs pas considérer que ces données, compte-tenu de l'immense faille de sécurité, pouvaient être considérées comme publiques ? Et, devant la réponse de la justice à ces deux questions, se moque-t-on de nous et de nos libertés ? Et peut-on être un délinquant sans rien faire de mal ?

Il est commode, en effet, comme l'ont fait Numerama et nombre de commentateurs indignés, d'en conclure que la décision de la Cour d'appel de Paris est une honte, que les juges, ces vieilles barbes d'un autre âge, n'ont sans doute rien compris à ce qui s'est passé, et qu'une fois de plus la justice pilonne le Web sans réfléchir en partant du préjugé qu'un internaute n'est qu'un hackeur en puissance. C'est une interprétation logique à la lecture des faits, sans entrer dans les détails de l'arrêt de la Cour. C'est une lecture fausse, en réalité, et ces personnes se trompent de combat. Le problème n'est pas vraiment les juges. Le problème, en l'occurrence, fut une petite partie de la loi Informatique et libertés, que les magistrats sont bien obligés d'appliquer.

La contre-argumentation de Maître Eolas

L'avocat blogueur Maître Eolas, interpellé sur le sujet par de nombreux Twittos (dont votre serviteur), a accepté d'analyser cette décision et d'en livrer un commentaire sur son blog. Et les nuances considérables qu'il apporte avec beaucoup de rigueur s'avèrent très importantes. Comme vous pouvez le constater. Voilà, je peux donc clore mon billet. Mais ... Vous avez encore la flemme, n'est-ce pas ? Surtout quand Maître Eolas écrit des pavés encore plus gros que ceux de Tonton Pierrot ? Bon, très bien ... Je vous résume sa prose. Déjà, énorme idée reçue démontée en deux coups de cuillères à pot par l'avocat : non, Bluetouff n'a pas été condamné pour avoir accédé à ces documents rien qu'en utilisant Google. Les magistrats de la Cour d'appel, comme ceux du tribunal correctionnel avant eux (qui avaient relaxé Bluetouff mais le parquet avait fait appel), reconnaissent qu'il n'y a eu aucun comportement délictueux pour accéder à ces documents très mal protégés, et que dès lors il n'y a aucune intentionnalité malveillante de la part du blogueur. Sur ce chef précis d'accusation, les juges ne suivent pas le parquet et relaxent donc Bluetouff. Il est en conséquence inexact, explique Maître Eolas, de conclure que Bluetouff a été condamné simplement pour s'être servi de Google.

Mais le blogueur, pourtant, a bel et bien été condamné. Sur quoi se sont donc fondés les magistrats parisiens s'ils reconnaissent que l'accès aux documents n'est pas entaché d'un piratage ou d'une quelconque manœuvre frauduleuse ? Sur deux points précis, rapporte Maitre Eolas. Le premier le fait mourir de rire : le vol. La juridiction d'appel explique qu'en téléchargeant ces données pour les mettre plus tard sur son blog (après les avoir vainement proposées à des journalistes spécialisés qui ont préféré décliner ...), Bluetouff les a tout simplement volées. Comme on vole des bonbons chez le boulanger quand on a sept ou huit ans. Pour Eolas, il s'agit d'une grave faute de droit : le vol, et la Cour de cassation l'a affirmé à de nombreuses reprises, nécessite la dépossession d'un bien pour la victime, et son appropriation par le voleur. Or le téléchargement de données ne dépossède personne car il s'agit d'une duplication et non d'une soustraction. Bluetouff s'étant pourvu en cassation, l'avocat blogueur ne doute pas que l'arrêt de la Cour d'appel sera annulé sur ce point.

Mais le second point est beaucoup plus gênant car, sur le strict plan juridique, Maître Eolas donne raison aux juges. Bluetouff, bien que mis hors de cause pour ce qui concerne l'accès aux documents (du à une faute de sécurité de l'ANSES) est cependant déclaré coupable de l'infraction d'"accès frauduleux dans un système de traitement automatisé de données". Pourquoi ? Simplement parce que l'article 323-1 du Code pénal français ne se contente pas de punir le strict accès frauduleux à un système de traitement automatisé de données. Il sanctionne également le maintien frauduleux dans ce système. Une fraude qui se caractérise par la prise de conscience du fait qu'on ne devrait pas avoir accès, et donc ne pas lire, ce qu'on est en train de lire. Par exemple, si l'on a par hasard accès à des données classées secret défense et qu'on finit par se rendre compte de la classification, il faut immédiatement cliquer sur la petite croix en haut à droite. Sinon on commet un délit. Cette petite partie de l'article de la loi est évidemment absurde. Et c'est elle qu'il faudrait plutôt dénoncer. Même si elle est simple à contourner : il suffit de dire aux policiers et aux juges qu'on n'avait pas du tout conscience de la situation, et il leur sera naturellement impossible de prouver le contraire. Du moins en théorie. Car, dans le cas présent, Bluetouff, sans doute mal conseillé par son avocat, a benoitement avoué aux juges qu'il avait très vite compris de quoi il s'agissait et que c'est justement pour ça qu'il était resté et avait téléchargé les données, tout impressionné qu'il était par ses découvertes. Signant ainsi sa perte aux yeux des magistrats, le "maintien frauduleux" étant alors établi par aveu de l'accusé.

Pour conclure

Il me vient soudain un petit parallèle. Je disais en introduction de ce billet que, pour une fois, je n'allais pas du tout parler de Wikipédia. Il y a tout de même un point commun : même si c'est en raison d'arguties juridiques qu'il a été condamné, Bluetouff n'en est pas moins à l'amende pour avoir publié des données soi-disant secrètes mais accessibles publiquement. Et, en plus, c'est une certaine DCRI qui a mené les investigations, plaçant même le blogueur en garde à vue. Ami lecteur et wikipédien, ça ne vous rappelle rien ?